等保2.0下,入侵防范技术大起底
1等保2.0关于入侵防范的规定
等保2.0标准在2019年5月正式发布,将于2019年12月开始实施。等保2.0标准中对入侵防范做了详细要求,下面表格中列出了等保2.0对入侵防范的要求,黑色加粗字体表示是针对上一安全级别增强的要求。
等保2.0中主要在安全区域边界和安全计算环境中提到入侵防范要求。安全区域边界中的入侵防范主要指在关键网络节点处对从外部或内部发起的网络攻击进行入侵防范,安全计算环境中的入侵防范主要指遵循安装程序、开放服务和终端接入的最小化原则,同时修补已知漏洞。在等保3级中,要求实现对新型网络攻击行为的分析,并要求检测到对重要节点进行入侵的行为。在等保4级中,对入侵防范的要求和等保3级基本保持一致。入侵防范是一种可识别潜在的威胁并迅速地做出应对的网络安全防范办法。入侵防范技术作为一种积极主动地安全防护技术,提供了对外部攻击、内部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵。入侵防范被认为是防火墙之后的第二道安全闸门,在不影响网络和主机性能的情况下能对网络和主机的入侵行为进行监测。另外,在等保2.0中提到的应用程序最小安装原则,这也属于入侵防范的一部分,属于非自动化的入侵防范办法。本文重点讲解自动化的入侵防范技术,关于非自动化的入侵防范办法不做详细探讨。2常用入侵防范技术
按照检测数据来源,将入侵防范技术分为基于网络的入侵防范技术和基于主机的入侵防范技术,分别对应等保2.0中的安全区域边界和安全计算环境的入侵防范。
2.1. 基于网络的入侵防范技术
基于网络的入侵防范,主要是通过分析网络流量中的异常攻击行为并进行拦截和响应。当前比较流行的网络入侵防范技术包括:基于特征签名的入侵防范技术、基于沙箱的入侵防范技术、基于网络行为白名单的入侵防范技术和基于威胁情报的入侵防范技术。
● 2.1.1. 基于特征签名的入侵防范技术基于特征签名的入侵防范技术,需要在网络通信报文中匹配特征签名以查找已知的漏洞攻击或恶意程序。这种基于特征签名的检测引擎,使用了模式匹配算法,可以在现代系统上快速完成,因此对于确定的一套特征签名来说,进行这种检测所需要的计算能力是最小的。
签名检测引擎常用的模式匹配AC算法
基于特征签名的检测引擎也有弱点,由于签名引擎仅检测已知的攻击,必须为每种攻击制作一个签名,而且新的攻击无法检测。由于签名通常是根据正则表达式和字符串设计的,因此,签名引擎还会出现较多误报。基于特征签名的检测引擎对于检测以固定方式实施的攻击很成功,但是对于人工制作的或者具有自我修正行为功能的蠕虫发起的多种形式的攻击检测就有些力不从心。由于必须为每一种攻击的变体制作一个新的签名,而且随着签名的增加检测系统的运行速度将减缓,因此,签名引擎检测这些变化的攻击的整体能力将受到影响。实际上,基于特征签名的入侵防范可以归结为攻击者和签名开发商之间的军备竞赛。这场竞赛的关键是签名编写和应用到入侵防范引擎中的速度。
● 2.1.2. 基于沙箱的入侵防范技术基于沙箱的入侵防范技术,需要在网络通信报文中提取传输的文件,并将文件在虚拟机上执行,通过行为特征识别漏洞攻击或恶意程序。这种基于沙箱的检测引擎,使用了多个虚拟机并行运行,会耗费较多的计算能力。沙箱技术的实践运用流程是让疑似病毒文件的可疑行为在虚拟的沙箱里充分表演,沙箱会记下它的每一个动作;当疑似病毒充分暴露了其病毒属性后,沙箱就会执行“回滚”机制,将病毒的痕迹和动作抹去,恢复系统到正常状态。
沙箱的技术原理
基于沙箱的入侵防范技术的优点是对于零日漏洞攻击和APT攻击的检测效果较好。沙箱检测引擎一般支持PE文件、文档、压缩包、图片、网页(JS脚本)以及Shell Code的检测,对恶意文件的检测能力较好,但是对于基于网络流量发起的零日漏洞攻击,没有太好的办法。比如MS17-010这种直接针对服务器端发起的网络流量攻击,在该漏洞未公开前直接基于流量攻击,沙箱引擎很难检测。
● 2.1.3. 基于网络行为白名单的入侵防范技术基于网络行为白名单的入侵防范技术,需要学习网络通信流量,建立协议指令白名单模型和网络流量基线模型,通过白名单和流量模型来识别网络攻击或违规操作。这种基于网络行为白名单的检测引擎,适用于网络流量相对简单的环境,比如工业控制系统网络环境,模型建立前会耗费较多的计算能力进行机器学习,模型建立后耗费的计算能力较小。基于网络行为白名单的检测引擎,采用了协议深层解析技术,对应用层协议进行深度解析,记录下协议指令和操作数据,同时会记录下流量特征,包括地址、端口、连接频率、连接时间、应用协议、带宽和流量图等,将上述数据汇总分析后,建立协议指令白名单模型和网络流量基线模型。
黑白名单技术的对比分析
基于网络行为白名单的入侵防范技术的优点是对于基于网络流量的零日漏洞攻击的检测效果较好。但是要求在建立白名单模型的过程中,必须在干净的流量环境下学习。该引擎的缺点是无法精准定位攻击类型。
● 2.1.4. 基于威胁情报的入侵防范技术基于威胁情报的入侵防范技术,将网络通信流量中采集的数据同威胁情报数据匹配来识别漏洞攻击或恶意程序。这种基于威胁情报的检测引擎,需要及时更新威胁情报数据,适用于开放的网络环境,基于威胁情报的检测耗费的计算能力较小。
威胁信息服务的三种不同阶段
iSight Partners将威胁信息服务分为三种不同的阶段:签名与信誉源,威胁数据源和网络威胁情报。签名与信誉源,一般指的是恶意程序签名(文件哈希)、URL信誉数据和入侵指标。威胁数据源,对常见恶意程序和攻击活动的波及范围、源头和目标进行统计分析。某些安全研究团队针对特定恶意程序发布的攻击解析,或者对高级、多阶段攻击的攻击顺序观察,都属于此类。威胁情报包含了前两者的基础数据,但同时在几个重点方面作了提升,包括在全球范围内收集及分析活跃黑客的信息和技术信息,也就是说持续监控黑客团体和地下站点,了解网络犯罪者和激进黑客共享的信息、技术、工具和基础设施。此类服务还要求其团队拥有多样化的语言能力和文化背景,以便理解全球各地黑客的动机和关系。另外,威胁情报以对手为重点,具有前瞻性,针对攻击者及其战术、技术与程序(TTP)提供丰富的上下文数据。数据可能包括不同犯罪者的动机与目标,针对的漏洞,使用的域、恶意程序和社工方式,攻击活动的结构及其变化,以及黑客规避现有安全技术的技巧。针对攻击方的威胁情报主要包括:攻击者身份、攻击的原因、攻击目的、具体怎么做的、攻击者的位置、如何组织情报(包括IP地址、哈希值等可用来更准确地检测和标记恶意行为)、如何缓解攻击。基于威胁情报的入侵防范技术的优点是可以快速检测最新型的网络攻击,但是不具备对零日漏洞攻击的检测能力,同时要及时更新威胁情报库。
2.2. 基于主机的入侵防范技术
基于主机的入侵防范,主要是通过分析主机进程和文件的异常攻击行为并进行拦截和响应。当前比较流行的主机入侵防范技术包括:基于特征签名的入侵防范技术、基于沙箱的入侵防范技术、基于基因图谱的入侵防范技术、基于主机行为白名单的入侵防范技术和基于EDR的入侵防范技术。其中,前两种基于主机的入侵防范技术在检测原理上同基于网络的入侵防范技术类似,它们的区别在于:在主机上特征签名引擎主要对文件中的特征串和文件的校验和进行模式匹配,沙箱引擎主要对系统中可执行程序的访问资源以及系统赋予的权限建立应用程序的沙箱来限制恶意代码的运行。因此,本节主要介绍后三种基于主机的入侵防范技术。
● 2.2.1. 基于基因图谱的入侵防范技术基于基因图谱的入侵防范技术,通过结合机器学习/深度学习、图像分析技术,将恶意代码映射为灰度图像,建立卷积神经元网络CNN深度学习模型,利用恶意代码家族灰度图像集合训练卷积神经元网络,并建立检测模型,利用检测模型对恶意代码及其变种进行家族检测。这种基于基因图谱的检测引擎,模型建立前会耗费较多的计算能力进行机器学习,模型建立后耗费的计算能力较小。恶意代码家族是有具有明显特征的恶意代码种类,是由很多拥有共同特性的恶意代码个体组成,共同特性通常包括相同的代码、图案、应用特征及相似的行为方式。恶意代码家族中的个体成员之间差异较小,而且它们的基因结构也比较相近,犹如物种在进化过程中基因变化一样,如下图所示,恶意代码家族Worm.Win32.WBNA(1ef51f0c0ea5094b7424ae72329514eb、777b2c29dc6b0c0ad1cec234876a97df、 1701f09f7348b0a609b8819b076bb4df)中的三个成员,查看其PE文件纹理变化情况。下图从上到下分为三层,每层分为三列。第一层从左到右为三个恶意代码的纹理图像,第二层从左到右为第一层三个纹理图像的差异(与第一层的第一幅纹理图像比较),第三层为恶意代码标识,命名规则为“md5”。
Worm.Win32.WBNA 3个家族成员内容纹理差异对比
基于基因图谱的入侵防范技术的优点是对于已知恶意代码的变种程序检测效果较好,对于零日漏洞攻击或新型恶意代码检测效果不佳。
● 2.2.2. 基于主机行为白名单的入侵防范技术基于主机行为白名单的入侵防范技术,通过机器学习建立主机进程白名单、网络白名单、外设白名单、配置策略安全基线和文件强制访问控制模型,利用上述模型检测并阻止新型的恶意代码或违规操作。这种基于主机行为白名单的检测引擎,适用于应用程序相对单一的环境,比如工业控制系统计算环境,模型建立前会耗费较多的计算能力进行机器学习,模型建立后耗费的计算能力较小。基于主机行为白名单的入侵防范技术,很好的满足了等保2.0中关于安全计算环境的入侵防范要求。主机进程白名单,对应了应用程序最小运行原则,和应用程序的最小安装原则相互呼应。网络白名单,对应了应用服务和开放端口的最小化原则。外设白名单,对应了外设接入的管控。配置策略安全基线,对应了配置策略的安全核查,从另外一个方面解决了配置弱点漏洞。文件强制访问控制,加强了对恶意文件的权限管控,可以防文件篡改,保护了系统核心文件的安全。
进程白名单可以有效防护新型的恶意代码攻击
基于主机行为白名单的入侵防范技术的优点是对于基于零日漏洞的恶意代码攻击的检测效果较好,但是一旦零日漏洞攻击进入Ring 0层并拥有了驱动卸载权限后,白名单软件很难防护。基于主机行为白名单的入侵防范技术要求在建立白名单模型的过程中,必须在干净的系统环境下学习。
● 2.2.3. 基于EDR的入侵防范技术基于EDR(Endpoint Detection and Response,终端防护和相应)的入侵防范技术,通常会记录大量终端和网络事件(包括用户、文件、进程、注册表、内存和网络事件),把这些信息保存在终端本地,或者保存在中央数据库中,然后使用已知的攻击指示器、行为分析和机器学习技术识别攻击威胁,检测系统漏洞并对这些威胁风险做出快速响应。基于EDR的入侵防范技术能够对终端进行持续的检测,发现异常行为并进行实时的干预。这种技术耗费的计算能力较高。EDR检测引擎至少要具备四种类型的能力,如下图所示。
EDR需要具备的四种类型的能力
1) 能够在安全事件发生时进行检测;2) 记录并响应相关终端事件;3) 支持对事件的调查分析;4) 为受影响终端提供补救机制。
一个有效的 EDR 系统首先要求在所有终端上线时以及以后每次使用时发现、分类和评估它们。基于终端发现,EDR 系统部署实施有代理或无代理机制,用于实现威胁检测、监控和报告功能,该功能插入特定管理服务,定期收集跟踪活动、软件配置、安全状态等数据,并存入相应数据库。同时先进的 EDR 系统可以帮助减少整体攻击面,限制攻击的影响,并使用威胁情报和观察来预测攻击可能发生的时间和方式。基于EDR的入侵防范技术的优点是可以识别并阻断各类已知和未知的攻击行为,可以对攻击全流程进行溯源追踪。该技术基于行为分析,也会产生一定的误报。
3入侵防范技术对比分析上面小节论述的入侵防范技术的对比分析如下表:
基于白名单的入侵防范技术,在网络流量或主机行为简单的环境下适用性较好,比如工业控制系统环境。