瑞星叶超:决战企业网络之端

叶超:各位嘉宾,各位同行朋友,大家上午好!

叶超

今天我要分享的主题是决战企业网络之端,这个标题有两个重点,一个是决战,一个是端。什么是端?我们可以认为端是一个个人PC,是一个服务器,甚至我们的网络安全设备,还有我们的硬件防火墙。这些都是组成我们企业网络的一个端点。就是当我们的边界无法防御威胁的时候,很多威胁会到达我们的端。如果我们的安全措施在端上面都没有感知到威胁和防守住威胁,可以说我们的防御就是已经失败了。

首先看一下我们面临的威胁,要做好防守或者说要做好感知的话,我们肯定首先要了解一下我们会面临的威胁。作为一个安全厂商的角度来看,首先就是我们已经知道的,我们已经可以职别的这样一些威胁,比如我们的恶意软件、网络攻击,还有分布在互联网上的各个IP地址,被黑客控制的,曾经发起过攻击的IP地址,阻击或者说是域名这些。这些其实我们现在已经有非常成熟的运行方式了,比如我们的反病毒软件和防火墙等等,已经有了一个非常成熟的防御体系和基础设施。再来看一下未知威胁,我们目前遇到的未知的威胁,大部分是目前已知威胁的一些进化,他们一般会延续已经采用的一些手法,产生了所谓的新的恶意软件或者所谓新的网络攻击。更多的情况下是一些新的伪装或者是一些新的便携的手段,绕开了我们目前已经有的一些安全的体系,其实本质上发挥的变化是非常少的。面对这些未知威胁,一般公司会采取模式化的检测,还有就是基于机器学习的检测。前一个是根据安全研究人员本身的经验,还有一个是下一个数据,通过机器学习的方式学习一套检测的模式。使用的攻击的手段和方法,还有一些重要的软件其实是非常多的。之所以叫APT,本质上还是一个长期准备,长期潜伏以及持续性渗透的这么一个过程,它的目标肯定是被攻击目标的数字资产。

对于APT攻击的应对方式,其实我们现在安全企业也做了很多相应的应对方式,比如现在跑入流量,将文件还原之后放在沙箱中跑的这么一个沙箱系的产品。反病毒公司,一般会采用一些启发式的扫描。还有一些是基于数据的,比如我们的感知体系以及威胁情报,最后一个良好的安全管理体系,其实也是我们企业内部应对APT攻击的一个非常重要的一环。

近几年曝光了很多的APT攻击,我们也看到了很多的报告,在这里简单列了一下它们的特点。目前我们看到大多数的APT攻击基本上是完全符合Kill-Chain这个模式。投递的环节是最脆弱的,因为我们看到的攻击其实投递环节是不受攻击者控制的,当我们发出邮件,或者说我们挂了一个网站的码之后,攻击者只能等待被攻击者上当。另外就是APT其实要以不暴露为第一原则,如果暴露的话,其实就意味着行动的失败。我们在泄漏的资料当中其实已经可以看到,像这些专业的攻击组织,其实都会对现有的安全产品做测试。另外就是他们会规避,如果说我们的终端上面,电脑上面装了安全软件了,可能会不执行,隐藏了他的行为,放弃这次攻击。还有就是他们会建立类似于洋葱网络的这样一个分布式加密传输的网络,来逃避流量的追踪。

大家经常看过一些APT攻击之后,这次NSA武器库的泄漏也是给了我们一些启示,我们的对手非常强大,直接可以通过网络就接管内核了,整个流量其实是隐藏的,投递负载的时候,其实是通过隐藏在正常的协议流量当中,我们其实是没有办法还原的。在端上面是一个无痕的投递,会有电子邮件附件,会有一个脚本或者是Flash,在终端上面都会有文件生成。但是NSA武器库完全是在内存里面来实施的。最后一点就是上一次的NSA组织出来的这些,其实会攻击我们的基础设施,包括安全的基础设施,比如说我们的防火墙。

看完了我们需要应对的威胁,我们需要的对手,我们再来看一下企业本身的需求。这是来自企业的一些需求,整理一下大概是三个方面:一是运维管理的需求;二是威胁检测的需求;三是风险处置的需求。看完威胁和需求之后,我们就会想一些需要采取的方案。理想中的方案肯定是一体化的方案,从企业内部的端和企业网络中安全的基础设施以及整个网络基础设施,最后到上面的行业软件,这四个点组成在一起,来共同的搭建一个安全的环境,或者说提供一个安全处置的环境。

作为一个安全公司来说,我们不可能把所有的事情都做了,所以说我们还是应该聚焦在满足企业的安全需求上面。尤其是应对未知威胁以及APT攻击,刚才说了,其实已知的威胁我们都已经有一套非常成熟的方案了。在应对未知威胁以及APT攻击时候,我们其实和客户之间应该达成一个共识,我们能感知到这个攻击其实比防御更加重要,我们能掌控这个攻击,比立刻处置掉更加重要。有时候我们为了了解我们的敌人到底是谁,其实我们还可以采取一些策略,比如说诱敌深入、欲擒故纵,或者最后来一个瓮中捉鳖。想做到这些策略,其实我们就需要有一个非常好的对企业网络内部已经感知到威胁的一个掌控能力。

说完这些,我提出今天最重要的一个观点,其实端是我们必然的重点,不管是满足企业的需求,还是应对已知、未知和端威胁。从企业来看,很多的需求都需要在端上面实现。从威胁本身来看,企业里面的端、服务器等等,其实上面承载着很多企业的数字资产。既然承载着数字资产,必然是攻击者的目标所期望得到的东西。同时端上面也是攻击实施的一个土壤,刚才吴院士也讲了,其实我们做的是系统安全,这个系统上面其实有很多的问题,我们每天都在挖掘或者说每天都在报告出来的漏洞,其实大多数的还是系统上面的漏洞。既然有漏洞,就会有一个攻击实施的土壤。最后端上面也是攻击现行的一个场所,为什么现在很多做沙箱的企业他们还是转回来做终端安全?因为沙箱里面攻击可能不限行,那你又能知道什么呢?

我们要在端上面做一些事情的话,其实也会遇到很多的限制因素。比如说我们客户的需求。客户希望得到一个更小、更快、更方便、更易用,但是效果又更好的这么一个方案,这里面可能会有一些需要去权衡的东西。另外我们端内的环境是错综复杂的,要面临着很多的友商或者其他行业的一些软件,我们能不能解决各种软件的冲突?因为安全软件其实很多时候都是类似于设置各种关卡,需要检查等等,可能会造成软件之间的冲突。

鉴于上面说的,我们来看一下实践,就是TDIP威胁检测和洞察平台。我们定了三个目标:一是对端造成最小的影响;二是在端上面获取更多的数据;三是数据集中起来之后,我们要做一个分析,最终来达到一个对于未知威胁、未知攻击最敏锐的洞察力。大概的步骤是四个:一是感知,我们要收集数据;二是分析,要实时的分析和统计;三是利用这些分析、统计和原始数据做出威胁的洞察;四是对威胁的响应,我们要处置掉这些威胁。

这是整个数据实时处理的过程。我们从最左侧的个人电脑、服务器和蜜罐,还有我们的防火墙等等安全设备,把它们的数据集中起来,在企业个性化参数的指导下来做一个数据的预处理以及相应的一些分析,这里最主要的是一个实时的未知威胁分析。另外这些数据处理完之后我们会录入到一个大数据存储平台,录入进去之后,我们可以做一些离线的分析。比如说日常习惯的学习,或者说是回顾式威胁的检测,比如说我们经常会遇到爆发了某一个安全事件,我们需要做一个安全的巡查,安全通报过来之后要检查一下,我们企业内部到底曾经有没有被威胁感染过,这个时候我们就可以用这种回顾式的安全的检查。另外就是威胁的拓扑,还有威胁的溯源这些工作,我们都可以在这个数据平台上面去做。

TDIP提供了五种最基本的处置方法,比如隔离我们的风险程序,当我们发现风险程序的时候可以隔离掉,瑞星是做杀毒软件的,这方面的经验比较丰富。另外是隔离风险端,从网络脱离,当然也可以分配掉外面的恶意地址,最后还可以切断网间的互联,就是通过我们的防火墙以及防火墙设备。对于生产环境下的服务器,我们不提供直接的处理方式,还是提供一种指导,让运维人员去处理。

我们在端上传感器的工作,主要是提供了Windows以及Linux两个平台的传感器,有两种模式,其中一种是Inspection模式,更多的在Windows上面工作,我们有一个比较成熟的Windows上面的监控,Windows也提供了很多的方案。Linux我们提供观察模式,尽量的不影响服务器,收集的数据也是比较多的,比如内部一些进程的事件,文件的变动,网络的事件以及关键的数据等等,最后我们还加了一个诱饵的事件。

这个系统当中,主要有三种数据表达的方式:一是三元组,任何数据的三元组,这个三元组主要是来表示一个事务的属性,某一个事件发生了什么事情,还有某两事务之间的关系。我们通过这个三元组,也是我们整个系统当中最重要的一个数据表达形式,主要用来实现我们的因果推理,事件链的分析和拓扑发现;二是快照,主要是应用在观察模式,我们会比对前后的两个快照来发现数据的变化;三是性能监视数据,我们可以实时的观察到服务器的负载等情况。

下面来看一些简单的展示。这是一个统一的终端管理,在这个上面我们可以看到所有受控的端,每个端我们可以有一个实时的状态展示,比如CPU以及内存的使用情况,以及终端上面正在发生的事件,这边我们可以看到这台机器正在打补丁。全网的报警列表,我们可以把网络中有报警的计算机列出来,当然我们也可以看到详细的报警日志,也可以看到详细的报警事件到底是什么情况。威胁的溯源,首先找根原因,当我们发现一个文件,我们要找到这个文件第一次是什么地方出现的,找到根原因之后,我们可以在这个根原因的基础上做一个威胁的上溯。我们来看这个根原因之前到底发生了什么,比如说这边我从一个比较野的下载站下了一个输入法,这个输入法其实会释放一个浏览器的安装,这个浏览器最终释放出来之后会访问一个特定的网址,我们可以根据最后访问的网址来追溯到整条事件链,这样一步步下来。

我也通过Peddle Cheap投递了一个勒索软件Tesla,我们通过Tesla释放的说明文件,来解密到底在哪个终端上面最早出现了这个勒索软件,是由谁来释放的。我们看到,其实这个进程是一个系统进程,这是因为我在Peddle Cheap里面选择了让这个进程来做这个事情。由于我们的整个数据系统是基于全文检索的,所以你甚至可以用一个关键词去找到它的一个事件链。还可以对于某一个威胁来评估整个企业网络内部受影响的端到底有多少。

这边是一些基于快照的关键项目数据变化的历史。我们可以看到,比如机器上用户的变化、共享的变化,我们的硬件、软件以及漏洞都可以在这里完成,其实相当于一个用户的资产管理。后面要讲的就是我们的常规习惯学习,这边还是刚才那个例子,我们观察的上一幅图,第一幅图是我们观察Lsass这个Windows的系统进程,我们观察了三四天,其实不会出现进程创建这么一个行为,因为它本身就不具备这样的行为。当我们通过Peddle Cheap投递这个负载时,就产生了进程创建行为。在这一点上面我们发现了异常,不同于它常规的习惯。我们的习惯的学习,不仅仅是针对于进程,我们也可以针对一个终端或者说一个子网。

最后要讲一下这个里面对于未知攻击以及未知威胁最重要的一个技术,就是集中式的行为分析。行为分析其实是一个非常好的应对未知威胁、未知攻击的方法和技术手段。我们瑞星其实从2007年就开始做行为分析技术,比如当年我们做了木马行为分析以及挂马行为分析,在IE6比较盛行的年代。2008年的时候我们做了产品化,2009年的时候,因为这个漏洞的出现,出现了黑客蠕虫,当时我们还特地加强了网络蠕虫的一个检测。

2017年的时候,我们为了应对WannaCry的爆发,我们专门研发了“瑞星之剑”,是专门针对勒索软件的通用防护方案。我引入“诱饵”之后,进一步发展了这个行为分析技术,在端上工作的时候,其实我们也是加入了很多“诱饵”。从2007年到2017年正好是10年,也是正好印证了十年磨一剑的这么一句俗语。

刚才讲的都是在一个端内的,在一台电脑内,我们现在要做的是,不仅在端内,我们还要在整个网络上,我们要把端上的事件,不管是原始的事件还是分析之后的事件都集中到我们的数据中心来做一个集中的分析。这时候它能感知到的这个事件就更多了,不仅仅是一个端上的事件,还有我们蜜罐的事件,还有我们网络设备的事件等等。比如说文件在网络中传输,在内网传输。因为TDIP本身是一个数据平台,可以做一些程序的习惯学习,一些数据的统计,另外还可以接入威胁情报。这些更多数据的支撑,更多类型的事件,最终这个集中式的行为分析将获得一个更好的全局观,有一些网络层面上的威胁或者是异动,我们可以通过这个集中式的行为分析来发现。

最后强调一下我的观点,端上是威胁亮底牌的地方,也是我们安全厂商同威胁决战的地方。刚才吴院士也讲了,我们的网络,比如说IPv6是有默认的加密机制的。我们现在更多的去使用HTTPs,很多时候我们的边界产品没有办法全还原,这个时候,其实端就成为了整个企业安全的最后一道防线,这就是为什么说我们要在这个地方同我们的敌人来进行决战。谢谢大家!

上一篇:郭启全:关键信息基础设施保护的对策措施

下一篇:微软邵江宁:穿越物理和数字空间的边界:万物互联时代的网络安全挑战与对策