新一代殺毒策略 “組合拳”打敗網(wǎng)絡(luò)“高級黑”

       美國FBI（聯(lián)邦調(diào)查局）一位高管曾說：國際上只要兩種企業(yè)，一種是知道自己已被黑客APT侵略的；另一種是還渾然不知道的。

APT指高檔持續(xù)性要挾（Advanced Persistent Threat），它的“高檔”在于“用特務(wù)打頭陣”。例如，谷歌遭受的著名的“極光舉動”中，黑客研討了一位谷歌普通員工與老友的共同愛好，假裝成其老友向其發(fā)送郵件，員工訪問郵件后中招，谷歌內(nèi)部終端被不知道歹意程序滲透數(shù)月，竊取了很多信息。

“它潛伏下來，不做什么壞事，每天像正常‘員工’相同來系統(tǒng)‘上班’，漸漸的傳統(tǒng)安全系統(tǒng)會以為它并沒有進(jìn)犯的特點(diǎn)。”亞信安全通用安全產(chǎn)品總經(jīng)理童寧解說，APT的善假裝、善潛伏、伺機(jī)而動，讓網(wǎng)絡(luò)安全的“老三樣”（防火墻、侵略檢測、殺毒軟件）防不勝防，迫切需求一種全新的網(wǎng)絡(luò)安全辦理戰(zhàn)略。為此，近日亞信安全發(fā)布安全高檔要挾辦理XDR戰(zhàn)略，將發(fā)現(xiàn)、呼應(yīng)等才能組合起來，從監(jiān)測、發(fā)現(xiàn)、驗(yàn)傷、應(yīng)對、止損等多個(gè)節(jié)點(diǎn)上加強(qiáng)安全辦理，打出安全“組合拳”，拆穿黑客中的特務(wù)安排以及背后的主腦“黑手”。

進(jìn)犯方法“大集錦”，辨識黑客“門派”

現(xiàn)實(shí)中的案件發(fā)作后，警方會把周邊的攝像頭數(shù)據(jù)悉數(shù)調(diào)出來，相關(guān)一下，找到人物和時(shí)間線索，很快能夠抓到罪犯。但是在虛擬的網(wǎng)絡(luò)環(huán)境里，人們看不到人，看到的只要程序、算法、文件等虛擬的字符串，怎樣確定黑客呢？

“不同的黑客有不同的‘招法’，就像咱們在武俠故事里經(jīng)?？吹降拿恳粋€(gè)派系都有自己的招法，其實(shí)在安全行業(yè)里面也是這樣，一個(gè)黑客是哪個(gè)安排的，能夠經(jīng)過看他的進(jìn)犯方法和特征來判別。”亞信安全通用產(chǎn)品辦理副總經(jīng)理劉政平說，因而針對黑客的行為去建立一些模型或許規(guī)則，能夠?qū)诳偷倪M(jìn)犯進(jìn)行剖析判別，這樣的研討被稱為IOC，即黑客進(jìn)犯行為的研討。因而，情報(bào)機(jī)制非常重要，“盡管黑客在暗、咱們在明，但將他們的蛛絲馬跡歸納起來，將非常有助于對不知道要挾的防范。”

一個(gè)企業(yè)關(guān)于要挾的偵測才能與其掌握的要挾情報(bào)體量和剖析要挾情報(bào)的才能密切相關(guān)。這就比如一個(gè)人的常識廣度和剖析才能決定了他的認(rèn)知才能。怎樣能夠關(guān)于要挾既不“風(fēng)聲鶴唳”，也不“大意大意”呢？

為了更精確預(yù)測黑客打聽背后的要挾，亞信安全構(gòu)成了本地和云端要挾情報(bào)雙回路的系統(tǒng)。劉政平解說，比如當(dāng)企業(yè)中有很多的網(wǎng)絡(luò)數(shù)據(jù)流，或許歹意文本，該系統(tǒng)能夠據(jù)此經(jīng)過要挾情報(bào)去檢索，看看這種東西有沒有在企業(yè)其他地方出現(xiàn)過、發(fā)作過，它的進(jìn)犯實(shí)質(zhì)是什么，怎樣預(yù)防。如果本地沒有匹配的要挾情報(bào)，將進(jìn)一步把這些異常表現(xiàn)放到云端要挾情報(bào)庫匹配，尋覓蛛絲馬跡。“前者是依據(jù)咱們協(xié)助企業(yè)來做相關(guān)的常識庫和常識系統(tǒng)；后者是購買、共建的全球范圍情報(bào)系統(tǒng)。”劉政平說，這兩個(gè)系統(tǒng)互為補(bǔ)充、互通有無。當(dāng)本地要挾情報(bào)承認(rèn)后，會交給云端要挾情報(bào)共享給全球的其他用戶使用。其他用戶的本地情報(bào)也會參與組建要挾情報(bào)，共享共用。

練就“火眼金睛”，定性、定量查出真要挾

有安全人士慨嘆：有了APT，網(wǎng)絡(luò)的國際也不再是“非黑即白”了。

以往的病毒就是病毒，它們的特征會被調(diào)集進(jìn)病毒庫，列進(jìn)“黑名單”中。系統(tǒng)不斷更新病毒庫，就能不斷辨認(rèn)這些被通緝的“病毒”。“人們越來越認(rèn)識到，防范已知要挾遠(yuǎn)遠(yuǎn)不夠，不知道要挾、高檔要挾開端對咱們的企業(yè)產(chǎn)生巨大的損壞。”亞信安全產(chǎn)品總監(jiān)白日說，例如，伊朗布什爾核電站遭到Stuxnet蠕蟲進(jìn)犯、烏克蘭電廠的勒索病毒爆發(fā)……這意味著殺毒軟件、身份認(rèn)證、防火墻的“防衛(wèi)打法”開端不見效了。

2010年開端，包括機(jī)器學(xué)習(xí)、行為學(xué)習(xí)、大數(shù)據(jù)、相關(guān)剖析在內(nèi)的可預(yù)測技能開端協(xié)助人們發(fā)現(xiàn)不知道的可疑要挾。但是，單純地發(fā)現(xiàn)帶來的是“告警”無數(shù)的窘?jīng)r。

“就好像每天有無數(shù)的嫌犯進(jìn)入警察的視野，怎樣分辨轉(zhuǎn)變成主要問題。”白日說，企業(yè)需求處理和呼應(yīng)的要挾告警越來越多，適當(dāng)大部分需求人工進(jìn)行干預(yù)。企業(yè)的痛點(diǎn)是，人力不夠，不會處理。

“企業(yè)看到了告警，但看不懂要挾，不知道該怎樣判別要挾是不是真實(shí)發(fā)作了，也不知道該怎樣去承認(rèn)這個(gè)要挾的實(shí)質(zhì)，弄清要挾的進(jìn)犯者有什么意圖，隨后會產(chǎn)生什么樣的影響。”白日解說，也就是說，大部分收到要挾告警的企業(yè)不知道下一步怎樣去作定性和定量的剖析，定性是弄清楚黑客的意圖，定量是弄清丟失情況及被進(jìn)犯到哪一步。

“定性剖析首先判別告警是真仍是假；其次判別要挾的實(shí)質(zhì)是經(jīng)濟(jì)類的違法，仍是民事類的違法，例如類似于加密DDoS軟件進(jìn)犯，仍是一個(gè)歹意垂釣的進(jìn)犯，或挖礦進(jìn)犯等，經(jīng)過進(jìn)犯模式判別意圖。”白日解說，深度要挾剖析設(shè)備能夠在沙箱的環(huán)境下，高效率地模擬運(yùn)行外部進(jìn)犯，判別進(jìn)犯意圖。

定量剖析經(jīng)過網(wǎng)絡(luò)取證和主機(jī)取證的技能，把黑客的進(jìn)入途徑、留下的痕跡進(jìn)行追蹤和剖析。白日解說，就如同在小區(qū)的攝像頭上發(fā)現(xiàn)黑客進(jìn)入到小區(qū)之后怎樣進(jìn)入到家里，又做了什么事情相同，復(fù)原事件的經(jīng)過。經(jīng)過進(jìn)行場景回溯，能夠得知網(wǎng)絡(luò)上的主機(jī)或許終端遭受哪些感染、損壞或竊取。

精細(xì)編列“預(yù)案”，敏捷應(yīng)急處理

掌握了一切情報(bào)，并且復(fù)原了案件的發(fā)作，終究是為了施行“抓捕”。

“為了做到快速呼應(yīng)必須有‘預(yù)案’，咱們能夠依據(jù)要挾的性質(zhì)，經(jīng)過要挾呼應(yīng)的腳原本執(zhí)行相關(guān)的呼應(yīng)戰(zhàn)略。”童寧解說，例如接到了加密的勒索郵件進(jìn)犯，能夠先到郵件服務(wù)器上把相關(guān)的郵件刪除，然后經(jīng)過終端（電腦）來做進(jìn)一步的康復(fù)處理，最后再在網(wǎng)關(guān)上建“防護(hù)網(wǎng)”避免類似的加密勒索郵件再次進(jìn)犯。

“預(yù)案”是為了告訴企業(yè)，在遭到某類進(jìn)犯之后，按照一定的流程操作就能夠把丟失或影響減到最小，并且提高自身的防護(hù)才能。

“咱們提出經(jīng)過精細(xì)編列才能打造一套安全聯(lián)動運(yùn)維系統(tǒng)的理念。”白日表明，使用精細(xì)編列的聯(lián)動安全解決計(jì)劃將安全產(chǎn)品以及安全流程連接和整合起來，經(jīng)過全面收集的安全數(shù)據(jù)和告警，集成人工專家以及機(jī)器學(xué)習(xí)的力量來進(jìn)行事故剖析。

為此，亞信安全提出將整個(gè)要挾發(fā)現(xiàn)、處理、呼應(yīng)流程中的“準(zhǔn)備、發(fā)現(xiàn)、剖析、遏制、消除、康復(fù)、優(yōu)化”7個(gè)階段整合為XDR計(jì)劃。

劉政平解說：“X是指各種或許的場景，不管黑客在什么場景進(jìn)犯，工業(yè)仍是車聯(lián)網(wǎng)，都要有相應(yīng)的應(yīng)對方法。D是指傳感器，在虛擬國際，不管是在云的架構(gòu)上，仍是網(wǎng)絡(luò)架構(gòu)上，仍是在終端層面，都要有不同的監(jiān)控機(jī)制和數(shù)據(jù)的復(fù)原機(jī)制。R是指呼應(yīng)，經(jīng)過精細(xì)編列，依據(jù)不同的事務(wù)特征、不同的進(jìn)犯來編列精準(zhǔn)的呼應(yīng)，并且越來越傾向于自動化。”

什么樣的技能能讓呼應(yīng)來得更快、更簡單？

童寧以為，“紅客”經(jīng)歷的堆集和提煉，所構(gòu)成的呼應(yīng)預(yù)案將能夠推進(jìn)APT辦理才能的進(jìn)化。“XDR是一個(gè)開放的計(jì)劃，需求未來更多的經(jīng)歷、數(shù)據(jù)和技能的堆集，意圖是用融合力改動業(yè)內(nèi)分散片面的堆疊式的安全應(yīng)對‘招數(shù)’，構(gòu)成‘組合拳’，應(yīng)對挖空心思的APT。”