無(wú)效防護(hù)才是WANNYCRY暴露出的更大問(wèn)題

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比豐縣網(wǎng)站開(kāi)發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫(kù),直接使用。一站式豐縣網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋豐縣地區(qū)。費(fèi)用合理售后完善，十載實(shí)體公司更值得信賴。

之前很多人曾與我交流過(guò)一個(gè)問(wèn)題——如何看待WannaCry事件中我們所暴露出的響應(yīng)問(wèn)題？但以我的個(gè)人觀點(diǎn)來(lái)看，在國(guó)家網(wǎng)信辦等相關(guān)應(yīng)急機(jī)構(gòu)的統(tǒng)一指導(dǎo)下，廠商針對(duì)WannaCry的應(yīng)急整體上是成功的，我們有效地遏制了它在互聯(lián)網(wǎng)側(cè)的大規(guī)模傳播，也有效地防止了大面積出現(xiàn)周一開(kāi)機(jī)“中毒”的次生災(zāi)害。

實(shí)際上，無(wú)效防護(hù)才是WannaCry事件所暴露出的更大問(wèn)題。因?yàn)閃annaCry本身是一個(gè)通過(guò)安全的基本動(dòng)作就應(yīng)該可以防住的威脅，其本身并非一個(gè)新的勒索軟件，實(shí)際上在此前已經(jīng)出現(xiàn)過(guò)相應(yīng)的版本。但之所以產(chǎn)生了如此大的影響，是因?yàn)槠涫褂昧嗽?017年4月14日暴露的美方軍火級(jí)的漏洞，但早在2017年3月份，微軟就已經(jīng)針對(duì)該漏洞發(fā)布了相關(guān)補(bǔ)丁。也就是說(shuō)，在這兩個(gè)月的時(shí)間內(nèi)，受感染的機(jī)器都沒(méi)有打上相應(yīng)補(bǔ)丁。

我們還需要看到一個(gè)問(wèn)題，勒索軟件本身并不是一種適合以應(yīng)急響應(yīng)方式進(jìn)行處置的威脅，因?yàn)槔账鬈浖斐傻氖聦?shí)后果是對(duì)文件進(jìn)行加密，不交付贖金，就不進(jìn)行解密（但是在這次的WannaCry事件中，一方面，我們發(fā)現(xiàn)了其刪除原來(lái)未加密文件的方式不像其他勒索軟件一樣非常嚴(yán)密，可以恢復(fù)；另外一方面，法國(guó)的研究者發(fā)現(xiàn)Windows加密的API具有一定的漏洞，如果沒(méi)有重啟，是可以部分恢復(fù)的）。對(duì)于大部分的勒索軟件而言，文件恢復(fù)的有效性、內(nèi)存解密的有效性其實(shí)都很小。

更有甚者，通過(guò)這次針對(duì)烏克蘭的冒充為勒索***的“必加”事件可以發(fā)現(xiàn)，其本身并不是為了勒索，其作業(yè)方式是，生成一個(gè)自己也解密不了的隨機(jī)密鑰去加密受害者的文件，其目的就是要破壞掉整個(gè)系統(tǒng)。這種破壞一旦發(fā)生只能通過(guò)備份數(shù)據(jù)進(jìn)行應(yīng)急，如果沒(méi)有備份數(shù)據(jù)，且一旦在防護(hù)側(cè)沒(méi)有達(dá)成相應(yīng)的防護(hù)效果，整個(gè)威脅開(kāi)始發(fā)散，那么整個(gè)應(yīng)急成本將是不可收斂的。

可見(jiàn)，無(wú)效防護(hù)才是WannaCry事件所暴露出的我們當(dāng)前的更大問(wèn)題，一旦大量事件都是因?yàn)闊o(wú)效防護(hù)而爆發(fā)的，那么整個(gè)壓力就將轉(zhuǎn)嫁到態(tài)勢(shì)感知體系和相應(yīng)的研判策略上。

有效防護(hù)

此前非常流行的“暗云”***的一個(gè)非常大的特點(diǎn)是，它是一個(gè)擁有Bootkit機(jī)制的***家族，通過(guò)流氓劫持和DDoS等方式牟利，根據(jù)監(jiān)測(cè)，其已經(jīng)在國(guó)內(nèi)形成百萬(wàn)量級(jí)的節(jié)點(diǎn)感染。它不僅僅通過(guò)感染MBR的方式實(shí)現(xiàn)加載，而且具有一系列非常復(fù)雜的驅(qū)動(dòng)機(jī)制，可以干擾安全產(chǎn)品對(duì)于MBR的讀取和處置。一旦該***寫入MBR，就將形成頑固感染，處置將十分困難。

實(shí)際上，任何安全產(chǎn)品都不能保證其能夠絕對(duì)地識(shí)別出哪個(gè)威脅，但是我們可以提煉出相應(yīng)的威脅行為。在把整個(gè)病毒庫(kù)關(guān)閉之后，如果在終端防護(hù)上來(lái)執(zhí)行“暗云”***，它就會(huì)攔截掉修改MBR的行為，從而使其引導(dǎo)鏈不能成立。

防護(hù)有效性全面降低處置成本

WannaCry勒索病毒并不是一種新的威脅形式，而是一種從歷史上一脈相承的威脅形式，只是隨著近幾年比特幣和暗網(wǎng)的流行，才成為一種典型的方式。因此，既然***者是要進(jìn)行勒索，就一定要批量地進(jìn)行文件操作，原則上來(lái)看，非受信程序進(jìn)行批量文件操作就是一種威脅的行為。

終端防護(hù)需要內(nèi)置一整套包括行為分析、誘餌文件的分析機(jī)制。如果把WannaCry拿到終端防護(hù)產(chǎn)品上執(zhí)行，并把病毒庫(kù)檢測(cè)都關(guān)閉，則其不能實(shí)現(xiàn)有效的加密。

端點(diǎn)有效防護(hù)

在此情況下，通過(guò)主機(jī)加固、主機(jī)的邊界防御、未知威脅防御、未知威脅鑒定、APT追溯和定點(diǎn)清除就可以構(gòu)成端點(diǎn)的有效防護(hù)。在一個(gè)行業(yè)體系內(nèi)部，當(dāng)大量的問(wèn)題可以發(fā)現(xiàn)于防御端點(diǎn)時(shí)，就使得需要上層態(tài)勢(shì)感知系統(tǒng)進(jìn)行作用的相關(guān)安全事件發(fā)生全面的收斂。因此，把端點(diǎn)安全拋棄在態(tài)勢(shì)感知之外，是非常不明智的決定，端點(diǎn)既是態(tài)勢(shì)基礎(chǔ)的采集支撐，同時(shí)也是態(tài)勢(shì)策略有效的落實(shí)手段。

從日志留存到全要素采集

過(guò)去以SIEM和SOC為基礎(chǔ)的系統(tǒng)，所依賴的其實(shí)是日志留存。這種日志留存的本質(zhì)，無(wú)論相應(yīng)對(duì)象是一個(gè)載荷，還是一個(gè)數(shù)據(jù)包，除了應(yīng)用層的系統(tǒng)日志之外，更多的是基于檢測(cè)引擎和規(guī)則庫(kù)的匹配結(jié)果。我們?cè)啻谓榻B過(guò)，惡意代碼的檢測(cè)其實(shí)是由歸一化檢測(cè)、精確檢測(cè)、未知檢測(cè)多個(gè)分支共同維護(hù)的體系。從流量上來(lái)看，其實(shí)是圍繞著五元組和檢測(cè)名稱形成的結(jié)果，這就意味著對(duì)所有檢測(cè)不出來(lái)的對(duì)象全部放行。但在如此復(fù)雜的***條件下，我們必須假定第一***波是檢測(cè)不出來(lái)的，就像在軍事斗爭(zhēng)中，敵人的F-22隱形飛機(jī)飛來(lái)了，而我們是發(fā)現(xiàn)不了的，那么我們能否實(shí)現(xiàn)后續(xù)的有效攔截和有效止損？

流量可靠采集

這時(shí)就產(chǎn)生了我們?nèi)绾卧诹髁總?cè)進(jìn)行可靠采集的問(wèn)題，它不僅是傳統(tǒng)的單包檢測(cè)，其實(shí)是對(duì)IP、域名、URL、文件、會(huì)話、賬戶信息等形成全面的采集能力，包括流檢測(cè)、包檢測(cè)、信標(biāo)檢測(cè)、文件檢測(cè)、深度檢測(cè)和行為分析等，最后從態(tài)勢(shì)的角度來(lái)看，形成支撐威脅信息、威脅行為和威脅分布的價(jià)值。

整個(gè)流量采集主要分成三個(gè)步驟：

第一，實(shí)現(xiàn)相應(yīng)的全要素采集，即從傳統(tǒng)的五元組采集能力擴(kuò)展到如今美國(guó)人所講的十三元組采集能力；

第二，要對(duì)大量的應(yīng)用側(cè)信息進(jìn)行提取，之后進(jìn)行多維度的對(duì)相應(yīng)采集對(duì)象的檢測(cè)；

第三，在檢測(cè)本身之上還要實(shí)現(xiàn)基于場(chǎng)景賦能的深度能力賦予。

可靠采集——全要素采集

傳統(tǒng)的協(xié)議解析實(shí)際上是基于對(duì)所有不識(shí)別的惡意代碼一律放行而形成簡(jiǎn)單的日志；而從全要素采集來(lái)看，我們實(shí)際上要實(shí)現(xiàn)對(duì)檢測(cè)對(duì)象的膨脹化，如對(duì)http流量要從相關(guān)的主機(jī)信息、域名信息、agent等方面對(duì)大量信息進(jìn)行留存，如果其中有Payload，那么要對(duì)這個(gè)Payload進(jìn)行進(jìn)一步相應(yīng)的解析，無(wú)論該文件是否是惡意的。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

本文名稱：如何應(yīng)對(duì)全面安全問(wèn)題（二）-創(chuàng)新互聯(lián)
鏈接地址：http://weahome.cn/article/pedse.html