《沙箱安全解决方案-研华》由会员分享,可在线阅读,更多相关《沙箱安全解决方案-研华(22页珍藏版)》请在金锄头文库上搜索。
1、研华科技安全沙箱项目Fortinet APT解决方案2015年11月目录一、APT高级持续性威胁介绍3二、Fortinet ATP防御4三、如何进行APT攻击防御53.1 APT恶意代码分类53.2 沙箱简介63.3 沙箱挑战7四、Fortinet针对研华APT解决方案84.1部署方式84.2 FortiSandbox简介144.3 FortiSandbox解决常见沙箱的技术难题144.4 FortiSandbox的操作系统支持16五、Fortinet优势185.1安全与性能185.2灵活的部署195.3高性能ATP防御系统20六、FortiSandbox产品特性21一、APT高级持续性威胁介
2、绍随着更全面的安全应用程序和数据库技术的迅猛发展,研华科技现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而,日渐复杂的安全问题依然有增无减,使得其带来的威胁仍然不容忽视。云计算的产生将给互联网带来天翻地覆的变化,研华科技坚定不移的走上了云计算道路的大趋势将不会受到任何挑战,但数据保护和虚拟环境中的风险管理却让人望而却步,毋庸置疑在云计算的发展道路上,安全问题已经成为了它最大的“绊脚石”。高级持续性威胁(Advanced Persistent Threat,APT),威胁着研华科技的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意
3、商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。这种攻击行为首先具有极强的隐蔽能力,通常是利用研华科技或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。在已经发生的典型的APT攻击中,攻击者经常会针对性的进行为期几个
4、月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式,整个惊心动魄的过程绝不逊于好莱坞巨制偷天换日。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如,在某台服务器端成功部署Rootkit后,攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。二、Fortinet ATP防御为了防御新型恶意软件和APT攻击,仅仅依赖传统的防病毒软件是远远不够的,必须结合多种安全技术,建立覆盖网络和终端的立体防御体系,从各个可能的入口进行封堵。Fortinet针对APT攻击的安全解决方案在防病毒技术的技术上进行了大量
5、扩充和延伸,称之为ATP(高级威胁防御)。Fortinet的ATP主要包括以下特性: 恶意软件特征检测及过滤 双重沙箱(本地及云端)检测0day威胁 僵尸网络防御 IPS(入侵防御) 文件类型过滤三、如何进行APT攻击防御3.1 APT恶意代码分类APT攻击中的恶意代码有两大类第一类是已知的恶意代码,这些恶意代码是针对已知的系统漏洞。虽然研华科技都知晓应该为系统漏洞按照最新的补丁,不过由于管理或者人力的问题,大多数的研华科技都很难随时更新到最新的修补程序。另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码,或者编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马,
6、这些0day漏洞和特种木马,都是防护者或防护体系所未知的。对于第一类已知恶意代码攻击目前很多安全设备已经可以做到防护如IPS等,但是对于第二类零日攻击(0Day)即未知威胁恶意代码的检测,主要依赖于各种沙箱技术。包括手机沙箱、PE沙箱、web沙箱等,通过沙箱技术,构造一个虚拟化的环境,任何灰度的流量都可以装入一个隔离的沙箱中。通过提取流量中的相关代码,然后将代码放到沙箱中执行,在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容,可让安全人员实际看到恶意软件的运作模式。例如,如果怀疑电子邮件附件和URL藏有恶意软件,就可以将其放入沙箱,沙箱分析威胁相关信息,例如参与攻击的源头,被攻击的系统、域名、
7、文件、URL及恶意软件等,借助这些信息,可以识别各种恶意代码,安全管理人员可以决定适当的防御措施,由于APT攻击途径多种多样,可以是邮件,可以是web,可能来源于手机应用等等,因此沙箱技术是防范APT攻击的关键。3.2 沙箱简介什么是沙箱?沙箱是一种虚拟分析技术,通常指在沙箱中模拟用户环境(如复制标准的工作站)运行待检测的代码,通过分析输出结果来确认某种攻击行为。恶意的特征通常表现为:n 下载已知病毒n 修改注册表n 访问外网的恶意IP地址n 感染进程为什么要使用沙箱?高级威胁(APT/ATA)很难被检测到如:基于行为的检测 vs. 基于特征的检测n 基于特征的检测不能捕获所有威胁n 实时运行
8、分析可以发现静态(特征)检测不能发现的问题n 检测是在运行代码后进行的,所以可以检查到各个方面还有更多 n 恶意软件通常还会去下载更多恶意软件n 沙盒会捕捉到这些动作,并跟踪整个过程 3.3 沙箱挑战在当前的网络攻击技术中,攻击者为了绕过沙箱过滤识别技术,使用了大量的沙箱逃逸技术 如:VM检测、时间炸弹、Debug循环、事件触发(鼠标点击、系统重启等)。常见的沙箱存在以下问题:n 操作系统单一:适应范围较窄,速度慢n 单一软件版本:如只适用于java、Adobe reader等n 攻击需要在特定的版本软件中运行,例如:恶意软件不能在沙箱中运行,这样将绕过沙箱 针对于这样一些特性,Fortine
9、t公司研发了全新的多层次的安全威胁解决方案,该方案对沙盒本身的检测机制进行了更新,更结合了Fortinet公司多款明星产品,以及多年在安全领域的积累,为用户提供更全面有效的APT防御方案。四、Fortinet针对研华APT解决方案4.1部署方式研华科技承载着众多的内部业务,除了要对APT攻击进行精准防护之外,要求较低的延迟及较高保密性,而传统的云沙箱安全技术需要将可疑数据上传到各自厂商的云端沙箱进行隔离运行进而判断数据流量的安全性,很难满足研华科技对低延迟及高保密性的要求。目前研华科技的网络架构大致如下,在Internet出口都已经部署过防火墙设备,图中User用户的上网都是通过深信服的行为管
10、理设备接入Internet,而服务器都有自己独有的线路。此外也有MPLS线路通到各分支机构。用户主要关心的问题主要集中在以下几个方面:1、 用户网络APT攻击的防御用户网络中,各种用户的访问习惯较为繁杂,一些用户没有养成良好的网络安全习惯,容易受到钓鱼邮件,网站的攻击,从而成为肉鸡,从而对内网的服务器可能会造成影响,如敏感信息外泄,服务器受到攻击等。2、 对MPLS网络的安全防御研华科技的公司总部和各分支机构使用MPLS打通了整个网络,但总部和分支机构之间并没有安全防护设备,只有一台riverbed广域网加速设备。由于各分支机构的网络是相对独立管理的,使得总部和分支机构之间只要有一方受到APT
11、攻击就可能影响到另一方。3、 对于server网络的安全防御目前对于Server端虽然和用户的网络是分开的,但对于Server的防御也仅限于防火墙,并没有网关IPS,网关防病毒等等类似的设备,总所周知传统的防火墙对于APT的防御是没有效果的。因此Server的防御也需进一步提高。为此Fortinet提供了本地沙箱技术-FortiSandbox硬件设备。对于研华的此次网络安全沙箱项目,有几种配置和部署的方式,客户可根据自己的需求进行选择:部署方式一:部署一台FortiSandbox 1000D设备,但由于FortiSandbox是离线检测设备,需要有数据源,我们可以在核心交换机上做镜像端口,将需
12、要进行检测的流量镜像出来,然后FortiSandbox进行检测即可。此种解决方案部署方便,对现有网络架构无改动,只需在核心交换机上镜像流量即可,对用户和服务器都完全透明。但是由于核心交换机上镜像过来的流量会较多,会造成Fortisandbox大量的扫描工作都浪费在一些无用的文件或流量上,从而造成扫描效率低下,整体检出率降低。部署方式二:部署一台FortiGate 1200D设备,同时将一台FortiSandbox 1000D,放在网络中只要FortiGate1200D和FortiSandbox1000D能在内网互连即可。FortiGate 1200D设备作为针对网络流量的探针设备,对网络中的流
13、量进行打分评估,对于可疑的流量转发给直连的FortiSandbox 1000D设备。由于FortiGate 1200D支持虚拟域功能,我们可以将一台FortiGate 1200D分成多个逻辑域,用于网络探测, 如下图所示一共划分了四个虚拟域,都进行透明模式的部署,在此种模式下所有的文件已经经过FortiGate1200D的第一层过滤,对于已知的威胁已经可以由FortiGate1200D过滤掉,而对于已知可信无威胁的文件,FortiGate1200D会将其放过,而不会发送到Fortisandbox进行没有必要的查杀。只有可疑的文件才会被发送到Fortisandbox的虚拟环境中进行模拟以深层检测
14、威胁。FortiSandbox本地沙箱技术即解决了有效识别和拦截APT攻击的安全防御功能,又满足了研华科技安全的保密性要求。FortiGate 1200D七层防病毒可以做到9.5Gbps,且其IPS的能力可以达到11Gbps,并发会话为1千1百万,完全可以满足研华上网和邮件流量检查能力。FortiGate1200D和FortiSandbox 1000D的无缝集成如下所示:网络中的流量到FortiGate后会先进行第一层的过滤,当发现有可疑文件时会自动提交给FortiSandbox,提交是通过SSL加密进行传输的。可疑文件到达FortiSandbox后,会在其VM的仿真环境中进行一系列模拟运行,
15、加速其威胁爆发等操作,以此来检测该文件是否是一个有威胁的文件。通常一个文件的检测在几分钟之内就可以完成,检测的结果会发送给FortiGate和对应的FortiGuard云服务。FortiGate会存储这个文件的HASH值,从而当同样的文件再次经过FortiGate时会被阻断,从而实现阻止功能。由于多节点都部署在一台FortiGate上,推荐使用我们的FortiBridge Bypass盒来实现bypass功能。部署方式如下:当FortiGate设备正常工作时,数据流如下,FortiBridge在收到流量后将流量转发给FortiGate设备,FortiGate在处理完流量后,再将流量发到FortiBridge的另一个接口,FortiBridge直接进行转发。FortiBridge 2002F的型号可以支持多模光口bypass。FortiBridge在运行时,会实时发送ping包从INT1到EXT1,看这个心跳包是否能穿过FortiGate返回到FortiBridge,从而判断FortiGate设备是否处于通电并且正常工作的模式。一旦发现FortiGate设备发生故障,FortiBridge会立刻检测到,并阻断到FortiGate的数据流,直接进行转发,如下图所示:由于PIX 515E已购买多年,已
