自 “WannaCry”勒索病毒爆發(fā)以來(lái)，慢慢淡出視線的病毒問題又開始在各企事業(yè)單位大面積肆虐，據(jù)國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的2018年度安全態(tài)勢(shì)報(bào)告統(tǒng)計(jì)，CNCERT 捕獲勒索軟件近 14 萬(wàn)個(gè)，全年總體呈現(xiàn)增長(zhǎng)趨勢(shì)，重要行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施逐漸成為勒索軟件的重點(diǎn)攻擊目標(biāo)，其中，政府、醫(yī)療、教育、研究機(jī)構(gòu)、制造業(yè)等行業(yè)成為重災(zāi)區(qū)。如何有效進(jìn)行防范病毒成為網(wǎng)絡(luò)安全工作中亟待解決的難題。本文旨在通過(guò)對(duì)病毒關(guān)鍵問題的分析，幫助用戶更全面梳理病毒防御體系的建設(shè)思路，同時(shí)提出銳捷網(wǎng)絡(luò)病毒定位防護(hù)全流程解決方案。

問題一：為什么這兩年病毒在各重點(diǎn)行業(yè)大面積爆發(fā)？

對(duì)于病毒攻擊者來(lái)說(shuō)，核心訴求是利益獲取。以往的病毒攻擊事件，大部分以數(shù)據(jù)盜取為主，同時(shí)通過(guò)數(shù)據(jù)倒賣等手段進(jìn)行變現(xiàn)。受限于數(shù)據(jù)精準(zhǔn)獲取及變現(xiàn)渠道限制，更多以單點(diǎn)安全事件為主，很難形成規(guī)模爆發(fā)效應(yīng)。而近幾年隨著虛擬貨幣的興起，病毒攻擊變現(xiàn)變得非常簡(jiǎn)單和隱蔽，攻擊者只要掌握了資源的可用性，就可以借助網(wǎng)絡(luò)貨幣快速變現(xiàn)，巨大利益驅(qū)使下導(dǎo)致以“勒索病毒”、“挖礦病毒”為代表的病毒不斷蔓延。

問題二：為什么有殺毒軟件、IPS、防火墻等安全防護(hù)措施，病毒依然泛濫？

殺毒軟件、IPS、防火墻等傳統(tǒng)防護(hù)手段，雖然必不可少，但均屬于以特征庫(kù)為核心的被動(dòng)防護(hù)方案，在病毒防護(hù)的實(shí)際應(yīng)用場(chǎng)景中，面臨“時(shí)效、單點(diǎn)、溯源”三大核心問題。

1、防護(hù)時(shí)效的滯后

基于特征庫(kù)的防御手段，對(duì)于病毒的防御均會(huì)經(jīng)歷：① 新病毒出現(xiàn)② 樣本采集 ③ 廠商解讀④特征提取⑤ 特征庫(kù)更新⑥ 用戶端更新 ⑦ 病毒檢測(cè)與查殺，七個(gè)步驟。這個(gè)周期一般在數(shù)小時(shí)至數(shù)天之間。時(shí)效的天然滯后性，在應(yīng)對(duì)頻繁變種病毒時(shí)效果往往不盡如人意。據(jù)CNCERT統(tǒng)計(jì)，2018年全年勒索軟件 GandCrab 更新了19 個(gè)版本，且由于勒索病毒性質(zhì)的特殊性，一旦被感染，即使后續(xù)特征庫(kù)更新，也可能造成無(wú)法彌補(bǔ)的損失。

另外受限于用戶網(wǎng)絡(luò)環(huán)境中，各廠商特征庫(kù)差異、設(shè)備無(wú)法聯(lián)網(wǎng)、更新授權(quán)過(guò)期等各種因素限制，即使是已知病毒也會(huì)造成嚴(yán)重傷害。以爆發(fā)兩年多的WannaCry首個(gè)版本病毒為例，在2019年很多的用戶網(wǎng)絡(luò)中依然被發(fā)現(xiàn)，這讓人們意識(shí)到僅僅依靠傳統(tǒng)被動(dòng)防御方案已經(jīng)無(wú)法滿足日益突出的病毒防護(hù)需求。

2、單點(diǎn)防護(hù)，體系薄弱

在多數(shù)的用戶網(wǎng)絡(luò)中，常常以部署殺毒軟件為唯一的病毒方案措施。銳捷認(rèn)為，殺毒軟件作為病毒入侵的最后一道屏障，必不可少，但卻遠(yuǎn)遠(yuǎn)不夠，一旦殺毒軟件被突破，特別是新型的病毒，則會(huì)直接碰觸到業(yè)務(wù)系統(tǒng)及數(shù)據(jù)。病毒防護(hù)必須依賴于全面的防護(hù)思路，通過(guò)多層、多維的防護(hù)措施，構(gòu)建完整的病毒防護(hù)體系。

3、入侵難以溯源

溯源問題一直是安全防護(hù)中非常關(guān)鍵的一環(huán)，找到安全問題的源頭，從根本上予以解決，才能避免陷入救火式的工作模式中。而傳統(tǒng)的以查殺為主的防范方案，并無(wú)法找到病毒入侵的源頭，網(wǎng)絡(luò)和系統(tǒng)的脆弱點(diǎn)依然存在，常常被重復(fù)利用，造成病毒問題周而復(fù)始。如何進(jìn)行溯源體系建設(shè)是病毒防護(hù)中非常重要的一環(huán)。

問題三：如何建立合理、有效的病毒防御的體系，實(shí)現(xiàn)病毒問題可管可控。

在病毒防護(hù)體系建設(shè)時(shí)，我們需要分析病毒入侵的本質(zhì)。雖病毒類型各異，但從病毒入侵的過(guò)程是存在共性的，這與洛克希德-馬丁公司提出的“網(wǎng)絡(luò)殺傷鏈”理論非常契合。即整個(gè)入侵過(guò)程，一般會(huì)經(jīng)歷偵查跟蹤、武器構(gòu)建、載荷投訴、漏洞利用、安裝植入、命令與控制、目標(biāo)達(dá)成七個(gè)階段，每個(gè)階段均會(huì)有對(duì)應(yīng)的行為或特征，可用于進(jìn)行檢測(cè)防護(hù)。當(dāng)然對(duì)應(yīng)的最有效檢測(cè)防護(hù)技術(shù)手段也不一致，在越早的殺傷鏈環(huán)節(jié)發(fā)現(xiàn)和阻止攻擊，病毒防護(hù)效果就越好，修復(fù)和時(shí)間成本就越低，而絕非只有到安裝植入后，才進(jìn)行介入檢測(cè)防護(hù)，否則所做的防護(hù)工作往往事倍功半。

問題四：依據(jù)網(wǎng)絡(luò)殺傷鏈為指導(dǎo)，每個(gè)階段應(yīng)具備什么樣病毒防護(hù)能力，銳捷可以提供什么樣的方案？

從每個(gè)階段所帶來(lái)的影響分析，在網(wǎng)絡(luò)殺傷鏈的前三個(gè)階段進(jìn)行有效監(jiān)測(cè)防護(hù)，是病毒防護(hù)的最佳階段，此時(shí)病毒還未對(duì)業(yè)務(wù)造成實(shí)質(zhì)的影響，監(jiān)測(cè)防護(hù)工作所帶來(lái)的價(jià)值最為明顯，下面我們通過(guò)不同階段的分析，提供合理的防護(hù)方案建議。

1、偵查跟蹤階段

主要目標(biāo)：攻擊者搜尋目標(biāo)主機(jī)的弱點(diǎn)

常用手段：高危端口探測(cè)、惡意漏洞掃描、身份憑證嘗試等

關(guān)鍵問題：如何對(duì)可疑的探測(cè)行為快速的捕獲和判斷？

銳捷解決之道：

① RG-DDP 動(dòng)態(tài)防御：通過(guò)虛擬大量虛假主機(jī)，快速誘導(dǎo)捕獲探測(cè)行為，構(gòu)建病毒入侵的快速監(jiān)測(cè)機(jī)制，同時(shí)擴(kuò)大攻擊面、延長(zhǎng)被入侵時(shí)長(zhǎng)，降低攻擊成功概率。由于不采用特征庫(kù)，天然解決了特征庫(kù)模式時(shí)效問題。

② RG-BDS 分析平臺(tái)+ 流量探針：除了基于“安全特征”，還可依靠“行為模型”去發(fā)現(xiàn)未知威脅和攻擊，擺脫特征庫(kù)時(shí)效的束縛。

2、載荷投送階段

主要目標(biāo)：制作一個(gè)惡意程序工具，并投送到目標(biāo)主機(jī)

常用手段：惡意郵件鏈接、網(wǎng)站頁(yè)面釣魚、遠(yuǎn)程登錄等

關(guān)鍵問題：如何對(duì)網(wǎng)絡(luò)傳輸文件進(jìn)行快速深度檢測(cè)。

銳捷解決之道：

① RG-Sandbox 沙箱：支持在各類虛擬環(huán)境模擬運(yùn)行文件和URL，根據(jù)運(yùn)行結(jié)果而非特征去判斷威脅，對(duì)可疑文件進(jìn)行模擬運(yùn)行檢測(cè)，所以不僅能檢測(cè)到已知威脅，還可以檢測(cè)到未知威脅。

② 流量探針：文件還原檢測(cè)，結(jié)合威脅情報(bào)輔助，實(shí)現(xiàn)對(duì)文件的還原、檢測(cè)、存儲(chǔ)，幫助用戶進(jìn)行威脅溯源。

③ RG-WALL 1600系列下一代防火墻：基于CPU+ASIC 架構(gòu)設(shè)計(jì)，結(jié)合本地庫(kù)和云端庫(kù)，提供及時(shí)更新的強(qiáng)大 AV病毒檢測(cè)能力。

3、漏洞利用及安裝植入階段

主要目標(biāo)：利用主機(jī)存在的漏洞，運(yùn)行植入惡意程序

常用手段：惡意漏洞掃描利用

關(guān)鍵問題：如何精準(zhǔn)評(píng)估漏洞風(fēng)險(xiǎn)，讓安全加固更具備針對(duì)性

銳捷解決之道：

① RG-BDS安全大數(shù)據(jù)分析平臺(tái)+ RG-SCAN漏洞評(píng)估系統(tǒng)，實(shí)現(xiàn)攻擊與漏洞的自動(dòng)關(guān)聯(lián)，讓漏洞不僅僅是孤立的存在，與實(shí)際現(xiàn)網(wǎng)情況動(dòng)態(tài)調(diào)整風(fēng)險(xiǎn)，讓安全加固更具備針對(duì)性。

② 銳捷網(wǎng)絡(luò)與火絨安全等終端殺毒軟件廠商建立合作生態(tài)，實(shí)現(xiàn)整體病毒防護(hù)方案能力整合，讓網(wǎng)絡(luò)監(jiān)測(cè)與終端檢測(cè)有效融合。

4、命令與控制階段

主要目標(biāo)：攻擊者建立控制系統(tǒng)的路徑

常用手段：C&C 回連、僵尸網(wǎng)絡(luò)

關(guān)鍵問題：如何在網(wǎng)絡(luò)流量中發(fā)現(xiàn)異常的命令控制鏈接

銳捷解決之道：

RG-BDS+探針+威脅情報(bào)協(xié)同，實(shí)現(xiàn)對(duì)C&C 回連通信、僵尸網(wǎng)絡(luò)等威脅的檢測(cè)，發(fā)現(xiàn)病毒威脅。

通過(guò)以上整體病毒防護(hù)體系的建設(shè)，讓病毒防護(hù)形成整體防護(hù)效應(yīng)，通過(guò)各階段多層、多維的監(jiān)測(cè)防護(hù)技術(shù)，實(shí)現(xiàn)從病毒入侵開始到結(jié)束整體過(guò)程的監(jiān)測(cè)防護(hù)，解決時(shí)效、單點(diǎn)、溯源的三大難題。

需要強(qiáng)調(diào)的是，以上各階段的組件可通過(guò)RG-BDS大數(shù)據(jù)安全平臺(tái)協(xié)同聯(lián)動(dòng)，實(shí)現(xiàn)病毒整體階段定位分析， 也可單獨(dú)工作，實(shí)現(xiàn)各階段病毒定位防護(hù)，銳捷提供的是一種整體方案，更是一種病毒防護(hù)的建設(shè)思路，讓安全建設(shè)不只是安全設(shè)備的盲目壘砌，幫助用戶構(gòu)建整體安全防護(hù)體系。