目前為止���,在iOS終端上�����,除非用戶卸載被感染應(yīng)用或等待其升級(jí),普通用戶沒有任何其他手段來徹底解決此安全威脅。
最后的安全屋
真的無能為力嗎?不�,一個(gè)堅(jiān)固、安全�、可管理的網(wǎng)絡(luò)是我們“裸奔”設(shè)備最后的“safe house”。失陷的終端��,交給網(wǎng)絡(luò)來保護(hù)��。
我們可以看到�,在XcodeGhost的攻擊鏈條中,“搭建C&C服務(wù)器與XcodeGhost建立連接”是整個(gè)攻擊的有效工作的基礎(chǔ)��。如果我們的網(wǎng)絡(luò)安全體系���,能夠足夠準(zhǔn)確地識(shí)別這一行為并及時(shí)報(bào)警��、阻斷��,XcodeGhost的攻擊行為將在網(wǎng)絡(luò)中徹底失效���。
許多政府、企業(yè)����、教育機(jī)構(gòu)已經(jīng)利用基于網(wǎng)絡(luò)層五元組的傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品迅速封堵了目前已知的XcodeGhost 服務(wù)器的IP地址�����。然而���,面對(duì)DNS劫持、層出不窮的XcodeGhost 服務(wù)器�,傳統(tǒng)的網(wǎng)絡(luò)層安全產(chǎn)品也許會(huì)出現(xiàn)反應(yīng)緩慢、效果不佳的問題�。
網(wǎng)康作為已經(jīng)為超過20000家企業(yè)打造安全可管理網(wǎng)絡(luò)的應(yīng)用層安全提供商����,已經(jīng)在第一時(shí)間為失陷終端構(gòu)造了一個(gè)“安全屋”。通過上網(wǎng)行為管理等一系列安全管理產(chǎn)品的加固��,我們對(duì)網(wǎng)絡(luò)中XcodeGhost流量進(jìn)行了有效識(shí)別和阻斷��,斬?cái)郮codeGhost的攻擊鏈條的第一環(huán)��。
如何通過上網(wǎng)行為管理打造安全可管理的網(wǎng)絡(luò)?
面對(duì)XcodeGhost�,我們利用網(wǎng)康獨(dú)特的XAI(extensive application inspection)包識(shí)別技術(shù),對(duì)XcodeGhost進(jìn)行了大樣本的流量分析�����,并成功將應(yīng)用層特征提取出來。分析結(jié)果顯示��,XcodeGhost與兩個(gè)服務(wù)器地址的連接建立在HTTP POST報(bào)文中����,并與被感染APP有明顯的特征區(qū)別。因此���,網(wǎng)康迅速將XcodeGhost的特征剝離出來�����,發(fā)布了最新的協(xié)議升級(jí)更新�����,并應(yīng)用于旗下上網(wǎng)行為管理(ICG)等產(chǎn)品中:
網(wǎng)康上網(wǎng)行為管理是一款網(wǎng)絡(luò)行為風(fēng)險(xiǎn)管理的產(chǎn)品���,部署在企業(yè)互聯(lián)網(wǎng)出口,能夠?qū)徲?jì)與管理內(nèi)網(wǎng)用戶的互聯(lián)網(wǎng)行為��,如網(wǎng)址訪問����、論壇發(fā)帖�����、郵件收發(fā)�、文件上傳下載等�,為企業(yè)避免安全風(fēng)險(xiǎn)、違法違規(guī)���、數(shù)據(jù)泄露等問題����。
在XcodeGhost攻擊過程中�����,網(wǎng)康ICG能夠在互聯(lián)網(wǎng)出口有效發(fā)現(xiàn)發(fā)現(xiàn)XcodeGhost與C&C服務(wù)器建立通信的流量并及時(shí)進(jìn)行阻斷隔離��。在隔離過程中����,網(wǎng)康ICG具有以下特色:
1.精確切割:實(shí)現(xiàn)被感染APP與XcodeGhost特征分離��,對(duì)XcodeGhost流量隔離并不影響被感染APP的正常使用�。
2.靈活配置:能夠?qū)Ω綦x策略的生效時(shí)間�、操作系統(tǒng)����、IP范圍等進(jìn)行細(xì)粒度定義,確保不會(huì)讓無關(guān)流量影響設(shè)備性能;
3.及時(shí)響應(yīng):網(wǎng)康所有安全管理類產(chǎn)品都具有以周為周期的特征協(xié)議庫更新機(jī)制�,如果XcodeGhost出現(xiàn)變種或者類似XcodeGhost的木馬出現(xiàn),網(wǎng)康會(huì)將最新的協(xié)議庫及時(shí)推送至設(shè)備端���,及時(shí)響應(yīng)新威脅�����。
除此之外�,網(wǎng)康上網(wǎng)行為管理獨(dú)特的用戶視角能夠準(zhǔn)確定位已經(jīng)被感染的用戶終端����。防護(hù)的同時(shí),對(duì)感染終端的用戶進(jìn)行提醒�����,為走出安全屋的用戶提供防護(hù)建議�。
在BYOD、WiFi網(wǎng)絡(luò)迅速被企業(yè)接受的同時(shí)����,企業(yè)網(wǎng)絡(luò)安全也越來越多地站在了移動(dòng)終端安全戰(zhàn)場的第一線��,移動(dòng)終端安全已經(jīng)成為企業(yè)網(wǎng)絡(luò)安全的一個(gè)重要陣地���。我們打造安全的網(wǎng)絡(luò),是為了保護(hù)我們的數(shù)據(jù)資產(chǎn)不丟失�����、保護(hù)我們的業(yè)務(wù)流不中斷����、保護(hù)我們的服務(wù)不停擺,同樣也是為了保護(hù)員工的終端不會(huì)暴露在威脅之下�,不會(huì)受到黑客的脅迫,不會(huì)成為威脅進(jìn)入企業(yè)的了綠色通道��。
失陷的終端���,交給網(wǎng)康來保護(hù)。
