另外受限于用戶(hù)網(wǎng)絡(luò)環(huán)境中�����,各廠商特征庫(kù)差異、設(shè)備無(wú)法聯(lián)網(wǎng)����、更新授權(quán)過(guò)期等各種因素限制,即使是已知病毒也會(huì)造成嚴(yán)重傷害���。以爆發(fā)兩年多的WannaCry首個(gè)版本病毒為例����,在2019年很多的用戶(hù)網(wǎng)絡(luò)中依然被發(fā)現(xiàn)���,這讓人們意識(shí)到僅僅依靠傳統(tǒng)被動(dòng)防御方案已經(jīng)無(wú)法滿(mǎn)足日益突出的病毒防護(hù)需求���。
2、 單點(diǎn)防護(hù)��,體系薄弱
在多數(shù)的用戶(hù)網(wǎng)絡(luò)中���,常常以部署殺毒軟件為唯一的病毒方案措施�。銳捷認(rèn)為,殺毒軟件作為病毒入侵的最后一道屏障�,必不可少,但卻遠(yuǎn)遠(yuǎn)不夠����,一旦殺毒軟件被突破,特別是新型的病毒�����,則會(huì)直接碰觸到業(yè)務(wù)系統(tǒng)及數(shù)據(jù)��。病毒防護(hù)必須依賴(lài)于全面的防護(hù)思路�����,通過(guò)多層����、多維的防護(hù)措施,構(gòu)建完整的病毒防護(hù)體系���。
3����、 入侵難以溯源
溯源問(wèn)題一直是安全防護(hù)中非常關(guān)鍵的一環(huán),找到安全問(wèn)題的源頭�,從根本上予以解決���,才能避免陷
入救火式的工作模式中�����。而傳統(tǒng)的以查殺為主的防范方案�,并無(wú)法找到病毒入侵的源頭����,網(wǎng)絡(luò)和系統(tǒng)的脆弱點(diǎn)依然存在,常常被重復(fù)利用��,造成病毒問(wèn)題周而復(fù)始����。如何進(jìn)行溯源體系建設(shè)是病毒防護(hù)中非常重要的一環(huán)。
問(wèn)題三:如何建立合理�、有效的病毒防御的體系,實(shí)現(xiàn)病毒問(wèn)題可管可控�。
在病毒防護(hù)體系建設(shè)時(shí),我們需要分析病毒入侵的本質(zhì)��。雖病毒類(lèi)型各異,但從病毒入侵的過(guò)程是存在共性的�����,這與洛克希德-馬丁公司提出的“網(wǎng)絡(luò)殺傷鏈”理論非常契合���。即整個(gè)入侵過(guò)程����,一般會(huì)經(jīng)歷偵查跟蹤�、武器構(gòu)建、載荷投訴���、漏洞利用��、安裝植入��、命令與控制�����、目標(biāo)達(dá)成七個(gè)階段�����,每個(gè)階段均會(huì)有對(duì)應(yīng)的行為或特征�����,可用于進(jìn)行檢測(cè)防護(hù)����。當(dāng)然對(duì)應(yīng)的最有效檢測(cè)防護(hù)技術(shù)手段也不一致�����,在越早的殺傷鏈環(huán)節(jié)發(fā)現(xiàn)和阻止攻擊��,病毒防護(hù)效果就越好����,修復(fù)和時(shí)間成本就越低,而絕非只有到安裝植入后���,才進(jìn)行介入檢測(cè)防護(hù)�����,否則所做的防護(hù)工作往往事倍功半����。
問(wèn)題四:依據(jù)網(wǎng)絡(luò)殺傷鏈為指導(dǎo),每個(gè)階段應(yīng)具備什么樣病毒防護(hù)能力�����,銳捷可以提供什么樣的方案�?
從每個(gè)階段所帶來(lái)的影響分析,在網(wǎng)絡(luò)殺傷鏈的前三個(gè)階段進(jìn)行有效監(jiān)測(cè)防護(hù)�,是病毒防護(hù)的最佳階段,此時(shí)病毒還未對(duì)業(yè)務(wù)造成實(shí)質(zhì)的影響��,監(jiān)測(cè)防護(hù)工作所帶來(lái)的價(jià)值最為明顯�,下面我們通過(guò)不同階段的分析,提供合理的防護(hù)方案建議���。
1����、 偵查跟蹤階段
主要目標(biāo):攻擊者搜尋目標(biāo)主機(jī)的弱點(diǎn)
常用手段:高危端口探測(cè)��、惡意漏洞掃描����、身份憑證嘗試等
關(guān)鍵問(wèn)題:如何對(duì)可疑的探測(cè)行為快速的捕獲和判斷����?
銳捷解決之道:
?���、?RG-DDP 動(dòng)態(tài)防御:通過(guò)虛擬大量虛假主機(jī),快速誘導(dǎo)捕獲探測(cè)行為�����,構(gòu)建病毒入侵的快速監(jiān)測(cè)機(jī)制����,同時(shí)擴(kuò)大攻擊面��、延長(zhǎng)被入侵時(shí)長(zhǎng)��,降低攻擊成功概率�����。由于不采用特征庫(kù)���,天然解決了特征庫(kù)模式時(shí)效問(wèn)題��。
?、?RG-BDS 分析平臺(tái)+ 流量探針: 除了基于“安全特征”,還可依靠“行為模型”去發(fā)現(xiàn)未知威脅和攻擊�,擺脫特征庫(kù)時(shí)效的束縛。
2����、 載荷投送階段
主要目標(biāo):制作一個(gè)惡意程序工具,并投送到目標(biāo)主機(jī)
常用手段:惡意郵件鏈接���、網(wǎng)站頁(yè)面釣魚(yú)��、遠(yuǎn)程登錄等
關(guān)鍵問(wèn)題:如何對(duì)網(wǎng)絡(luò)傳輸文件進(jìn)行快速深度檢測(cè)�����。
銳捷解決之道:
?��、?RG-Sandbox 沙箱:支持在各類(lèi)虛擬環(huán)境模擬運(yùn)行文件和URL,根據(jù)運(yùn)行結(jié)果而非特征去判斷威脅�,對(duì)可疑文件進(jìn)行模擬運(yùn)行檢測(cè),所以不僅能檢測(cè)到已知威脅�,還可以檢測(cè)到未知威脅����。
?����、?流量探針:文件還原檢測(cè)��,結(jié)合威脅情報(bào)輔助�����,實(shí)現(xiàn)對(duì)文件的還原��、檢測(cè)�、存儲(chǔ)��,幫助用戶(hù)進(jìn)行威脅溯源�����。
?���、?RG-WALL 1600系列下一代防火墻:基于CPU+ASIC 架構(gòu)設(shè)計(jì)���,結(jié)合本地庫(kù)和云端庫(kù),提供及時(shí)更新的強(qiáng)大 AV病毒檢測(cè)能力���。
3����、 漏洞利用及安裝植入階段
主要目標(biāo):利用主機(jī)存在的漏洞�,運(yùn)行植入惡意程序
常用手段:惡意漏洞掃描利用
關(guān)鍵問(wèn)題:如何精準(zhǔn)評(píng)估漏洞風(fēng)險(xiǎn),讓安全加固更具備針對(duì)性
銳捷解決之道:
?����、?RG-BDS安全大數(shù)據(jù)分析平臺(tái)+ RG-SCAN漏洞評(píng)估系統(tǒng)����,實(shí)現(xiàn)攻擊與漏洞的自動(dòng)關(guān)聯(lián),讓漏洞不僅僅是孤立的存在���,與實(shí)際現(xiàn)網(wǎng)情況動(dòng)態(tài)調(diào)整風(fēng)險(xiǎn)�,讓安全加固更具備針對(duì)性��。
?、阡J捷網(wǎng)絡(luò)與火絨安全等終端殺毒軟件廠商建立合作生態(tài)��,實(shí)現(xiàn)整體病毒防護(hù)方案能力整合�,讓網(wǎng)絡(luò)監(jiān)測(cè)與終端檢測(cè)有效融合���。
4���、 命令與控制階段
主要目標(biāo):攻擊者建立控制系統(tǒng)的路徑
常用手段:C&C 回連、僵尸網(wǎng)絡(luò)
關(guān)鍵問(wèn)題:如何在網(wǎng)絡(luò)流量中發(fā)現(xiàn)異常的命令控制鏈接
銳捷解決之道:RG-BDS+探針+威脅情報(bào)協(xié)同����,實(shí)現(xiàn)對(duì)C&C 回連通信、僵尸網(wǎng)絡(luò)等威脅的檢測(cè)���,發(fā)現(xiàn)病毒威脅�。
通過(guò)以上整體病毒防護(hù)體系的建設(shè)��,讓病毒防護(hù)形成整體防護(hù)效應(yīng)�,通過(guò)各階段多層�、多維的監(jiān)測(cè)防護(hù)技術(shù),實(shí)現(xiàn)從病毒入侵開(kāi)始到結(jié)束整體過(guò)程的監(jiān)測(cè)防護(hù)�����,解決時(shí)效、單點(diǎn)�����、溯源的三大難題�����。
需要強(qiáng)調(diào)的是��,以上各階段的組件可通過(guò)RG-BDS大數(shù)據(jù)安全平臺(tái)協(xié)同聯(lián)動(dòng)����,實(shí)現(xiàn)病毒整體階段定位分析,
也可單獨(dú)工作��,實(shí)現(xiàn)各階段病毒定位防護(hù)����,銳捷提供的是一種整體方案,更是一種病毒防護(hù)的建設(shè)思路�����,讓安全建設(shè)不只是安全設(shè)備的盲目壘砌�,幫助用戶(hù)構(gòu)建整體安全防護(hù)體系�����。
1.jpg?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_1024,h_534)
.png?x-oss-process=image%2Fquality,q_50%2Fresize,m_fill,w_1024,h_683)
