無效防護(hù)才是WANNYCRY暴露出的更大問題

成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于成都網(wǎng)站制作、網(wǎng)站設(shè)計(jì)、懷柔網(wǎng)絡(luò)推廣、微信小程序、懷柔網(wǎng)絡(luò)營銷、懷柔企業(yè)策劃、懷柔品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運(yùn)營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎(jiǎng)；成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供懷柔建站搭建服務(wù)，24小時(shí)服務(wù)熱線：028-86922220，官方網(wǎng)址：aaarwkj.com

之前很多人曾與我交流過一個(gè)問題——如何看待WannaCry事件中我們所暴露出的響應(yīng)問題？但以我的個(gè)人觀點(diǎn)來看，在國家網(wǎng)信辦等相關(guān)應(yīng)急機(jī)構(gòu)的統(tǒng)一指導(dǎo)下，廠商針對(duì)WannaCry的應(yīng)急整體上是成功的，我們有效地遏制了它在互聯(lián)網(wǎng)側(cè)的大規(guī)模傳播，也有效地防止了大面積出現(xiàn)周一開機(jī)“中毒”的次生災(zāi)害。

實(shí)際上，無效防護(hù)才是WannaCry事件所暴露出的更大問題。因?yàn)閃annaCry本身是一個(gè)通過安全的基本動(dòng)作就應(yīng)該可以防住的威脅，其本身并非一個(gè)新的勒索軟件，實(shí)際上在此前已經(jīng)出現(xiàn)過相應(yīng)的版本。但之所以產(chǎn)生了如此大的影響，是因?yàn)槠涫褂昧嗽?017年4月14日暴露的美方軍火級(jí)的漏洞，但早在2017年3月份，微軟就已經(jīng)針對(duì)該漏洞發(fā)布了相關(guān)補(bǔ)丁。也就是說，在這兩個(gè)月的時(shí)間內(nèi)，受感染的機(jī)器都沒有打上相應(yīng)補(bǔ)丁。

我們還需要看到一個(gè)問題，勒索軟件本身并不是一種適合以應(yīng)急響應(yīng)方式進(jìn)行處置的威脅，因?yàn)槔账鬈浖斐傻氖聦?shí)后果是對(duì)文件進(jìn)行加密，不交付贖金，就不進(jìn)行解密（但是在這次的WannaCry事件中，一方面，我們發(fā)現(xiàn)了其刪除原來未加密文件的方式不像其他勒索軟件一樣非常嚴(yán)密，可以恢復(fù)；另外一方面，法國的研究者發(fā)現(xiàn)Windows加密的API具有一定的漏洞，如果沒有重啟，是可以部分恢復(fù)的）。對(duì)于大部分的勒索軟件而言，文件恢復(fù)的有效性、內(nèi)存解密的有效性其實(shí)都很小。

更有甚者，通過這次針對(duì)烏克蘭的冒充為勒索***的“必加”事件可以發(fā)現(xiàn)，其本身并不是為了勒索，其作業(yè)方式是，生成一個(gè)自己也解密不了的隨機(jī)密鑰去加密受害者的文件，其目的就是要破壞掉整個(gè)系統(tǒng)。這種破壞一旦發(fā)生只能通過備份數(shù)據(jù)進(jìn)行應(yīng)急，如果沒有備份數(shù)據(jù)，且一旦在防護(hù)側(cè)沒有達(dá)成相應(yīng)的防護(hù)效果，整個(gè)威脅開始發(fā)散，那么整個(gè)應(yīng)急成本將是不可收斂的。

可見，無效防護(hù)才是WannaCry事件所暴露出的我們當(dāng)前的更大問題，一旦大量事件都是因?yàn)闊o效防護(hù)而爆發(fā)的，那么整個(gè)壓力就將轉(zhuǎn)嫁到態(tài)勢(shì)感知體系和相應(yīng)的研判策略上。

有效防護(hù)

此前非常流行的“暗云”***的一個(gè)非常大的特點(diǎn)是，它是一個(gè)擁有Bootkit機(jī)制的***家族，通過流氓劫持和DDoS等方式牟利，根據(jù)監(jiān)測(cè)，其已經(jīng)在國內(nèi)形成百萬量級(jí)的節(jié)點(diǎn)感染。它不僅僅通過感染MBR的方式實(shí)現(xiàn)加載，而且具有一系列非常復(fù)雜的驅(qū)動(dòng)機(jī)制，可以干擾安全產(chǎn)品對(duì)于MBR的讀取和處置。一旦該***寫入MBR，就將形成頑固感染，處置將十分困難。

實(shí)際上，任何安全產(chǎn)品都不能保證其能夠絕對(duì)地識(shí)別出哪個(gè)威脅，但是我們可以提煉出相應(yīng)的威脅行為。在把整個(gè)病毒庫關(guān)閉之后，如果在終端防護(hù)上來執(zhí)行“暗云”***，它就會(huì)攔截掉修改MBR的行為，從而使其引導(dǎo)鏈不能成立。

防護(hù)有效性全面降低處置成本

WannaCry勒索病毒并不是一種新的威脅形式，而是一種從歷史上一脈相承的威脅形式，只是隨著近幾年比特幣和暗網(wǎng)的流行，才成為一種典型的方式。因此，既然***者是要進(jìn)行勒索，就一定要批量地進(jìn)行文件操作，原則上來看，非受信程序進(jìn)行批量文件操作就是一種威脅的行為。

終端防護(hù)需要內(nèi)置一整套包括行為分析、誘餌文件的分析機(jī)制。如果把WannaCry拿到終端防護(hù)產(chǎn)品上執(zhí)行，并把病毒庫檢測(cè)都關(guān)閉，則其不能實(shí)現(xiàn)有效的加密。

端點(diǎn)有效防護(hù)

在此情況下，通過主機(jī)加固、主機(jī)的邊界防御、未知威脅防御、未知威脅鑒定、APT追溯和定點(diǎn)清除就可以構(gòu)成端點(diǎn)的有效防護(hù)。在一個(gè)行業(yè)體系內(nèi)部，當(dāng)大量的問題可以發(fā)現(xiàn)于防御端點(diǎn)時(shí)，就使得需要上層態(tài)勢(shì)感知系統(tǒng)進(jìn)行作用的相關(guān)安全事件發(fā)生全面的收斂。因此，把端點(diǎn)安全拋棄在態(tài)勢(shì)感知之外，是非常不明智的決定，端點(diǎn)既是態(tài)勢(shì)基礎(chǔ)的采集支撐，同時(shí)也是態(tài)勢(shì)策略有效的落實(shí)手段。

從日志留存到全要素采集

過去以SIEM和SOC為基礎(chǔ)的系統(tǒng)，所依賴的其實(shí)是日志留存。這種日志留存的本質(zhì)，無論相應(yīng)對(duì)象是一個(gè)載荷，還是一個(gè)數(shù)據(jù)包，除了應(yīng)用層的系統(tǒng)日志之外，更多的是基于檢測(cè)引擎和規(guī)則庫的匹配結(jié)果。我們?cè)啻谓榻B過，惡意代碼的檢測(cè)其實(shí)是由歸一化檢測(cè)、精確檢測(cè)、未知檢測(cè)多個(gè)分支共同維護(hù)的體系。從流量上來看，其實(shí)是圍繞著五元組和檢測(cè)名稱形成的結(jié)果，這就意味著對(duì)所有檢測(cè)不出來的對(duì)象全部放行。但在如此復(fù)雜的***條件下，我們必須假定第一***波是檢測(cè)不出來的，就像在軍事斗爭(zhēng)中，敵人的F-22隱形飛機(jī)飛來了，而我們是發(fā)現(xiàn)不了的，那么我們能否實(shí)現(xiàn)后續(xù)的有效攔截和有效止損？

流量可靠采集

這時(shí)就產(chǎn)生了我們?nèi)绾卧诹髁總?cè)進(jìn)行可靠采集的問題，它不僅是傳統(tǒng)的單包檢測(cè)，其實(shí)是對(duì)IP、域名、URL、文件、會(huì)話、賬戶信息等形成全面的采集能力，包括流檢測(cè)、包檢測(cè)、信標(biāo)檢測(cè)、文件檢測(cè)、深度檢測(cè)和行為分析等，最后從態(tài)勢(shì)的角度來看，形成支撐威脅信息、威脅行為和威脅分布的價(jià)值。

整個(gè)流量采集主要分成三個(gè)步驟：

第一，實(shí)現(xiàn)相應(yīng)的全要素采集，即從傳統(tǒng)的五元組采集能力擴(kuò)展到如今美國人所講的十三元組采集能力；

第二，要對(duì)大量的應(yīng)用側(cè)信息進(jìn)行提取，之后進(jìn)行多維度的對(duì)相應(yīng)采集對(duì)象的檢測(cè)；

第三，在檢測(cè)本身之上還要實(shí)現(xiàn)基于場(chǎng)景賦能的深度能力賦予。

可靠采集——全要素采集

傳統(tǒng)的協(xié)議解析實(shí)際上是基于對(duì)所有不識(shí)別的惡意代碼一律放行而形成簡(jiǎn)單的日志；而從全要素采集來看，我們實(shí)際上要實(shí)現(xiàn)對(duì)檢測(cè)對(duì)象的膨脹化，如對(duì)http流量要從相關(guān)的主機(jī)信息、域名信息、agent等方面對(duì)大量信息進(jìn)行留存，如果其中有Payload，那么要對(duì)這個(gè)Payload進(jìn)行進(jìn)一步相應(yīng)的解析，無論該文件是否是惡意的。

 

網(wǎng)站標(biāo)題：如何應(yīng)對(duì)全面安全問題（二）
路徑分享：http://aaarwkj.com/article42/gooihc.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供建站公司、軟件開發(fā)、標(biāo)簽優(yōu)化、企業(yè)建站、網(wǎng)頁設(shè)計(jì)公司、網(wǎng)站收錄

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)