國家安全時代�,如何應(yīng)對未知漏洞攻擊?
2020年01月22日
安全(查殺)引擎與惡意攻擊的攻防拉鋸戰(zhàn)�����,從單機(jī)時代的惡意軟件加殼 vs.靜態(tài)黑特征匹配�����,發(fā)展到了互聯(lián)網(wǎng)時代基于漏洞的利用vs.基于行為黑���、白特征的混用����。如今����,則是在國家安全這一大背景下的新型攻防對抗����。
1月17日,奇安信在京發(fā)布了最新安全引擎“天狗”�����,并將其歸屬為第三代(安全引擎)。其最為突出的是技術(shù)目的的變化�����,即以應(yīng)對受信程序作惡����、未知漏洞利用為核心目的,而且減少用戶對終端的安全運(yùn)營能力如補(bǔ)丁管理��、權(quán)限控制的依賴���。
那么�,從能力角度看�����,“天狗”引擎有哪些重要的不同?
下面兩段����,概括性的介紹了奇安信副總裁,同時也是“天狗”引擎研發(fā)負(fù)責(zé)人徐貴斌的部分演進(jìn)內(nèi)容�����。
1. 受信程序的惡意指令
漏洞攻擊的實(shí)質(zhì),是利用漏洞控制可信程序執(zhí)行惡意指令��。對可信程序進(jìn)行限制也一直是安全工作的重要方向�����。最有代表性的�,就是最小權(quán)限原則。
所以����,“天狗”首先要做的,是利用 AI 能力�����,批量的��,以進(jìn)程�、程序和文件為單位���,進(jìn)行權(quán)限收集和設(shè)置���。要明確的區(qū)分是����,基于角色��、對人的行為的訪問控制��,是零信任要做的事情�。
但是,訪問控制與授權(quán)�����,是一個長期存在的問題�����。對權(quán)限的控制���,不只是人為來規(guī)定��,更需要底層安全技術(shù)的支撐��。即使程序的樣子�����、行為在用戶看來是沒有異常的����,但進(jìn)入內(nèi)存指令層這樣一個相對微觀的世界,也會有明顯的區(qū)別����。這樣做的益處是可以擺脫對文件和行為特征的依賴,大范圍應(yīng)用可能的阻礙是性能消耗的容忍程度���。
除了性能外���,內(nèi)存的惡意指令檢測還要重點(diǎn)考慮的是誤報(bào)率和檢出率的平衡。而且��,因?yàn)榭蛻舡h(huán)境中部署的安全軟件經(jīng)常會影響程序指令的執(zhí)行����,這對于惡意指令檢測是種干擾,所以現(xiàn)場的適配過程現(xiàn)階段也是必須的����。
2. 后門發(fā)現(xiàn)
后門發(fā)現(xiàn)是此次“天狗”在技術(shù)上的一個重要創(chuàng)新點(diǎn)。
后門不似漏洞��,它和實(shí)現(xiàn)正常功能的代碼段是沒什么本質(zhì)區(qū)別的�。“天狗”對后門的檢測思路在于這段特殊功能的使用��。正常情況下�����,功能的研發(fā)是為了滿足大多數(shù)用戶的需求而設(shè)計(jì)的��,所以幾乎每個正常功能都有大量群體在使用�。而后門是為了應(yīng)對特殊情況,隱藏起來的功能����,所以也就只有極少數(shù)人,極少機(jī)會去調(diào)用��。
而無論是正常功能的使用��,還是后門的調(diào)用�����,都將在內(nèi)存中形成獨(dú)特的指令調(diào)用序列,“天狗”利用AI技術(shù)�����,實(shí)現(xiàn)了對多用戶的分布式指令調(diào)用序列的學(xué)習(xí)與計(jì)算�����,從中發(fā)現(xiàn)與正常功能調(diào)用不同的后門調(diào)用���。
漏洞是程序的缺陷����,后門是不公開的功能;后者具備更強(qiáng)的不確定性�����,特別是在國家安全時代��,有更大的風(fēng)險(xiǎn)�。當(dāng)然,照此邏輯���,如果一個后門到目前為止從來沒有被使用過��,也就不會被發(fā)現(xiàn)���,在檢出率上一定無法達(dá)到100%,但這樣的后門����,到目前為止也沒有產(chǎn)生實(shí)質(zhì)性危害。而安全工作要做的�,是通過體系化的防護(hù),將風(fēng)險(xiǎn)降低到容忍度以下�。特別是“天狗”,可以說是基于 AI 和漏洞視角����,強(qiáng)化了對利用漏洞、后門進(jìn)行攻擊的檢測和發(fā)現(xiàn)能力���。
實(shí)戰(zhàn)應(yīng)用:應(yīng)對Win7停服后的安全挑戰(zhàn)
奇安信的特點(diǎn)是重視服務(wù)��,重視實(shí)戰(zhàn)效果���。“天狗”也是如此���。
據(jù)奇安信總裁吳云坤介紹��,“天狗”從2018年就開始研發(fā)�����,半年前已經(jīng)在10萬終端進(jìn)行部署測試��。
作為一個底層安全技術(shù)�����,“天狗”一個重要特點(diǎn)就是不依賴特定操作系統(tǒng)�。在政企用戶的不同信息化場景,可以更靈活的提供能力支撐�。
目前,微軟已經(jīng)停止對Windows 7��、Windows Server 2008提供支持��。這與國內(nèi)Win7終端占有率達(dá)57%以上��,關(guān)鍵信息基礎(chǔ)設(shè)施Win7終端達(dá)60%的現(xiàn)狀有明顯的沖突�。在失去官方補(bǔ)丁支持后,“天狗”引擎從在另一維度提供的防護(hù)能力,對擁有大量無法遷移Windows 7和Windows Server 2008主機(jī)的客戶而言���,就十分關(guān)鍵����。
據(jù)奇安信集團(tuán)副總裁張聰透露����,目前集成了“天狗”終端和服務(wù)器安全防護(hù)系統(tǒng)�����,已經(jīng)在多家大中型企業(yè)及機(jī)構(gòu)穩(wěn)定運(yùn)行超過半年�,而這些終端的操作系統(tǒng)大量是已經(jīng)停服的Windows 7和Windows Server 2008。奇安信已經(jīng)針對 Win7操作系統(tǒng)的過渡(保留停服系統(tǒng))��、切換(信創(chuàng)系統(tǒng))和升級(Win10)三個場景提出了系統(tǒng)性的方案�。未來,結(jié)合集成“天狗”引擎漏洞防護(hù)模塊的奇安信天擎��,可以為不同需求的客戶提供長效的安全運(yùn)營保障���。
江蘇國駿為您提供全面可信的信息安全服務(wù)
http://borgatopiano.com.cn/
免費(fèi)咨詢熱線:400-6776-989
長按二維碼關(guān)注我們
