http://p0.qhimg.com/t01b83262bdfa731b3d.jpg

  终端威胁的进化

  现今针对于终端的恶意威胁复杂性和多样性都有显著的变化和提升,短短的几年时间,恶意威胁就由原来的盲目、直接、粗暴的恶意攻击手段转变为有目标、精确、持久隐藏的高级威胁所取代。

  同时现在高级威胁也并非像原来的单一的威胁事件,它们会依照安排好的多个阶段进行有条不紊的开展,预估好每一步骤,通过侦测、武器化、传输、漏洞利用、植入渗透、C2、窃取步骤达到最终的目的,并可在短时间造成用户的惨重损失,但是要发现、解决则需要几周或数月的时间,及越来越多传统的安全解决方案的没有办法有效的解决高级威胁的问题。

  同时,我们定义的终端不再仅仅是Windows操作系统的计算机,当再提及终端的时候,指的可能是任何类型的机器,包括:笔记本电脑、台式机、服务器、移动设备、嵌入式设备,SCADA系统,甚至IoT设备,面对缤纷杂乱的终端,很难以统一的方式保护他们免受从复杂的攻击。

  终端防御技术:从静态到动态

  终端静态防御技术基本依靠已知样本来识别恶意文件、URL等相关信息,主要针对样本静态代码特征进行对比分析,同时依靠特征库的更新来发现较新的恶意威胁。但是随着攻击的进化,攻击者们使用不同的技术来逃避传统的检测和防御,同时每天新增捕获大的恶意样本,已经突破百万级别,这种检测手段显得力不从心。

  终端动态防御技术用机器的力量对抗恶意样本和大量变种,通过动态沙箱等技术进行对抗。目前的沙箱在虚拟仿真环境下执行未知文件,通过其行为来判别威胁的一种方式。

  但是攻击者很快就意识到恶意样本虽然不能回避沙箱,但可以去主动检测当前的运行环境是否为虚拟环境,而不是他们真正的目标终端,利用仿真时间有限,缺乏用户交互,只有特定的操作系统的图像等途径进行判断。攻击者利用这些技术来帮助确保他们的恶意代码不会在模拟环境中运行,并直到达到最终目的。

  新一代终端安全模型

  新一代终端安全的核心是在利用已有的经验和技术来阻止已知威胁的前提下,通过云端威胁情报的能力、攻防对抗的能力、机器学习等方式,来快速发现并阻止先进的恶意软件和零日漏洞等威胁事件。同时基于终端的背景数据、恶意软件的行为、以及整体的高级威胁的生命周期的角度进行全面的检测和响应。进行快速、自动化的阻止、补救、取证,从而有效的对终端进行防护。

  但是大部分安全团队都将重心放在了上半部分,希望能够通过预设的安全策略和已知有的技术来阻止攻击。但是很多安全团队已经意识到,这种方案可以针对已知威胁进行阻拦,但是针对高级威胁却没有一项技术可以保证100%的安全,不被攻击者突破。

  所以,应该将针对高级威胁的防御重心放在(图1)的下半部分,针对高级威胁事件的实时检测和自动响能力,并做到自动化的预防机制,以确保在安全事件发生后,可以第一时间做出正确的响应。

http://p4.qhimg.com/t010e82d5cb9248e20e.png

图1.终端

  针对于终端安全模型的下半部分,高级威胁需要用更好的方法来进行主动检测,依靠自动化的智能响应,而不是依赖人为干预。 

  通过静态技术、动态技术(上层维度),和基于行为的检测和响应(下层维度)进行对比分析:

http://p5.qhimg.com/t01aea96a7c755fd875.png

  终端检测和响应的特点

  针对于高级威胁事件,在其发生前、发生中、发生后进行对应的安全检测和响应动作。

  安全事件发生前需要实时针对终端安全数据进行采集,便于以后利用收集的终端上下文信息来跟踪检测到的威胁的根本原因。

  安全事件发生时,结合威胁情报,形成对终端安全的感知,发现潜在的安全威胁并对安全风险进行预警。评估安全事件影响范围,自动化的快速处置,减轻事件对企业带来的损失。

  安全事件发生后,通过已存储的终端数据,溯源、追踪事件引入终端,还原事件发生过程,对终端防御体系不足部分进行修复、取证。

  终端安全检查和响应的能力

  数据采集:在针对高级威胁的解决方案中核心是阻止高级威胁的针对性攻击,由于攻击者会利用多种手段来掩盖他们的恶意行为,所以必须要通过终端上安装轻量级代理,实时记录端点上行为数据、静态样本、软硬件资产等信息(例如:网络活动、磁盘和内存访问、注册表信息等),进行集中化存储,便于实时的检测和安全评估。

  动态行为分析:动态行为分析不需要通过一个个具体的威胁指标进行检测,而是针对于终端的相关行为操作进行实时动态监测、分析,对于每一个终端操作行为的真实情况进行检测,以确定它是否为恶意行为。

  云端威胁情报:云端的大数据威胁的情报作为威胁检测的一个主要来源。将威胁情报实时和终端行为关联分析后,确认企业上是否已经存在已经沦陷的终端。并对于发现的终端威胁情报进行端点之间的共享,以便立即免疫其它终端面临此类的攻击。

  自动化响应:自动化响应是整体中最为重要的一个组成部分,需要拥有灵活的策略手段,自动处置高级威胁在杀伤链中不同阶段需要做出的对应的响应动作,例如结束进程、隔离文件、补丁更新等,提供立即止损的手段。

  修复、取证:恶意软件会创建、修改或删除系统文件和注册表设置,以及更改终端配置。这些变化可能会导致系统故障或不稳定。需具备恢复的终端在执行恶意软件前的状态的能力,进行全面的安全补救。同时对于发生在整个组织的恶意活动清晰可见,便于安全人员能够快速确定问题的范围、影响,为上级单位提供更多数据,对威胁事件进行取证。

  跨平台支持:终端定义已经扩大到不仅仅是运行Windows操作系统的计算机,而是需要支持多个平台,并且可以针对异构混合的端点进行统一的管控。可以从一个总的控制台来对Windows和非Windows终端包括OS X,Linux,和移动操作系统进行统一管理。

  数据存储能力:大型企业中涉及到成千上万的终端和各地分散部署环境,所以终端安全检查和响应就要求数据存储平台本身可以进行扩展,以支持终端点数的快速增长,同时需要有具备海量的数据存储和快速的计算能力。

  情报共享:对于威胁事件生成终端威胁情报,对外分享和获取更多的知识和攻击行为的模式,丰富威胁情报来源。支持、使用其它的标准格式(CEF,STIX,openIOC),并能与领先的网络安全产品和解决方案进行对接和集成。

  自适应安全体系结构:由Gartner定义的自适应体系结构包括四个阶段(预防、检查、预测和回顾)未来连续的监测和分析必须作为该体系结构的核心。一个完整的终端安全解决方案应该与此体系结构的四个阶段对齐,以提供全面的自适应保护,从而免受高级威胁的攻击。

  总结

  在IoT的时代,终端的安全防护比以往面临着更加严峻的安全挑战。不断变化的业务类型,高度复杂的威胁攻击造成了各类的安全漏洞,也降低了安全的可视性和可控性,带来了安全管理的挑战。

  所以终端安全检查和响应的能力,可以针对高级威胁提供持续的可视性、可控性,降低发现和处置高级威胁的复杂度,这种使安全团队更加快速、智能的去应对各类威胁的模式势在必行。

  推荐阅读

  ▎安全技术的回归——终端安全的复兴

文章原文链接:https://www.anquanke.com/post/id/84941