解密國內首個網關級APT解決方案

摘要：私有云防護解決方案作為網關設備上的核心技術革新，通過安全網關與云中心聯動、安全網關與安全網關之間信息共享，大大強化了安全網關的防護能力，真正實現了全網動態防御。

?

2006年之前，我們面臨的主要威脅是病毒；2006年之后的6、7年時間里，我們面臨的主要威脅是木馬；2013年之后及未來很長一段時間，我們面臨的主要威脅除了木馬之外，還包括定向攻擊。大規模爆發的病毒逐漸在減少，但是我們并沒有感受到越來越安全，相反，各種網絡威脅變得越來越詭秘，它們的打擊變得越來越定向，攻擊目標也越來越多元，網絡所面臨的風險提升到了針對特定領域與特定機構的定向APT攻擊。

?

安全網關作為傳統的網絡安全設備，通常以路由模式部署于用戶環境中，集數據轉發、安全防護等多方面功能于一體，具有高穩定性、低轉發時延等特性。而面對每年數十億級以上病毒及其他非安全軟件的快速增長，安全網關的病毒特征容量有限、被動滯后和更新不及時、AV模塊對于網關性能的消耗等問題越來越明顯，對于文檔溢出漏洞攻擊、未知惡意代碼攻擊、0day/1day漏洞等攻擊已經顯得無能為力。

?

私有云方案助力網關防御APT攻擊

?

作為安全網關的代表，防火墻經過幾次的技術變遷，已經發展了多代產品。縱觀防火墻的發展史，都是隨著用戶的安全需求不斷變化而不斷演變。雖然很多安全廠商推出了新一代防火墻產品，但大部分產品僅僅是堆疊了不同的模塊，例如在防火墻基礎上集成了入侵防御、防病毒、上網行為管理、WAF、內容過濾、行為管理或內容審計等功能，并不能算作真正意義的新一代防火墻。

?

啟明星辰認為，新一代防火墻既要具有高性能，也要能動態分析和精確防御未知威脅。

?

1、私有云方案

?

云服務已經逐步應用在各個行業中，其中大規模多級部署、集中分析、全網資源信息同步等優點也得到了更多人的認可，與此同時，目前應用廣泛的公有云所存在的問題也越來越多的被提及，如信息的同步必須要有Internet連接才能實現；公網鏈路傳輸的安全性、穩定性也得不到保障；用戶信息在公有云上集中進行處理，存在信息泄露的安全風險，不適用于政府等機要單位。為此產生了私有云的概念，所謂“私有”是指信息只在可信的網絡范圍內實現共享，集合可信網絡的全網資源，利用分散的運行能力集合成統一結果，任何一個節點發現的威脅均可以通過私有云同步給全網共享，實現單點誘發全網同步，同時也很好的避免了公有云信息共享所存在的安全性問題。

?

2010年，業界出現了主動云防御的概念，主動云防御實時收集各個安全設備的威脅信息，并將共享的信息動態同步給其他安全設備。但是主動云防御的云端服務器無法對未知威脅形成有效的維護，所以云端服務器本身的安全性受到挑戰；受公有云同步機制的限制，處于局域網中的安全設備則無法參與主動云防御；若要實現大范圍的覆蓋，則會產生高昂的運行成本。諸多問題的存在導致主動云防御在實際環境中的運用效果并不理想。

?

私有云傳承自主動云防御。私有云是通過一套應對已知/未知惡意代碼攻擊、0day/1day漏洞等攻擊的鑒別系統與若干網關設備聯動實現的，屬于網關級的高級安全防御方案。私有云解決方案利用文件黑名單、惡意代碼靜態檢測、虛擬加載執行、動態監測多種組合方式對一切可能用于攻擊的文件進行深度安全分析，從而有效檢測0day格式溢出來應對高級安全威脅，深度提取可執行樣本，并對未知威脅進行判別，同時將分析結果同步至聯動的安全網關，最終由安全網關策略實現訪問控制并提供詳細的行為報告，大幅度提升了安全網關的檢測能力，同時也保障了安全網關的轉發性能。

?

?
私有云應用場景

?

2、私有云技術特點

?

私有云防護解決方案作為網關設備上的核心技術革新，通過安全網關與云中心聯動、安全網關與安全網關之間信息共享，大大強化了安全網關的防護能力，真正實現了全網動態防御。

?

網關私有云主要采用動態分析手段捕獲未知0day攻擊，利用虛擬機和內核監控手段，將樣本投放到虛擬機中運行，監控并記錄其運行的本地行為，如注冊表的修改、系統文件的修改和網絡信息。記錄下樣本運行態的信息，判定樣本的類別，感染程度以及危害等級。

?

網關私有云針對APT的四類主要威脅（PE類木馬、溢出格式、嵌入或獨立腳本、URL訪問），通過靜態分析、虛擬執行、動態監控等技術手段進行分析鑒定。

?

主流APT解決方案對比分析

?

1、傳統特征匹配+虛擬執行引擎。代表：Fireeye

?

基于行為異常的檢測方法核心思想是通過沙箱（高級蜜罐）模擬運行環境，把未知程真實運行一遍，從程序工作的行為判斷其合法性。
優點：判斷準確性較高不易誤判或漏判；
缺點：計算資源消耗比較大，部署成本較高；

?

2、基于白名單的終端安全檢測方案。代表：Bit9

?

通過在公有云上部署的80億條白名單庫，對安裝在用戶終端上的終端軟件提供注冊服務，凡在白名單庫里未注冊過的文件均被終端禁止訪問，同時其終端軟件具有終端管理軟件常見的屬性，如移動設備控制、注冊表保護等。
優點：節省了計算資源，部署成本低；
缺點：不夠靈活，根據事先定義的特征，很有可能導致阻斷合法應用；

?

3、私有云解決方案。代表：啟明星辰、Fortinet

?

啟明星辰私有云解決方案通過系統智能集成的海量黑白名單、規模化虛擬機動態鑒定等，對文件是否包括惡意行為進行判定，形成自動化分析報告，并與安全網關進行聯動，在不影響轉發性能的前提下大幅增強安全網關的檢測能力。
優點：節省了安全網關的計算資源，檢測準確性較高不易誤判或漏判，結合網關部署方式較靈活。

?

?

?

私有云解決方案 Vs 極光攻擊

?

2009-2010年,Google等20多家公司遭受了極光攻擊。攻擊者利用了IE的0day漏洞、十多種惡意代碼和多層次的加密避免被發現。攻擊者的攻擊步驟如下圖所示：

?

?

“極光”攻擊步驟

?

無論如何，攻擊者需要一個突破點。當被滲透目標踏入攻擊者設立的圈套時，IE瀏覽器的0day漏洞被惡意代碼利用，下載攻擊者精心構造的、可以輕松騙過殺毒引擎的程序。

?

以前，傳統網關、殺毒軟件在檢測該惡意程序時，多是特征掃描；而攻擊被發現之前安全廠商又不可能獲取樣本，更不可能將該惡意程序的特征更新到威脅特征庫中（事實上直到2010年1月份，Google公開了此事后特征才被眾多廠家獲取），安全防范總是滯后的。

?

如果我們在網絡中使用了啟明星辰私有云解決方案，結果又會如何呢？

?

首先我們在網絡傳輸過程中由安全網關捕獲到了該程序，經過安全網關本地初步判斷，無法確定該程序就是安全的。接下來將該程序送到私有云防御中心，進行動態行為分析。

?

?

觀察該程序的所有行為，其中至少有三個行為是高度可疑的：
1、連續下載加密的程序；
2、刪除自身；
3、構建后門，發起反向連接。

?

新下載的加密程序仍會運行起來進行動態行為分析，其中有很多特殊的行為都存在危害性，如釋放PE文件、獲取敏感信息、隱藏文件、添加服務等。通過將分析結果與安全網關聯動，足以引起管理員的重視，從而將威脅消滅在初始階段。