国产精品夜色视频一级区_hh99m福利毛片_国产一区二区成人久久免费影院_伊人久久大香线蕉综合影院75_国产精品久久果冻传媒

您的位置:首頁 >熱點(diǎn) >

華云安·ASM技術(shù)篇:應(yīng)對(duì)零日攻擊的檢測(cè)模型(VEAM)

2022-01-14 11:34:41    來源:財(cái)訊界

根據(jù)《麻省理工科技評(píng)論》的零日漏洞追蹤項(xiàng)目的統(tǒng)計(jì)顯示,2021年至少發(fā)現(xiàn)66個(gè)仍在使用中的零日漏洞,數(shù)量約是2020年的兩倍。日益增長且難以防范的零日漏洞,已經(jīng)成為企業(yè)網(wǎng)絡(luò)信息安全面臨的最嚴(yán)峻的威脅之一。

正如Gartner在報(bào)告中所說“安全的一切都在變化”,威脅環(huán)境也已隨之而變。網(wǎng)絡(luò)攻擊正從個(gè)人行為向有組織、有國家背景的方向發(fā)展,他們目的性強(qiáng)且動(dòng)機(jī)清晰,往往具有明確的商業(yè)、經(jīng)濟(jì)利益或政治訴求;攻擊手段從傳統(tǒng)的隨機(jī)病毒、木馬感染、工具投遞等方式演進(jìn)為社會(huì)工程、零日漏洞以及高級(jí)逃逸技術(shù)(AET)等組合方式,經(jīng)常發(fā)起有針對(duì)性的網(wǎng)絡(luò)攻擊,具有高級(jí)化、組合化、長期化等特點(diǎn),我們稱之為新一代網(wǎng)絡(luò)安全威脅。事實(shí)上,面對(duì)以零日攻擊為代表的新一代威脅,傳統(tǒng)基于特征/簽名檢測(cè)的統(tǒng)一威脅管理系統(tǒng)、入侵檢測(cè)/防御系統(tǒng)、防病毒系統(tǒng)等安全產(chǎn)品無法使用戶得到充分保護(hù)。

傳統(tǒng)

1、基于簽名的檢測(cè)技術(shù)

國內(nèi)威脅檢測(cè)的發(fā)展,可以追溯到2000年初,彼時(shí)國內(nèi)網(wǎng)絡(luò)安全廠商陸續(xù)推出了入侵檢測(cè)產(chǎn)品,這類產(chǎn)品采用的是基于規(guī)則簽名來識(shí)別非法流量的方式,目前多數(shù)安全產(chǎn)品也還在沿用這種方式,該方式在發(fā)現(xiàn)常見的攻擊方面具有良好的效果,在互聯(lián)網(wǎng)發(fā)展初期發(fā)揮了重要作用。

傳統(tǒng)的防病毒和威脅檢測(cè)系統(tǒng)使用簽名驗(yàn)證機(jī)制,主要針對(duì)已知的漏洞或惡意軟件進(jìn)行指紋識(shí)別。但對(duì)于那些利用0day的高級(jí)威脅惡意樣本,網(wǎng)絡(luò)安全研究人員則無法及時(shí)獲取和分發(fā)變種后的惡意軟件簽名。

2、沙箱檢測(cè)技術(shù)

互聯(lián)網(wǎng)的飛速發(fā)展讓攻防兩端的對(duì)抗更加激烈,基于簽名的檢測(cè)技術(shù)在應(yīng)對(duì)未知威脅、高級(jí)威脅方面已經(jīng)力不從心,攻擊者只需簡(jiǎn)單的修改攻擊代碼或多次嘗試便可以繞過入侵檢測(cè)設(shè)備。為了應(yīng)對(duì)這些威脅,沙箱檢測(cè)產(chǎn)品開始出現(xiàn)。

沙箱檢測(cè)技術(shù)通過分析行為可以彌補(bǔ)基于簽名識(shí)別的不足。沙箱檢測(cè)技術(shù)是通過部署多種運(yùn)行環(huán)境,將攻擊流量在虛擬環(huán)境中運(yùn)行,通過分析代碼執(zhí)行中的行為識(shí)別威脅。采用這種方式可以發(fā)現(xiàn)未知威脅、高級(jí)威脅,目前大多數(shù)APT檢測(cè)設(shè)備都采用這種方式。但沙箱環(huán)境和實(shí)際執(zhí)行環(huán)境通常存在差異,且目前的APT攻擊隱蔽性較強(qiáng),攻擊的周期跨度較大,導(dǎo)致沙箱類檢測(cè)技術(shù)無法有效識(shí)別這類攻擊,因此基于特征檢測(cè)和行為檢測(cè)的傳統(tǒng)檢測(cè)手段已經(jīng)越來越難以應(yīng)對(duì)新型的攻擊手法及零日漏洞的攻擊事件。

3、新一代威脅檢測(cè)技術(shù)

近年來,隨著人工智能技術(shù)的發(fā)展,攻擊方在掃描、利用、破壞等攻擊工具中對(duì)人工智能技術(shù)的應(yīng)用,進(jìn)一步加劇了對(duì)目標(biāo)系統(tǒng)的破壞程度 、縮短了攻擊進(jìn)程、隱藏了攻擊特征,對(duì)新技術(shù)背景下的安全威脅檢測(cè)手段提出了更大挑戰(zhàn)。

基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的網(wǎng)絡(luò)威脅檢測(cè)技術(shù)能夠識(shí)別變種威脅和未知威脅,彌補(bǔ)了傳統(tǒng)特征檢測(cè)和行為檢測(cè)僅能發(fā)現(xiàn)已知攻擊的不足,但隨著攻擊方攻擊技術(shù)的不斷提升,意圖躲避新型威脅檢測(cè)技術(shù)的攻防對(duì)抗,對(duì)新一代威脅檢測(cè)技術(shù)提出了更高要求。

零日漏洞與零日漏洞利用

零日漏洞也可以稱為零時(shí)差漏洞,通常是指還沒有補(bǔ)丁的安全漏洞,零日漏洞利用則是指利用零日漏洞對(duì)系統(tǒng)或軟件應(yīng)用發(fā)動(dòng)的網(wǎng)絡(luò)攻擊。由于零日漏洞的嚴(yán)重級(jí)別通常較高,所以零日攻擊往往也具有很大的破壞性。

1、零日漏洞的生命周期

零日漏洞從產(chǎn)生到消亡的整個(gè)生命周期均存在被攻擊者利用的可能性:

① 產(chǎn)生漏洞:零日漏洞的產(chǎn)生的條件則是軟件開發(fā)人員在不知情的開發(fā)出了漏洞,安全測(cè)試人員在測(cè)試環(huán)境下未發(fā)現(xiàn)漏洞,業(yè)務(wù)人員在未發(fā)現(xiàn)漏洞的情況下上線了漏洞。

② 攻擊者發(fā)現(xiàn)漏洞:攻擊者通過技術(shù)攻擊手段對(duì)攻擊目標(biāo)系統(tǒng)進(jìn)行深入的分析挖掘,發(fā)現(xiàn)其存在的漏洞,從而找到繞過現(xiàn)有安全機(jī)制的一種技術(shù)手段。

③ 攻擊者利用零日漏洞:攻擊者利用零日漏洞通常具有特定的目標(biāo),其一旦對(duì)目標(biāo)實(shí)施攻擊將會(huì)產(chǎn)生"一擊致命"的效果。

④ 原廠發(fā)現(xiàn)漏洞:原廠在系統(tǒng)更新迭代或測(cè)試的過程中發(fā)現(xiàn)該漏洞。

⑤ 公開披露漏洞:原廠公開披露此漏洞,使互聯(lián)網(wǎng)用戶廣泛意識(shí)到此漏洞。

2、多樣化的零日漏洞

① 文檔漏洞利用:隨著漏洞挖掘及利用技術(shù)越來越公開化,導(dǎo)致越來越多的黑客更加傾向于利用常見辦公軟件的文檔漏洞進(jìn)行惡意攻擊,特別是在一些APT(Advanced Persistent Threat)攻擊中,更是體現(xiàn)得淋漓盡致。針對(duì)特定目標(biāo)投遞含有惡意代碼的文檔,安全意識(shí)薄弱的用戶只要打開文檔就會(huì)中招。。

② 軟件漏洞利用:軟件存在的錯(cuò)誤配置或引用第三方開源程序組件,由于業(yè)務(wù)本身需要對(duì)外提供網(wǎng)絡(luò)訪問行為,攻擊者同樣可以利用軟件程序漏洞實(shí)現(xiàn)漏洞利用攻擊。

③ 系統(tǒng)漏洞利用,系統(tǒng)漏洞也是當(dāng)前比較頻發(fā)的一種漏洞,往往系統(tǒng)漏洞的危害程度更高。

④ 硬件漏洞利用,在網(wǎng)絡(luò)設(shè)備、安全設(shè)備等硬件形式的設(shè)備中,雖然在漏洞挖掘上難度系數(shù)較高,但依舊無法確保沒有零日漏洞。

3、零日漏洞利用過程

零日漏洞利用過程一般具備隱蔽性好、攻擊效果好、被檢測(cè)難度大等特點(diǎn)。攻擊者利用零日漏洞攻擊目標(biāo)的過程一般包括:

挖掘漏洞:攻擊者挖掘目標(biāo)中存在的漏洞;

識(shí)別漏洞:攻擊者發(fā)現(xiàn)漏洞,并編寫惡意代碼,與零日漏洞整合,驗(yàn)證可行性;

收集信息:攻擊者盡可能多的收集目標(biāo)信息,為其攻擊提供信息數(shù)據(jù)支撐;

執(zhí)行滲透:攻擊者利用攻擊武器對(duì)目標(biāo)發(fā)起攻擊,潛入其內(nèi)部網(wǎng)絡(luò);

遠(yuǎn)程控制:攻擊者獲取內(nèi)部重要主機(jī)的控制權(quán)限,并在內(nèi)部橫向移動(dòng);

長期潛伏:攻擊者在控制的主機(jī)中植入隱蔽后門,監(jiān)聽信息,盜取數(shù)據(jù)。

破局零日漏洞,基于

或許,推動(dòng)網(wǎng)絡(luò)技術(shù)進(jìn)步的原因是多種多樣的,但當(dāng)零日攻擊猶如一個(gè)強(qiáng)大的“敵人”一步步逼近之時(shí),網(wǎng)絡(luò)安全廠商要敢于“亮劍”。

華云安是國內(nèi)首家推出基于AI的漏洞利用評(píng)估模型(VEAM)進(jìn)行有效的零日漏洞檢測(cè)發(fā)現(xiàn)的網(wǎng)絡(luò)安全廠商。由華云安打造的靈源·威脅捕獵與溯源分析系統(tǒng)從攻擊鏈的視角重現(xiàn)整個(gè)攻擊過程,并進(jìn)行可視化展示,幫助用戶了解這些威脅事件的來龍去脈。對(duì)用戶本地流量進(jìn)行深度分析,同時(shí)結(jié)合云端的威脅情報(bào)、本地的規(guī)則引擎、多種靜態(tài)檢測(cè)引擎、機(jī)器學(xué)習(xí)引擎和動(dòng)態(tài)行為檢測(cè)從多個(gè)維度來發(fā)現(xiàn)已知和未知威脅事件。

通過網(wǎng)絡(luò)入侵攻擊檢測(cè)、用戶實(shí)體行為檢測(cè)、流量人工智能檢測(cè)、文件病毒木馬檢測(cè)、文件基因圖譜檢測(cè)、文件沙箱行為檢測(cè)、情報(bào)黑白名單檢測(cè)、關(guān)聯(lián)分析&威脅畫像、元數(shù)據(jù)回溯分析取證等技術(shù)構(gòu)建攻擊鏈關(guān)聯(lián)檢測(cè)交叉驗(yàn)證體系,以實(shí)現(xiàn)對(duì)掃描探測(cè)、網(wǎng)絡(luò)釣魚、漏洞利用、木馬下載、遠(yuǎn)程控制、橫向滲透、行動(dòng)收割等攻擊階段的檢測(cè)全覆蓋,如圖所示:

靈源·威脅捕獵與溯源分析系統(tǒng)的漏洞利用評(píng)估模型(VEAM)是通過構(gòu)建完整的漏洞利用分析模型,使用基于行為的分析模式,將攻擊者上下文信息映射至漏洞利用分析模型中,進(jìn)行匹配計(jì)算量化指標(biāo),并對(duì)未知漏洞行為進(jìn)行推演預(yù)測(cè)。

系統(tǒng)基于漏洞利用評(píng)估模型(VEAM),能夠?qū)崿F(xiàn)對(duì)未知攻擊的“置信度”進(jìn)行評(píng)估,將基于攻擊鏈七大階段的各項(xiàng)威脅行為進(jìn)行評(píng)分,輸出具體量化指標(biāo),并將所有評(píng)估過程以“快照”形式提交至安全分析師,通過人工分析實(shí)現(xiàn)零日漏洞的檢出。

靈源·威脅捕獵與溯源分析系統(tǒng)將人工智能、大數(shù)據(jù)與安全技術(shù)相結(jié)合、將華云安多年攻防對(duì)抗經(jīng)驗(yàn)進(jìn)行落地,通過多重檢測(cè)引擎、漏洞利用評(píng)估模型(VEAM)和全流量數(shù)據(jù)采集技術(shù),為企業(yè)提供全流量的威脅檢測(cè)與溯源取證。

關(guān)鍵詞: 零日 攻擊 VEAM

相關(guān)閱讀