看得见才能防的住!永恒之蓝后企业安全检测能力建设

作者:星期日, 五月 21, 20170
分享:

2017年5月12日起爆发的WannaCry(永恒之蓝)勒索蠕虫全球攻击事件,对国内政企机构的影响是巨大的,同时也暴露出众多机构内网中存在的安全问题,面对新型勒索蠕虫的攻击,传统的安全防护措施已经力不从心,政企机构需要选择新的防护手段、提升整体的防护能力,要保证安全威胁来临的时候做到事前可预警、事中可定位、事后可追溯。

从WannaCry事件反思现有安全检测能力的不足

回顾此次安全事件,绝大多数的“中招”机构都已经构建了安全防御体系,但仍然没能及时发现或阻止威胁,将损失降到最低。这也映射出现有的网络安全防御体系在应对未知威胁的过程中存在的不足,通过WannaCry勒索蠕虫的内网活动分析,我们发现传统的检测技术主要存在以下几点问题:

  • 检测技术单一:传统的网络安全检测或防御产品多数采用基于签名的检测技术,只能检测已知的漏洞利用攻击及恶意软件,无法检测未知威胁并无法定位失陷主机;
  • 缺乏持续性检测机制:传统的网络安全检测产品只能实现阶段性检测,无法覆盖威胁的全生命周期,不能及时预警响应;
  • 缺少完整回溯攻击事件的能力:现有各安全检测产品独立工作,攻击告警信息割裂,完整还原攻击事件实现难度较大;

基于大数据的新一代威胁检测方案弥补传统手段的不足

360天眼新一代威胁感知系统(以下简称天眼),针对WanaCry勒索蠕虫、APT等高级威胁的全生命周期各阶段进行全面、持续的检测,采用多种检测技术相结合的方式,帮助用户及时发现威胁并定位失陷主机,将影响降到最低。同时利用本地的大数据平台对各阶段的检测结果进行存储与分析,为完整回溯安全事件提供数据基础。

高级威胁检测方案部署示意图

360天眼可以帮助用户及时有效的发现高级威胁,提升管理人员对勒索蠕虫类高级威胁的发现速度和效率,最大限度的降低用户受攻击后的损失,可以记录内网的任何一次网络行为,为回溯提供强大的支撑。在此方案中,对用户网络中的流量进行全量检测和记录,所有网络行为都将以标准化的格式保存于天眼的数据平台,云端威胁情报和本地文件威胁鉴定器分析结果与本地分析平台进行对接,为用户提供基于情报和文件检测的威胁发现与溯源的能力。

可以为用户解决以下安全威胁问题:

  • 检测发现传统防护手段漏过的未知威胁;
  • 针对攻击链提供持续的检测能力;
  • 结合云端威胁情报发现失陷主机;
  • 对企业内的海量数据进行安全分析;
  • 对企业内已发现的问题进行攻击回溯;

覆盖高级威胁全生命周期的检测能力是防御的基础

覆盖高级威胁全生命周期的检测能力

  • 针对进入网络与漏洞利用阶段,该勒索蠕虫利用SMBv1漏洞(MS17-010)进行传播,天眼的流量传感器高并发流式处理引擎可实现对多种协议进行深度解码,对SMB协议实现完整支持,并及时加入MS17-010漏洞的检测特征,可实现精准告警。

发现漏洞利用攻击

  • 针对恶意软件投放阶段,天眼文件威胁鉴定器利用虚拟执行检测技术能够识别恶意样本;与传统的采用基于恶意代码特征匹配的检测方法不同,虚拟执行检测技术所采用的规模化动态沙箱的方法可以对未知的恶意代码进行有效检测,这种利用对恶意代码行为进行动态分析的方法,可以避免因为无法提前获得蠕虫代码特征而漏检的问题,亦即在无需提前预知蠕虫样本的情况下仍然可以对蠕虫进行有效的检测,天眼文件威胁鉴定器可实现对本次勒索蠕虫的若干变种进行检测。

现有的传统安全防护措施大多数使用基于签名的机制对已知威胁进行检测和防护,天眼所利用的检测技术是针对传统基于签名的局限性提出的解决方案,以检测和发现主流客户端应用程序(IE/Office/AdobeReader)的可疑威胁为目标,能对客户端应用中已知漏洞和未知0day漏洞的攻击利用进行检测。

已检测到的恶意样本

  • 针对远程通信阶段,天眼通过基于流量日志以及针对勒索蠕虫的威胁情报IOC进行关联分析,从而发现失陷主机。威胁情报主要来自云端威胁情报中心的分析成果,可对APT攻击、新型木马、特种免杀木马进行规则化描述,通过人工智能结合大数据知识以及攻击者的多个维度特征还原出攻击者的全貌,包括程序形态、不同编码风格和不同攻击原理的同源木马程序、恶意服务器(C&C)等,持续的发现勒索蠕虫威胁,最终确保发现的未知威胁的准确性。通过威胁情报形式打通攻击定位、溯源与阻断多个工作环节,提升了对攻击回溯的能力。

已检测到的威胁事件

威胁事件详情

  • 针对横向渗透/泄密阶段,天眼流量传感器利用攻击模型检测技术,可检测勒索蠕虫所利用的SMB网络协议中的攻击行为并发现内网横向渗透攻击行为。天眼传感器通过对网络流量进行解码还原出真实流量,提取网络层、传输层和应用层的头部信息,甚至是重要负载信息。传感器中应用的自主知识产权的协议分析模块,可以在IPv4/IPv6网络环境下,支持 HTTP (网页)、SMTP/POP3(邮件)、SMB等主流协议的高性能分析。同时,天眼传感器自主研发的攻击检测引擎可以实现流式匹配,达到高性能处理,预置了上千条网络攻击规则,覆盖了针对常见漏洞的攻击检测。针对网页漏洞的利用检测能精准检测成功的攻击,涵盖了主流了WEB应用漏洞,包括:SQL注入、跨站、后门行为、命令执行、代码执行、弱口令等。

检测内网横向渗透行为

小结

通过对WanaCry勒索蠕虫内网活动全过程的检测,可以清晰的还原威胁事件全貌,同时也反映出对于勒索蠕虫、APT等高级威胁,需要结合多种检测技术,持续的检测才能做到尽早发现、及时响应。利用大数据分析技术,挖掘攻击线索,打通攻击检测、定位、回溯多个环节,最终提升对威胁“看见”的能力。

提升安全事件的检测与响应能力成为政企机构下一个安全建设阶段的重点工作。大数据分析及威胁情报技术能够有效地弥补现有安全检测手段的不足,这也会成为衡量新一代安全检测产品能力的重要指标。

作者:360产品与解决方案中心 董旭/李闯

 

分享:

相关文章

写一条评论

 

 

0条评论