無效防護才是WANNYCRY暴露出的更大問題

成都創(chuàng)新互聯(lián)公司-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設、高性價比豐縣網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式豐縣網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設找我們，業(yè)務覆蓋豐縣地區(qū)。費用合理售后完善，十載實體公司更值得信賴。

之前很多人曾與我交流過一個問題——如何看待WannaCry事件中我們所暴露出的響應問題？但以我的個人觀點來看，在國家網(wǎng)信辦等相關應急機構的統(tǒng)一指導下，廠商針對WannaCry的應急整體上是成功的，我們有效地遏制了它在互聯(lián)網(wǎng)側的大規(guī)模傳播，也有效地防止了大面積出現(xiàn)周一開機“中毒”的次生災害。

實際上，無效防護才是WannaCry事件所暴露出的更大問題。因為WannaCry本身是一個通過安全的基本動作就應該可以防住的威脅，其本身并非一個新的勒索軟件，實際上在此前已經出現(xiàn)過相應的版本。但之所以產生了如此大的影響，是因為其使用了在2017年4月14日暴露的美方軍火級的漏洞，但早在2017年3月份，微軟就已經針對該漏洞發(fā)布了相關補丁。也就是說，在這兩個月的時間內，受感染的機器都沒有打上相應補丁。

我們還需要看到一個問題，勒索軟件本身并不是一種適合以應急響應方式進行處置的威脅，因為勒索軟件造成的事實后果是對文件進行加密，不交付贖金，就不進行解密（但是在這次的WannaCry事件中，一方面，我們發(fā)現(xiàn)了其刪除原來未加密文件的方式不像其他勒索軟件一樣非常嚴密，可以恢復；另外一方面，法國的研究者發(fā)現(xiàn)Windows加密的API具有一定的漏洞，如果沒有重啟，是可以部分恢復的）。對于大部分的勒索軟件而言，文件恢復的有效性、內存解密的有效性其實都很小。

更有甚者，通過這次針對烏克蘭的冒充為勒索***的“必加”事件可以發(fā)現(xiàn)，其本身并不是為了勒索，其作業(yè)方式是，生成一個自己也解密不了的隨機密鑰去加密受害者的文件，其目的就是要破壞掉整個系統(tǒng)。這種破壞一旦發(fā)生只能通過備份數(shù)據(jù)進行應急，如果沒有備份數(shù)據(jù)，且一旦在防護側沒有達成相應的防護效果，整個威脅開始發(fā)散，那么整個應急成本將是不可收斂的。

可見，無效防護才是WannaCry事件所暴露出的我們當前的更大問題，一旦大量事件都是因為無效防護而爆發(fā)的，那么整個壓力就將轉嫁到態(tài)勢感知體系和相應的研判策略上。

有效防護

此前非常流行的“暗云”***的一個非常大的特點是，它是一個擁有Bootkit機制的***家族，通過流氓劫持和DDoS等方式牟利，根據(jù)監(jiān)測，其已經在國內形成百萬量級的節(jié)點感染。它不僅僅通過感染MBR的方式實現(xiàn)加載，而且具有一系列非常復雜的驅動機制，可以干擾安全產品對于MBR的讀取和處置。一旦該***寫入MBR，就將形成頑固感染，處置將十分困難。

實際上，任何安全產品都不能保證其能夠絕對地識別出哪個威脅，但是我們可以提煉出相應的威脅行為。在把整個病毒庫關閉之后，如果在終端防護上來執(zhí)行“暗云”***，它就會攔截掉修改MBR的行為，從而使其引導鏈不能成立。

防護有效性全面降低處置成本

WannaCry勒索病毒并不是一種新的威脅形式，而是一種從歷史上一脈相承的威脅形式，只是隨著近幾年比特幣和暗網(wǎng)的流行，才成為一種典型的方式。因此，既然***者是要進行勒索，就一定要批量地進行文件操作，原則上來看，非受信程序進行批量文件操作就是一種威脅的行為。

終端防護需要內置一整套包括行為分析、誘餌文件的分析機制。如果把WannaCry拿到終端防護產品上執(zhí)行，并把病毒庫檢測都關閉，則其不能實現(xiàn)有效的加密。

端點有效防護

在此情況下，通過主機加固、主機的邊界防御、未知威脅防御、未知威脅鑒定、APT追溯和定點清除就可以構成端點的有效防護。在一個行業(yè)體系內部，當大量的問題可以發(fā)現(xiàn)于防御端點時，就使得需要上層態(tài)勢感知系統(tǒng)進行作用的相關安全事件發(fā)生全面的收斂。因此，把端點安全拋棄在態(tài)勢感知之外，是非常不明智的決定，端點既是態(tài)勢基礎的采集支撐，同時也是態(tài)勢策略有效的落實手段。

從日志留存到全要素采集

過去以SIEM和SOC為基礎的系統(tǒng)，所依賴的其實是日志留存。這種日志留存的本質，無論相應對象是一個載荷，還是一個數(shù)據(jù)包，除了應用層的系統(tǒng)日志之外，更多的是基于檢測引擎和規(guī)則庫的匹配結果。我們曾多次介紹過，惡意代碼的檢測其實是由歸一化檢測、精確檢測、未知檢測多個分支共同維護的體系。從流量上來看，其實是圍繞著五元組和檢測名稱形成的結果，這就意味著對所有檢測不出來的對象全部放行。但在如此復雜的***條件下，我們必須假定第一***波是檢測不出來的，就像在軍事斗爭中，敵人的F-22隱形飛機飛來了，而我們是發(fā)現(xiàn)不了的，那么我們能否實現(xiàn)后續(xù)的有效攔截和有效止損？

流量可靠采集

這時就產生了我們如何在流量側進行可靠采集的問題，它不僅是傳統(tǒng)的單包檢測，其實是對IP、域名、URL、文件、會話、賬戶信息等形成全面的采集能力，包括流檢測、包檢測、信標檢測、文件檢測、深度檢測和行為分析等，最后從態(tài)勢的角度來看，形成支撐威脅信息、威脅行為和威脅分布的價值。

整個流量采集主要分成三個步驟：

第一，實現(xiàn)相應的全要素采集，即從傳統(tǒng)的五元組采集能力擴展到如今美國人所講的十三元組采集能力；

第二，要對大量的應用側信息進行提取，之后進行多維度的對相應采集對象的檢測；

第三，在檢測本身之上還要實現(xiàn)基于場景賦能的深度能力賦予。

可靠采集——全要素采集

傳統(tǒng)的協(xié)議解析實際上是基于對所有不識別的惡意代碼一律放行而形成簡單的日志；而從全要素采集來看，我們實際上要實現(xiàn)對檢測對象的膨脹化，如對http流量要從相關的主機信息、域名信息、agent等方面對大量信息進行留存，如果其中有Payload，那么要對這個Payload進行進一步相應的解析，無論該文件是否是惡意的。

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

當前名稱：如何應對全面安全問題（二）-創(chuàng)新互聯(lián)
文章鏈接：http://jinyejixie.com/article34/pedse.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián)，為您提供關鍵詞優(yōu)化、營銷型網(wǎng)站建設、建站公司、網(wǎng)站內鏈、品牌網(wǎng)站建設、App設計

廣告

聲明：本網(wǎng)站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)