在人类生活的地球上、在浩瀚无际的宇宙中,存在着许多未知奥秘,从外太空到地球,从自然到历史,从科学到艺术,在众多领域中无不存在着这样那样的未解谜团。求知欲促使我们向未知的领域不断迈进,将探索的触角伸向更为广阔的天地。
自然界到处都隐藏着奥秘玄机,人类社会虽然已发展到高度文明的时代,但仍然无法对其做出合理的解释。不过我们应该正确地看待未知世界和未知领域的存在,然后通过认真的研究和大胆的探索,来揭开未知领域的神秘面纱,从而推动整个社会的发展。而在网络安全行业里,最可怕的莫过于“未知威胁”的破坏。
未知的那些“未知威胁”
“已知的已知,已知的未知,未知的未知”,这句话听起来很拗口,但是反应了安全一些本质问题。举个简单例子说明下:之前热炒的“威胁情报”,就属于“已知的未知”,对某个单位来说是未知威胁,但在别的地方早就已经发生过了。
当下的安全攻防最大一个特点就是,未知攻击会越来越多,企业所面临的攻击工具可能是从来没有使用过,或者身边的监控视野范围没有看到过的。例如,即便企业的Webshell样本再多,攻击者总是能制作出新的更轻量级、功能更全的Webshell,如何发现未知的Webshell?又如何做到天网恢恢疏而不漏?这对于任何安全人员都是巨大挑战。
面对未知威胁:传统入侵检测存在先天不足
传统入侵检测方法就是基于特征码或规则,要求软件必须提前“知道”入侵的“定义”,才可以识别对应入侵。但是,面对全新品种的恶意软件,其特定入侵指标(IOC)自然就不为人知,因此又怎么能检测出零日攻击呢?
以安全“老三件”IDS为例,它通过提取相应的流量统计特征值,与内置的入侵样本库进行智能分析比较。根据预设的阈值,匹配耦合度较高的报文流量将被认为是攻击,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。但对于未知威胁攻击,IDS无法定义相应规则,对该特定恶意攻击会视而不见,任其长驱直入。
我们如何实时发现未知手段的黑客入侵?
很多人可能会认为未知威胁,首次发生在自己身上的概率并不大,未必会带来巨大危害。实则不然,比如通过本地提权、窃取合法用户身份等去做一些貌似合法的操作,这些“异常”行为都是未知的,并没有对应“威胁情报”等数据可对比。对于这些未知威胁,某种程度上来说是无法预测的。如果无法预测,那又该怎么办?此时需要转换思路,需要将“未知的未知威胁”转为“已知的未知风险”的控制问题。
1. 大数据挖掘分析的恶意代码智能检测技术,提升了客户检测恶意代码的能力.
天眼采用了机器学习等人工智能算法,针对海量程序样本进行自动化分析,有效解决了大部分未知恶意程序的发现问题。由于传统杀毒技术严重依赖于样本获得能力和病毒分析师的能力,基本只能处理已知问题,不能对可能发生的问题进行防范,具有严重的滞后性和局限性。本技术对海量样本进行挖掘,能够找到恶意软件的内在规律,能对未来相当长时期的恶意软件技术做出前瞻性预测,实现不更新即可识别大量新型恶意软件,在全球处于领先水平。
2.基于轻量级沙箱的未知漏洞攻击检测技术,提升了客户检测未知漏洞的能力
现有的传统安全防护措施大多数使用基于签名(Signature)的机制对已知威胁进行检测和防护,而天眼的基于轻量级沙箱的未知漏洞攻击检测引擎是针对传统基于签名的局限性提出的解决方案,可以检测和发现主流客户端应用程序(IE/Office/AdobeReader)的可疑威胁为目标,能对客户端应用中已知漏洞和未知0day漏洞的攻击利用进行检测。
3.首创使用互联网数据发掘APT攻击线索,提升企业对威胁看见的能力
传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关APT学习经验,而且攻击者的逃逸水平也在不断的进步发展,本地设备会经常性的出现误报和漏报现象,经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性,仅依赖于单一企业的数据经常无法有效的发现APT攻击背景,难以做到真正的追踪溯源。而天眼则创新性的从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。
4.以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,帮助企业从源头上解决安全问题
传统的防护体系在多台设备间进行联动往往需要通过特别开发的接口对一种或几种特殊类别的告警或信息进行分发和通知,这种设计往往会制约多种不同设备或系统之间的信息传递。同时由于对于消息接口缺乏一个系统化的规范化的描述,很难对复杂的攻击行为进行准确定义。而天眼的一大创新点在于用威胁情报的形式对各种攻击中常出现的特点和背景信息进行记录和传输,而威胁情报将通过统一的规范化格式将攻击中出现的多种攻击特征进行标准化,可满足未来扩展攻击特征以及后续扩展联动设备的需要。
5.高效的快速搜索技术帮助企业提升数据查找的能力
传统的安全方案中,对于企业本地数据的处理往往采用mysql等关系型数据库。这种设计早已不能满足当前数据量的处理性能需要。天眼创新性的采用搜索引擎技术作为本地数据存储和检索核心技术,采用json格式作为引擎的输入输出格式,这样可极大提高检索性能,可以为企业提供TB级的数据快速搜索能力,同时相比传统架构也能够降低大量接口上的开发量。天眼可为企业本地的大规模数据保存、攻击证据留存和查询、实时关联分析提供坚实的技术保障。
6.专业的专家运营团队,全天候为企业保驾护航
为了推进自动化分析技术的发展,并对未知威胁做最终定性和跟踪,天眼长时间维持了一个近百人的庞大安全分析团队,该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域,该团队成员的经验为云端分析系统的运行提供了宝贵输入,并支持了国内多次重大APT事件的深度挖掘和定位。天眼的安全专家团队可为企业提供及时有效的安全服务,帮助企业保护自身网络的安全,减少企业遭受攻击时收到的损失。
远禾科技认为,新态势下检测能力是对抗未知威胁的关键,异常行为分析、威胁情报和机器学习等新技术的引入可以减少大量的分析工作,提高对未知威胁检测的效率,同时安全人员对机器学习模型和威胁情报的有效管理也将极大地保障对抗未知威胁的准确性和可靠性。
