APT防御简介
APT(Advanced Persistent Threat,高级持续性威胁)攻击,是一种针对特定目标进行长期持续性的网络攻击。目前,沙箱技术是防御APT攻击最有效的方法之一,它用于构造隔离的威胁检测环境。
APT攻击通常会通过如下途径入侵到目标网络当中:
通过 SQL注入等攻击手段突破面向外网的Web Server、Mail Server等服务器,然后以被入侵的服务器做跳板,对内网的其他服务器或桌面终端进行扫描,并为进一步入侵做准备。
通过鱼叉式钓鱼攻击,给员工发送带有恶意程序的附件,诱骗员工点击并入侵内网终端。
通过伪装成熟人给企业内部的员工发送具有针对性的恶意链接,诱骗用户访问这个链接之后并入侵内网终端。
通过连接到 Internet主机将恶意软件通过U盘摆渡到隔离网络,从而入侵到隔离网络实现攻击。
用户一旦被植入恶意软件,如木马、后门、 Downloader 等,恶意软件将持续收集可能含有各类敏感信息的本地文件(WORD、PPT、PDF、CAD文件等),并回传到攻击者手中。
面对APT攻击,传统的以特征检测、边界防护为主的安全防护手段几乎无能为力。同传统安全威胁相比,APT攻击存在攻击手段复杂、潜伏时间较长、检测难度较高等特点。从防御层面来看,当前广泛部署的防火墙、IPS、防病毒软件、终端安全软件等产品,主要采用特征匹配的检测模式,其自身的机理决定了无法应对未知威胁的挑战。
沙箱检测原理
沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,当未知文件上送沙箱处理后,沙箱会运行该文件,并会对运行后的行为进行记录。沙箱通过将未知文件的行为和沙箱独有的行为特征库进行匹配,最后给出文件是否为威胁的结论。沙箱的行为特征库是通过分析大量的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,形成的一套判断规则,它能够提供准确的检测结果。
与根据被检测对象的特征进行识别的检测技术(如防病毒)不同的是,沙箱检测是根据被检测对象的行为进行识别。因此具有可以识别未知文件的优点,可以更好的防御未知威胁。
H3C SecCenter CSAP-ATD高级威胁检测引擎的体系结构大致可以分为流量采集、文件还原、威胁检测、威胁呈现以及配置管理等模块,下图展示了每个模块的主要功能组件:
流量采集:通过光口或电口采集流量,并进行报文重组和协议识别,针对HTTP、SMTP、POP3、IMAP、FTP和SMB/CIFS协议,会进一步进行载荷分析,以识别是否承载了文件;
文件还原:基于底层的协议识别和载荷分析,将分片的文件进行重组和还原,并对还原过程进行日志记录和存储;
威胁检测:包括静态检测(流量特征检测和文件特征/AV检测)、动态检测(系统级沙箱和应用级沙箱)、威胁情报检测和关联分析。威胁检测模块共产生四类威胁事件:网络攻击事件(流量检测)、恶意代码事件(沙箱和AV检测)、威胁情报事件和自定义策略告警(黑白名单和自定义策略);这四类事件通过关联分析规则关联归并后生成安全事件;
处置应用:通过多样化的图表呈现网络安全态势,提供可视化辅助分析功能,监控并呈现系统自身状态;提取流量元数据并本地留存或发送至第三方平台;与其他设备联动以阻断威胁进一步传播;提供原始报文留存及溯源取证功能等。
配置管理:提供流量采集、威胁检测、全局参数、用户管理、安全配置、升级配置和告警处置等功能。
典型应用
H3C SecCenter CSAP-ATD高级威胁检测引擎可以广泛应用于各类大型企事业机构内部网络的安全防御,为企业提供全威胁感知和防御能力。其典型应用场景有如下几种。
1) 互联网威胁监测
部署在互联网出口位置,默认情况下可以监控所有上下行流量,包括内网用户访问互联网的流量(比如访问网站或收发外部邮件),以及外网访问DMZ区域的流量。
在此部署场景中,亦实现了防火墙和沙箱的联动处置
防火墙设备通过与沙箱进行联动,将网络流量送入沙箱进行隔离分析,由沙箱给出是否存在威胁的结论。如果沙箱检测到某流量为恶意流量,设备将对流量实施阻断等处理。
防火墙设备收到沙箱推送的检测结果后,如果需要对攻击流量进行进一步的处理,则需要与防病毒功能进行联动。配置防病毒功能后,当后续恶意流量流经设备时,设备将识别恶意流量的应用层协议,并与防病毒策略进行匹配,再根据匹配到的防病毒策略中对应的协议报文执行的动作对恶意流量进行处理。
如果用户只想根据检测结果确定当前流量是否为恶意流量,而不需要对流量进行阻断,则对防病毒功能是否配置不作要求。
(1)恶意流量经过防火墙时,防火墙凭借庞大且不断更新的病毒特征库,目前已支持600万+的MD5特征大库,防止病毒在网络中的传播,可有效保护网络安全。只有那些防火墙无法识别的未知文件才会被上送沙箱处理。
(2)防火墙对于流量中出现的相同未知文件只会上送给沙箱一次,沙箱会运行该文件,并会对运行后的行为进行记录。
(3)目前实际中可执行文件、压缩文件、视频等类型的病毒文件不大于10M,office文档和PDF文档类的病毒文件不超过2M,图片和网页类的病毒文件不超过0.5M。如果防火墙上还原出文件大小超过此范围,一般不认为其是病毒攻击,防火墙也不会上送沙箱处理。
2) 内网网络安全态势监控
部署在机构内网不同区域的边界,比如分支与总部的边界,不同办公园区的边界,办公网与生产网的边界等位置,监控僵尸、木马、蠕虫、勒索软件等病毒的传播,监控内网网络安全态势。
3) 办公网用户网络行为监控
部署在办公网出口,持续记录和监控办公网的网络流量,发现病毒传播立即报警,并将日网络行为以日志方式发送至SIEM平台或综合网管平台,通过大数据技术发现异常网络行为。同时产品本身也具备一定的存储和分析能力,也能记录和展现各种异常网络访问行为。
4) 文件/邮件服务器专项防护
作为一个专项防护方案,产品可以部署在邮件服务器或邮件服务器前面,监控文件上传下载行为,检测邮件中携带的附件,及时发现恶意文件或高级威胁。
5) 独立威胁检测中心
作为一个独立的威胁检测中心而存在,提供给机构内部的网络安全人员或IT运维人员,方便他们随时上传本地电脑或内网服务器上的文件,进行高级威胁检测。
6) 隔离网络文件入网检测
部署在隔离网络内部或外部,通过监控摆渡机的U盘插入或光盘插入事件,实时监控摆渡机上的文件流转行为,在文件真正传入隔离内网之前对文件进行深度行为检测,发现APT攻击或其他高级恶意威胁。