如何应对全面安全问题(二)
无效防护才是WANNYCRY暴露出的更大问题
之前很多人曾与我交流过一个问题--如何看待WannaCry事件中我们所暴露出的响应问题?但以我的个人观点来看,在国家网信办等相关应急机构的统一指导下,厂商针对WannaCry的应急整体上是成功的,我们有效地遏制了它在互联网侧的大规模传播,也有效地防止了大面积出现周一开机"中毒"的次生灾害。
实际上,无效防护才是WannaCry事件所暴露出的更大问题。因为WannaCry本身是一个通过安全的基本动作就应该可以防住的威胁,其本身并非一个新的勒索软件,实际上在此前已经出现过相应的版本。但之所以产生了如此大的影响,是因为其使用了在2017年4月14日暴露的美方军火级的漏洞,但早在2017年3月份,微软就已经针对该漏洞发布了相关补丁。也就是说,在这两个月的时间内,受感染的机器都没有打上相应补丁。
我们还需要看到一个问题,勒索软件本身并不是一种适合以应急响应方式进行处置的威胁,因为勒索软件造成的事实后果是对文件进行加密,不交付赎金,就不进行解密(但是在这次的WannaCry事件中,一方面,我们发现了其删除原来未加密文件的方式不像其他勒索软件一样非常严密,可以恢复;另外一方面,法国的研究者发现Windows加密的API具有一定的漏洞,如果没有重启,是可以部分恢复的)。对于大部分的勒索软件而言,文件恢复的有效性、内存解密的有效性其实都很小。
更有甚者,通过这次针对乌克兰的冒充为勒索***的"必加"事件可以发现,其本身并不是为了勒索,其作业方式是,生成一个自己也解密不了的随机密钥去加密受害者的文件,其目的就是要破坏掉整个系统。这种破坏一旦发生只能通过备份数据进行应急,如果没有备份数据,且一旦在防护侧没有达成相应的防护效果,整个威胁开始发散,那么整个应急成本将是不可收敛的。
可见,无效防护才是WannaCry事件所暴露出的我们当前的更大问题,一旦大量事件都是因为无效防护而爆发的,那么整个压力就将转嫁到态势感知体系和相应的研判策略上。
有效防护
此前非常流行的"暗云"***的一个非常大的特点是,它是一个拥有Bootkit机制的***家族,通过流氓劫持和DDoS等方式牟利,根据监测,其已经在国内形成百万量级的节点感染。它不仅仅通过感染MBR的方式实现加载,而且具有一系列非常复杂的驱动机制,可以干扰安全产品对于MBR的读取和处置。一旦该***写入MBR,就将形成顽固感染,处置将十分困难。
实际上,任何安全产品都不能保证其能够绝对地识别出哪个威胁,但是我们可以提炼出相应的威胁行为。在把整个病毒库关闭之后,如果在终端防护上来执行"暗云"***,它就会拦截掉修改MBR的行为,从而使其引导链不能成立。
防护有效性全面降低处置成本
WannaCry勒索病毒并不是一种新的威胁形式,而是一种从历史上一脉相承的威胁形式,只是随着近几年比特币和暗网的流行,才成为一种典型的方式。因此,既然***者是要进行勒索,就一定要批量地进行文件操作,原则上来看,非受信程序进行批量文件操作就是一种威胁的行为。
终端防护需要内置一整套包括行为分析、诱饵文件的分析机制。如果把WannaCry拿到终端防护产品上执行,并把病毒库检测都关闭,则其不能实现有效的加密。
端点有效防护
在此情况下,通过主机加固、主机的边界防御、未知威胁防御、未知威胁鉴定、APT追溯和定点清除就可以构成端点的有效防护。在一个行业体系内部,当大量的问题可以发现于防御端点时,就使得需要上层态势感知系统进行作用的相关安全事件发生全面的收敛。因此,把端点安全抛弃在态势感知之外,是非常不明智的决定,端点既是态势基础的采集支撑,同时也是态势策略有效的落实手段。
从日志留存到全要素采集
过去以SIEM和SOC为基础的系统,所依赖的其实是日志留存。这种日志留存的本质,无论相应对象是一个载荷,还是一个数据包,除了应用层的系统日志之外,更多的是基于检测引擎和规则库的匹配结果。我们曾多次介绍过,恶意代码的检测其实是由归一化检测、精确检测、未知检测多个分支共同维护的体系。从流量上来看,其实是围绕着五元组和检测名称形成的结果,这就意味着对所有检测不出来的对象全部放行。但在如此复杂的***条件下,我们必须假定第一***波是检测不出来的,就像在军事斗争中,敌人的F-22隐形飞机飞来了,而我们是发现不了的,那么我们能否实现后续的有效拦截和有效止损?
流量可靠采集
这时就产生了我们如何在流量侧进行可靠采集的问题,它不仅是传统的单包检测,其实是对IP、域名、URL、文件、会话、账户信息等形成全面的采集能力,包括流检测、包检测、信标检测、文件检测、深度检测和行为分析等,最后从态势的角度来看,形成支撑威胁信息、威胁行为和威胁分布的价值。
整个流量采集主要分成三个步骤:
第一,实现相应的全要素采集,即从传统的五元组采集能力扩展到如今美国人所讲的十三元组采集能力;
第二,要对大量的应用侧信息进行提取,之后进行多维度的对相应采集对象的检测;
第三,在检测本身之上还要实现基于场景赋能的深度能力赋予。
可靠采集--全要素采集
传统的协议解析实际上是基于对所有不识别的恶意代码一律放行而形成简单的日志;而从全要素采集来看,我们实际上要实现对检测对象的膨胀化,如对http流量要从相关的主机信息、域名信息、agent等方面对大量信息进行留存,如果其中有Payload,那么要对这个Payload进行进一步相应的解析,无论该文件是否是恶意的。