1.终端安全风险
对于一个企业来说,90% 以上的员工需要每天使用PC终端办公,而终端是和互联网“数据交换”的重要节点,且员工的水平参差不齐,因此企业网 络中80%的安全事件来自于终端。终端已经成为黑客的战略攻击点。 黑客攻击的目的是获取有价值的“数据”。他们控制终端以后,可以直接种植勒索病毒勒索客户,更严重的是,黑客的目标往往是那些存储着重要 “数据”的服务器。受控的终端将成为黑客的跳板,黑客将通过失陷主机横向扫描内部网络,发现组织网络内部重要的服务器,然后对这些重要服务器发起内部攻击。
互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说,僵尸网络是最为严重的安全问题,黑客利用病毒木马蠕虫等等多种入侵手段控制终端,形成僵尸网络,进一步实现终端存储的信息被窃取 、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。
黑客可以利用僵尸网络展开更多的危害行为,如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的,危害非常大。
僵尸网络的主要危害有:
1.本地渗透扩散
2.敏感信息窃取
3.脆弱信息收集
4.高级持续威胁
5.看不见的风险
2.终端安全检测和防御技术
看似正常的网络中,隐藏着诸多安全风险,仅仅看到IP/端口/特征已经无法区分是否安全
终端安全检测和防御技术
基于七层应用的深度数据包检测可实现终端安全可控
2.1应用控制策略
应用控制策略可对应用/服务的访问做双向控制。
NGAF存在一条默认拒绝所有服务/应用的控制策略。
1.基于应用的控制策略:
通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。
2.基于服务的控制策略:
通过匹配数据包的五元组(源地址、目的地址、源端 口、目的端口、协议号)来进行过滤动作,对于任何包可以立即进行拦截动作判断
WEB过滤是指针对符合设定条件的访问网页数据进行过滤。
包括URL过滤、文件过滤。 根据HTTP不同动作进行区分。 可以针对HTTPS URL进行过滤
3.网关杀毒技术
3.1计算机病毒
3.1.1 计算机病毒定义
计算机病毒定义:
1994年2月18日颁布实施的《中华人民共和国计算机信息系统安全保护条例》 中明确指出:“计算机病毒,是编制或者在计算机程序中能插入的破坏计算机 功能或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程 序代码。”扫描二维码关注公众号,回复: 6455093 查看本文章
3.1.2 计算机病毒的特征
计算机病毒的特征
1.传染性
2.不可预见性
3.繁殖性
4.潜伏性
5.破坏性
6.隐蔽性
3.1.3 计算机病毒的工作步骤
机制循环
3.2 杀毒防御产品
3.2.1 杀毒防御产品发展和比较
单机版杀毒软件 》》》网络版杀毒软件》》》杀毒软件+杀毒网关
基于杀毒软件的防御是一种比较被动的解决方案,特别容易遭受到病毒的侵袭,每当出现新的病毒时,管理员往往会发现他们分身乏术,需要确保网络中的每一台终端设备都 要升级到最新的病毒库,如果哪一个节点没有按要求进行更新,就会成为网络中的一块短板,病毒将会乘机而入,迅速对我们的系统造成影响。
杀毒网关对企业的进站数据进行病毒扫描,把病毒完全拦截在企业的外部,以减少病毒渗 入企业后造成的危害,同时构建立体化的反病毒体系,从以往传统的单机版的杀毒、网络版的杀毒转变到全网立体化的病毒防护
3.2.2 网关杀毒
(1)功能优势
1.基于应用层过滤病毒
2.过滤出入网关的数据
3.网关阻断病毒传输,主动防御病毒于网络之外
4.部署简单,方便管理,维护成本低
5.与杀毒软件联动,建立多层防护
(2)实现方式
a 代理扫描方式
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
b流扫描方式
依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本地签名库进行匹配。
(3)配置思路
(4)效果显示
邮件杀毒
HTTP杀毒
4.僵尸网络检测和防御技术
4.1僵尸网络
4.1.1 僵尸网络的定义
僵尸网络(Botnet,亦译为丧尸网络、机器人网络)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客常说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。
4.1.2 僵尸网络的形成过程
传统防毒墙和杀毒软件查杀病毒木马的效果有限,在APT(高级持续性威胁) 场景下,传统防毒墙和杀毒软件更是形同虚设。
4.2 僵尸网络检测和防御技术
需要一种事后检测机制用于发现和定位客户端受感染的机器,以降低客户端安全风险。同时,记录的日志要求有较高的可追溯性。 感染了病毒、木马的机器,其病毒、木马试图与外部网络通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志
4.2.1 防御技术
(1)木马远控
对防护区域发出的数据及收到的请求数据都进行木马远控安全检测
(2)移动安全
包含apk包杀毒功能和移动僵尸网络检测功能
(3)异常流量
包含非标准端口运行对应协议检测,反弹检测, 启发式的dos攻击检测等手段
(4)恶意链接
针对可能导致威胁的 URL,如网页挂马、病毒下载链接进行检测拦截
a 恶意链接的匹配流程
1.匹配白名单 (匹配上直接 放行)
2.匹配黑名单(规 则库),匹配上根据策略配置执行动作。
3.黑白名单都匹配不上则上报云端分析。 如检测出恶意行为, 由云端下发给AF按照策略执行动作。
4.云端扩充黑名单到新版本恶意链接库
b 云端沙盒检测流程
1.可疑流量上报
2.沙盒执行检测
3.生成安全规则
4.云同步更新 同时安全规则下发
沙盒检测环境:
• 危险行为
• 进程操作
• 文件操作
• 网络行为
• 注册表操作
4.2.2 异常流量检测
1.通过对当前的网络层及应用层行为与安全模型进行偏离度分析,能够发现隐藏的网络异常行为,并根据行为特征确定攻击类型,发现特征匹配无法发现的攻击。
2.外发流量异常功能是一种启发式的dos攻击检测手段,能够检测源IP不变的 syn flood、icmp flood、dns flood与udp flood攻击。
3.外发流量异常功能的原理为:
当特定协议的外发包pps超过配置的阈值时, 基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容,得出分析结论,并将发现的攻击提交日志显示。
4.2.3 其他检测
1.与僵尸网络连接是最基础的判定方式,信息来源包括:上万台在线设备收集、与google等机构合作共享
2.对于未知的僵尸网络(存在大量DGA生成的C&C域名),通过模拟DGA算法总结特征/总结一般正常域名的构成方式来判定未知的僵尸网络
3.危险的外联方式检测,如使用已知的(IRC、HFS)与僵尸网络进行通讯
4.使用标准端口传输非标准协议(如:在80端口中传输RDP协议)
5.对外发起CC攻击
6.对外传播恶意文件
7.对外发送shellcode
8.检测出下载恶意文件、恶意PDF等行为
9.检测出下载文件与后缀名不符
10.上下行流量不符
4.2.4 误判排除
AF僵尸网络防护排除方式有三种:
1.发现某个终端的流量被AF僵尸网络规则误判,可以在僵尸网络功能模块下的排除指定IP,那么此IP将不受僵尸网络策略的拦截
2. 发现某个规则引起的误判拦截所有内网终端流量,可以在【安全防护对象】-【僵尸网络规则库】找到指定规则禁用后,所有僵尸网络策略都不会对此规则做任何拦截动作
3.也可以直接在内置数据中心中,查询僵尸网络日志后使用“添加例外”排除。
