終端威脅的進化
現今針對於終端的惡意威脅複雜性和多樣性都有顯著的變化和提公升,短短的幾年時間,惡意威脅就由原來的盲目、直接、粗暴的惡意攻擊手段轉變為有目標、精確、持久隱藏的高階威脅所取代。
同時現在高階威脅也並非像原來的單一的威脅事件,它們會依照安排好的多個階段進行有條不紊的開展,預估好每一步驟,通過偵測、**化、傳輸、漏洞利用、植入滲透、c2、竊取步驟達到最終的目的,並可在短時間造成使用者的慘重損失,但是要發現、解決則需要幾周或數月的時間,及越來越多傳統的安全解決方案的沒有辦法有效的解決高階威脅的問題。
同時,我們定義的終端不再僅僅是windows作業系統的計算機,當再提及終端的時候,指的可能是任何型別的機器,包括:膝上型電腦、台式電腦、伺服器、移動裝置、嵌入式裝置,scada系統,甚至iot裝置,面對繽紛雜亂的終端,很難以統一的方式保護他們免受從複雜的攻擊。
終端防禦技術:從靜態到動態
終端靜態防禦技術基本依靠已知樣本來識別惡意檔案、url等相關資訊,主要針對樣本靜態**特徵進行對比分析,同時依靠特徵庫的更新來發現較新的惡意威脅。但是隨著攻擊的進化,攻擊者們使用不同的技術來逃避傳統的檢測和防禦,同時每天新增捕獲大的惡意樣本,已經突破百萬級別,這種檢測手段顯得力不從心。
終端動態防禦技術用機器的力量對抗惡意樣本和大量變種,通過動態沙箱等技術進行對抗。目前的沙箱在虛擬**環境下執行未知檔案,通過其行為來判別威脅的一種方式。
但是攻擊者很快就意識到惡意樣本雖然不能迴避沙箱,但可以去主動檢測當前的執行環境是否為虛擬環境,而不是他們真正的目標終端,利用**時間有限,缺乏使用者互動,只有特定的作業系統的影象等途徑進行判斷。攻擊者利用這些技術來幫助確保他們的惡意**不會在模擬環境中執行,並直到達到最終目的。
新一代終端安全模型
新一代終端安全的核心是在利用已有的經驗和技術來阻止已知威脅的前提下,通過雲端威脅情報的能力、攻防對抗的能力、機器學習等方式,來快速發現並阻止先進的惡意軟體和零日漏洞等威脅事件。同時基於終端的背景資料、惡意軟體的行為、以及整體的高階威脅的生命週期的角度進行全面的檢測和響應。進行快速、自動化的阻止、補救、取證,從而有效的對終端進行防護。
但是大部分安全團隊都將重心放在了上半部分,希望能夠通過預設的安全策略和已知有的技術來阻止攻擊。但是很多安全團隊已經意識到,這種方案可以針對已知威脅進行阻攔,但是針對高階威脅卻沒有一項技術可以保證100%的安全,不被攻擊者突破。
所以,應該將針對高階威脅的防禦重心放在(圖1)的下半部分,針對高階威脅事件的實時檢測和自動響能力,並做到自動化的預防機制,以確保在安全事件發生後,可以第一時間做出正確的響應。
圖1.終端
針對於終端安全模型的下半部分,高階威脅需要用更好的方法來進行主動檢測,依靠自動化的智慧型響應,而不是依賴人為干預。
通過靜態技術、動態技術(上層維度),和基於行為的檢測和響應(下層維度)進行對比分析:
終端檢測和響應的特點
針對於高階威脅事件,在其發生前、發生中、發生後進行對應的安全檢測和響應動作。
安全事件發生前需要實時針對終端安全資料進行採集,便於以後利用收集的終端上下文資訊來跟蹤檢測到的威脅的根本原因。
安全事件發生時,結合威脅情報,形成對終端安全的感知,發現潛在的安全威脅並對安全風險進行預警。評估安全事件影響範圍,自動化的快速處置,減輕事件對企業帶來的損失。
安全事件發生後,通過已儲存的終端資料,溯源、追蹤事件引入終端,還原事件發生過程,對終端防禦體系不足部分進行修復、取證。
終端安全檢查和響應的能力
資料採集:在針對高階威脅的解決方案中核心是阻止高階威脅的針對性攻擊,由於攻擊者會利用多種手段來掩蓋他們的惡意行為,所以必須要通過終端上安裝輕量級**,實時記錄端點上行為資料、靜態樣本、軟硬體資產等資訊(例如:網路活動、磁碟和記憶體訪問、登錄檔資訊等),進行集中化儲存,便於實時的檢測和安全評估。
動態行為分析:動態行為分析不需要通過乙個個具體的威脅指標進行檢測,而是針對於終端的相關行為操作進行實時動態監測、分析,對於每乙個終端操作行為的真實情況進行檢測,以確定它是否為惡意行為。
雲端威脅情報:雲端的大資料威脅的情報作為威脅檢測的乙個主要**。將威脅情報實時和終端行為關聯分析後,確認企業上是否已經存在已經淪陷的終端。並對於發現的終端威脅情報進行端點之間的共享,以便立即免疫其它終端面臨此類的攻擊。
自動化響應:自動化響應是整體中最為重要的乙個組成部分,需要擁有靈活的策略手段,自動處置高階威脅在殺傷鏈中不同階段需要做出的對應的響應動作,例如結束程序、隔離檔案、補丁更新等,提供立即止損的手段。
修復、取證:惡意軟體會建立、修改或刪除系統檔案和登錄檔設定,以及更改終端配置。這些變化可能會導致系統故障或不穩定。需具備恢復的終端在執行惡意軟體前的狀態的能力,進行全面的安全補救。同時對於發生在整個組織的惡意活動清晰可見,便於安全人員能夠快速確定問題的範圍、影響,為上級單位提供更多資料,對威脅事件進行取證。
跨平台支援:終端定義已經擴大到不僅僅是執行windows作業系統的計算機,而是需要支援多個平台,並且可以針對異構混合的端點進行統一的管控。可以從乙個總的控制台來對windows和非windows終端包括os x,linux,和移動作業系統進行統一管理。
資料儲存能力:大型企業中涉及到成千上萬的終端和各地分散部署環境,所以終端安全檢查和響應就要求資料儲存平台本身可以進行擴充套件,以支援終端點數的快速增長,同時需要有具備海量的資料儲存和快速的計算能力。
情報共享:對於威脅事件生成終端威脅情報,對外分享和獲取更多的知識和攻擊行為的模式,豐富威脅情報**。支援、使用其它的標準格式(cef,stix,openioc),並能與領先的網路安全產品和解決方案進行對接和整合。
自適應安全體系結構:由gartner定義的自適應體系結構包括四個階段(預防、檢查、**和回顧)未來連續的監測和分析必須作為該體系結構的核心。乙個完整的終端安全解決方案應該與此體系結構的四個階段對齊,以提供全面的自適應保護,從而免受高階威脅的攻擊。
總結
在iot的時代,終端的安全防護比以往面臨著更加嚴峻的安全挑戰。不斷變化的業務型別,高度複雜的威脅攻擊造成了各類的安全漏洞,也降低了安全的可視性和可控性,帶來了安全管理的挑戰。
所以終端安全檢查和響應的能力,可以針對高階威脅提供持續的可視性、可控性,降低發現和處置高階威脅的複雜度,這種使安全團隊更加快速、智慧型的去應對各類威脅的模式勢在必行。
六 終端安全
2.6終端安全 目前主流的資訊保安產品從根本上來說,存在三大缺陷 1 以對外防護為主,對於訪問者的源端卻缺少相應的控制手段。2 作業系統自身缺乏安全性,有待使用安全級別更高的作業系統來滿足系統對安全性 的需求。3 安全性的實現是基於已有知識的後驗檢測,導致系統越做越複雜,系統出問題的可 能性卻沒有減...
關於安全產品和安全服務
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...
關於安全服務和安全產品
1 目前的現狀是什麼?在傳統的資訊保安廠商內部,安全服務和安全產品所佔的比重一直都是嚴重失調的,通常是二八開,即銷售額一般都是安全產品佔 80 安全服務佔 20 有的甚至更少。因此擺在公司決策者面前只會是產品比服務重要,因為賣服務不賺錢,賣產品才賺錢。這確實是目前在安全行業普遍存在的現象。從做服務和...