自 “WannaCry”勒索病毒爆發(fā)以來,慢慢淡出視線的病毒問題又開始在各企事業(yè)單位大面積肆虐,據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2018年度安全態(tài)勢報告統(tǒng)計,CNCERT 捕獲勒索軟件近 14 萬個,全年總體呈現(xiàn)增長趨勢,重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點攻擊目標(biāo),其中,政府、醫(yī)療、教育、研究機構(gòu)、制造業(yè)等行業(yè)成為重災(zāi)區(qū)。如何有效進行防范病毒成為網(wǎng)絡(luò)安全工作中亟待解決的難題。本文旨在通過對病毒關(guān)鍵問題的分析,幫助用戶更全面梳理病毒防御體系的建設(shè)思路,美國服務(wù)器,同時提出銳捷網(wǎng)絡(luò)病毒定位防護全流程解決方案。
問題一:為什么這兩年病毒在各重點行業(yè)大面積爆發(fā)?
對于病毒攻擊者來說,核心訴求是利益獲取。以往的病毒攻擊事件,大部分以數(shù)據(jù)盜取為主,同時通過數(shù)據(jù)倒賣等手段進行變現(xiàn)。受限于數(shù)據(jù)精準(zhǔn)獲取及變現(xiàn)渠道限制,更多以單點安全事件為主,很難形成規(guī)模爆發(fā)效應(yīng)。而近幾年隨著虛擬貨幣的興起,病毒攻擊變現(xiàn)變得非常簡單和隱蔽,攻擊者只要掌握了資源的可用性,就可以借助網(wǎng)絡(luò)貨幣快速變現(xiàn),巨大利益驅(qū)使下導(dǎo)致以“勒索病毒”、“挖礦病毒”為代表的病毒不斷蔓延。
問題二:為什么有殺毒軟件、IPS、防火墻等安全防護措施,病毒依然泛濫?
殺毒軟件、IPS、防火墻等傳統(tǒng)防護手段,雖然必不可少,但均屬于以特征庫為核心的被動防護方案,在病毒防護的實際應(yīng)用場景中,面臨“時效、單點、溯源”三大核心問題。
1、 防護時效的滯后
基于特征庫的防御手段,對于病毒的防御均會經(jīng)歷:① 新病毒出現(xiàn)② 樣本采集 ③ 廠商解讀④特征提取⑤ 特征庫更-⑥ 用戶端更新 ⑦ 病毒檢測與查殺,七個步驟。這個周期一般在數(shù)小時至數(shù)天之間。時效的天然滯后性,在應(yīng)對頻繁變種病毒時效果往往不盡如人意。據(jù)CNCERT統(tǒng)計,2018年全年勒索軟件 GandCrab 更新了19 個版本,且由于勒索病毒性質(zhì)的特殊性,一旦被感染,即使后續(xù)特征庫更新,也可能造成無法彌補的損失。
另外受限于用戶網(wǎng)絡(luò)環(huán)境中,各廠商特征庫差異、設(shè)備無法聯(lián)網(wǎng)、更新授權(quán)過期等各種因素限制,即使是已知病毒也會造成嚴重傷害。以爆發(fā)兩年多的WannaCry首個版本病毒為例,在2019年很多的用戶網(wǎng)絡(luò)中依然被發(fā)現(xiàn),這讓人們意識到僅僅依靠傳統(tǒng)被動防御方案已經(jīng)無法滿足日益突出的病毒防護需求。
2、 單點防護,體系薄弱
在多數(shù)的用戶網(wǎng)絡(luò)中,常常以部署殺毒軟件為唯一的病毒方案措施。銳捷認為,殺毒軟件作為病毒入侵的最后一道屏障,必不可少,但卻遠遠不夠,一旦殺毒軟件被突破,特別是新型的病毒,則會直接碰觸到業(yè)務(wù)系統(tǒng)及數(shù)據(jù)。病毒防護必須依賴于全面的防護思路,歐洲服務(wù)器租用,通過多層、多維的防護措施,構(gòu)建完整的病毒防護體系。
3、 入侵難以溯源
溯源問題一直是安全防護中非常關(guān)鍵的一環(huán),找到安全問題的源頭,從根本上予以解決,才能避免陷
入救火式的工作模式中。而傳統(tǒng)的以查殺為主的防范方案,并無法找到病毒入侵的源頭,網(wǎng)絡(luò)和系統(tǒng)的脆弱點依然存在,常常被重復(fù)利用,造成病毒問題周而復(fù)始。如何進行溯源體系建設(shè)是病毒防護中非常重要的一環(huán)。
問題三:如何建立合理、有效的病毒防御的體系,實現(xiàn)病毒問題可管可控。
在病毒防護體系建設(shè)時,我們需要分析病毒入侵的本質(zhì)。雖病毒類型各異,但從病毒入侵的過程是存在共性的,這與洛克希德-馬丁公司提出的“網(wǎng)絡(luò)殺傷鏈”理論非常契合。即整個入侵過程,一般會經(jīng)歷偵查跟蹤、武器構(gòu)建、載荷投訴、漏洞利用、安裝植入、命令與控制、目標(biāo)達成七個階段,每個階段均會有對應(yīng)的行為或特征,可用于進行檢測防護。當(dāng)然對應(yīng)的最有效檢測防護技術(shù)手段也不一致,在越早的殺傷鏈環(huán)節(jié)發(fā)現(xiàn)和阻止攻擊,病毒防護效果就越好,修復(fù)和時間成本就越低,而絕非只有到安裝植入后,才進行介入檢測防護,否則所做的防護工作往往事倍功半。
問題四:依據(jù)網(wǎng)絡(luò)殺傷鏈為指導(dǎo),每個階段應(yīng)具備什么樣病毒防護能力,銳捷可以提供什么樣的方案?
從每個階段所帶來的影響分析,在網(wǎng)絡(luò)殺傷鏈的前三個階段進行有效監(jiān)測防護,是病毒防護的最佳階段,此時病毒還未對業(yè)務(wù)造成實質(zhì)的影響,監(jiān)測防護工作所帶來的價值最為明顯,下面我們通過不同階段的分析,提供合理的防護方案建議。
1、 偵查跟蹤階段
主要目標(biāo):攻擊者搜尋目標(biāo)主機的弱點
常用手段:高危端口探測、惡意漏洞掃描、身份憑證嘗試等
關(guān)鍵問題:如何對可疑的探測行為快速的捕獲和判斷?
銳捷解決之道:
