國家安全時代���,如何應對未知漏洞攻擊�����?
2020年01月22日
安全(查殺)引擎與惡意攻擊的攻防拉鋸戰,從單機時代的惡意軟件加殼 vs.靜態黑特征匹配,發展到了互聯網時代基于漏洞的利用vs.基于行為黑�、白特征的混用��。如今��,則是在國家安全這一大背景下的新型攻防對抗。
1月17日�,奇安信在京發布了最新安全引擎“天狗”�,并將其歸屬為第三代(安全引擎)���。其最為突出的是技術目的的變化�����,即以應對受信程序作惡���、未知漏洞利用為核心目的�,而且減少用戶對終端的安全運營能力如補丁管理���、權限控制的依賴��。
那么,從能力角度看����,“天狗”引擎有哪些重要的不同?
下面兩段�,概括性的介紹了奇安信副總裁����,同時也是“天狗”引擎研發負責人徐貴斌的部分演進內容。
1. 受信程序的惡意指令
漏洞攻擊的實質���,是利用漏洞控制可信程序執行惡意指令。對可信程序進行限制也一直是安全工作的重要方向�。最有代表性的���,就是最小權限原則���。
所以�����,“天狗”首先要做的,是利用 AI 能力�,批量的��,以進程����、程序和文件為單位����,進行權限收集和設置。要明確的區分是,基于角色、對人的行為的訪問控制���,是零信任要做的事情。
但是,訪問控制與授權���,是一個長期存在的問題�。對權限的控制,不只是人為來規定����,更需要底層安全技術的支撐�����。即使程序的樣子、行為在用戶看來是沒有異常的,但進入內存指令層這樣一個相對微觀的世界,也會有明顯的區別����。這樣做的益處是可以擺脫對文件和行為特征的依賴��,大范圍應用可能的阻礙是性能消耗的容忍程度。
除了性能外���,內存的惡意指令檢測還要重點考慮的是誤報率和檢出率的平衡。而且����,因為客戶環境中部署的安全軟件經常會影響程序指令的執行���,這對于惡意指令檢測是種干擾�����,所以現場的適配過程現階段也是必須的。
2. 后門發現
后門發現是此次“天狗”在技術上的一個重要創新點��。
后門不似漏洞����,它和實現正常功能的代碼段是沒什么本質區別的���?�!疤旃贰睂箝T的檢測思路在于這段特殊功能的使用��。正常情況下,功能的研發是為了滿足大多數用戶的需求而設計的,所以幾乎每個正常功能都有大量群體在使用。而后門是為了應對特殊情況�,隱藏起來的功能��,所以也就只有極少數人,極少機會去調用�。
而無論是正常功能的使用����,還是后門的調用��,都將在內存中形成獨特的指令調用序列����,“天狗”利用AI技術�����,實現了對多用戶的分布式指令調用序列的學習與計算����,從中發現與正常功能調用不同的后門調用�。
漏洞是程序的缺陷,后門是不公開的功能;后者具備更強的不確定性,特別是在國家安全時代��,有更大的風險。當然����,照此邏輯�����,如果一個后門到目前為止從來沒有被使用過����,也就不會被發現,在檢出率上一定無法達到100%��,但這樣的后門�����,到目前為止也沒有產生實質性危害�����。而安全工作要做的,是通過體系化的防護�,將風險降低到容忍度以下�����。特別是“天狗”,可以說是基于 AI 和漏洞視角,強化了對利用漏洞���、后門進行攻擊的檢測和發現能力。
實戰應用:應對Win7停服后的安全挑戰
奇安信的特點是重視服務,重視實戰效果�����?!疤旃贰币彩侨绱恕?/span>
據奇安信總裁吳云坤介紹,“天狗”從2018年就開始研發,半年前已經在10萬終端進行部署測試�����。
作為一個底層安全技術��,“天狗”一個重要特點就是不依賴特定操作系統。在政企用戶的不同信息化場景,可以更靈活的提供能力支撐���。
目前,微軟已經停止對Windows 7、Windows Server 2008提供支持�。這與國內Win7終端占有率達57%以上��,關鍵信息基礎設施Win7終端達60%的現狀有明顯的沖突。在失去官方補丁支持后,“天狗”引擎從在另一維度提供的防護能力,對擁有大量無法遷移Windows 7和Windows Server 2008主機的客戶而言,就十分關鍵�。
據奇安信集團副總裁張聰透露���,目前集成了“天狗”終端和服務器安全防護系統����,已經在多家大中型企業及機構穩定運行超過半年��,而這些終端的操作系統大量是已經停服的Windows 7和Windows Server 2008��。奇安信已經針對 Win7操作系統的過渡(保留停服系統)、切換(信創系統)和升級(Win10)三個場景提出了系統性的方案�。未來�����,結合集成“天狗”引擎漏洞防護模塊的奇安信天擎,可以為不同需求的客戶提供長效的安全運營保障��。
江蘇國駿為您提供全面可信的信息安全服務
http://www.jewellerybykaren.com/
免費咨詢熱線:400-6776-989
長按二維碼關注我們
