狙击病毒 收藏这一篇干货就够了
2019-08-29 来源:IT运维网
自 “WannaCry”勒索病毒爆发以来,慢慢淡出视线的病毒问题又开始在各企事业单位大面积肆虐,据国家互联网应急中心发布的2018年度安全态势报告统计,CNCERT 捕获勒索软件近 14 万个,全年总体呈现增长趋势,重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标,其中,政府、医疗、教育、研究机构、制造业等行业成为重灾区。如何有效进行防范病毒成为网络安全工作中亟待解决的难题。本文旨在通过对病毒关键问题的分析,帮助用户更全面梳理病毒防御体系的建设思路,同时提出锐捷网络病毒定位防护全流程解决方案。
问题一:为什么这两年病毒在各重点行业大面积爆发?
对于病毒攻击者来说,核心诉求是利益获取。以往的病毒攻击事件,大部分以数据盗取为主,同时通过数据倒卖等手段进行变现。受限于数据精准获取及变现渠道限制,更多以单点安全事件为主,很难形成规模爆发效应。而近几年随着虚拟货币的兴起,病毒攻击变现变得非常简单和隐蔽,攻击者只要掌握了资源的可用性,就可以借助网络货币快速变现,巨大利益驱使下导致以“勒索病毒”、“挖矿病毒”为代表的病毒不断蔓延。
问题二:为什么有杀毒软件、IPS、防火墙等安全防护措施,病毒依然泛滥?
杀毒软件、IPS、防火墙等传统防护手段,虽然必不可少,但均属于以特征库为核心的被动防护方案,在病毒防护的实际应用场景中,面临“时效、单点、溯源”三大核心问题。
1、防护时效的滞后
基于特征库的防御手段,对于病毒的防御均会经历:① 新病毒出现② 样本采集 ③ 厂商解读④特征提取⑤ 特征库更-⑥ 用户端更新 ⑦ 病毒检测与查杀,七个步骤。这个周期一般在数小时至数天之间。时效的天然滞后性,在应对频繁变种病毒时效果往往不尽如人意。据CNCERT统计,2018年全年勒索软件 GandCrab 更新了19 个版本,且由于勒索病毒性质的特殊性,一旦被感染,即使后续特征库更新,也可能造成无法弥补的损失。
在多数的用户网络中,常常以部署杀毒软件为唯一的病毒方案措施。锐捷认为,杀毒软件作为病毒入侵的最后一道屏障,必不可少,但却远远不够,一旦杀毒软件被突破,特别是新型的病毒,则会直接碰触到业务系统及数据。病毒防护必须依赖于全面的防护思路,通过多层、多维的防护措施,构建完整的病毒防护体系。
3、入侵难以溯源
溯源问题一直是安全防护中非常关键的一环,找到安全问题的源头,从根本上予以解决,才能避免陷
入救火式的工作模式中。而传统的以查杀为主的防范方案,并无法找到病毒入侵的源头,网络和系统的脆弱点依然存在,常常被重复利用,造成病毒问题周而复始。如何进行溯源体系建设是病毒防护中非常重要的一环。
问题三:如何建立合理、有效的病毒防御的体系,实现病毒问题可管可控。
在病毒防护体系建设时,我们需要分析病毒入侵的本质。虽病毒类型各异,但从病毒入侵的过程是存在共性的,这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程,一般会经历侦查跟踪、武器构建、载荷投诉、漏洞利用、安装植入、命令与控制、目标达成七个阶段,每个阶段均会有对应的行为或特征,可用于进行检测防护。当然对应的最有效检测防护技术手段也不一致,在越早的杀伤链环节发现和阻止攻击,病毒防护效果就越好,修复和时间成本就越低,而绝非只有到安装植入后,才进行介入检测防护,否则所做的防护工作往往事倍功半。
从每个阶段所带来的影响分析,在网络杀伤链的前三个阶段进行有效监测防护,是病毒防护的最佳阶段,此时病毒还未对业务造成实质的影响,监测防护工作所带来的价值最为明显,下面我们通过不同阶段的分析,提供合理的防护方案建议。
1、侦查跟踪阶段
主要目标:攻击者搜寻目标主机的弱点
常用手段:高危端口探测、恶意漏洞扫描、身份凭证尝试等
关键问题:如何对可疑的探测行为快速的捕获和判断?
锐捷解决之道:
① RG-DDP 动态防御:通过虚拟大量虚假主机,快速诱导捕获探测行为,构建病毒入侵的快速监测机制,同时扩大攻击面、延长被入侵时长,降低攻击成功概率。由于不采用特征库,天然解决了特征库模式时效问题。
主要目标:制作一个恶意程序工具,并投送到目标主机
常用手段:恶意邮件链接、网站页面钓鱼、远程登录等
关键问题:如何对网络传输文件进行快速深度检测。
锐捷解决之道:
① RG-Sandbox 沙箱:支持在各类虚拟环境模拟运行文件和URL,根据运行结果而非特征去判断威胁,对可疑文件进行模拟运行检测,所以不仅能检测到已知威胁,还可以检测到未知威胁。
主要目标:利用主机存在的漏洞,运行植入恶意程序
常用手段:恶意漏洞扫描利用
关键问题:如何精准评估漏洞风险,让安全加固更具备针对性
锐捷解决之道:
① RG-BDS安全大数据分析平台+ RG-SCAN漏洞评估系统,实现攻击与漏洞的自动关联,让漏洞不仅仅是孤立的存在,与实际现网情况动态调整风险,让安全加固更具备针对性。
4、命令与控制阶段
主要目标:攻击者建立控制系统的路径
常用手段:C&C 回连、僵尸网络
关键问题:如何在网络流量中发现异常的命令控制链接
锐捷解决之道:RG-BDS+探针+威胁情报协同,实现对C&C 回连通信、僵尸网络等威胁的检测,发现病毒威胁。
标签: 防病毒
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
最新资讯
热门推荐