华云安ASM技术篇:支持零攻击的检测模型,VEAM
根据《麻省理工科技评审》零日漏洞追踪项目统计,2021年至少发现66个使用中的零日漏洞,数量约为2020年的两倍。不断增长、难以防范的零日漏洞已成为企业网络信息安全面临的最严重威胁之一。
Gartner如报告所述,ldquo;安全的一切都在变化rdquo;威胁的环境也发生了变化。网络攻击正从个人行为向有组织、有国家背景的方向发展,他们的目的性强,动机清晰,往往具有明确的商业、经济利益或政治要求。攻击手段由传统的随机病毒、木马感染、工具投递等方式演化为社会工程学、零日脆弱性、高级逃生技术(AET)等组合方式,经常发起有针对性的网络攻击,具有高级化、组合化、长期化等特点我们称之为新一代网络安全威胁。事实上,对于以零攻击为代表的新一代威胁,传统的基于特征/签名检测的统一威胁管理系统、入侵检测/防御系统、防病毒系统等安全产品未能充分保护用户。
传统安全检测手段故障及新技术预见
1、基于签名的检测技术
国内威胁检测的发展,可以追溯到2000年初,那时,国内网络安全厂商纷纷推出入侵检测产品。这类产品采用基于规则签名识别非法流量的方式,目前仍有很多安全产品原封不动地使用这种方式,这种方式在发现常见攻击方面具有良好的效果,在互联网发展初期发挥了重要作用。
传统的杀毒和威胁检测系统使用签名验证机制主要对已知漏洞或恶意软件进行指纹认证。然而,对于利用0day的高度威胁恶意样本,网络安全研究人员无法及时获取和分发变种后的恶意软件签名。
2、砂箱检测技术
互联网的快速发展使攻防两端的对抗更加激烈,基于签名的检测技术在应对未知威胁、高级威胁方面已经力不从心,攻击者只需简单修改攻击代码或多次尝试就可以绕过入侵检测装置。为了应对这些威胁,沙盒检测产品开始上市。
沙盒检测技术可以通过分析行为来弥补基于签名识别的不足。沙箱检测技术通过配置多个执行环境,在虚拟环境中执行攻击业务,通过分析代码执行中的行动识别威胁。使用这种方法,我们可以发现未知的威胁、高度的威胁,目前大部分APT检测设备都采用这种方法。但沙箱环境与实际执行环境通常存在差异,目前APT攻击隐蔽性强,攻击周期幅度大,沙箱类检测技术无法有效识别这种攻击基于特征检测和行为检测的传统检测手段越来越难以应对新型的攻击手法和零日脆弱性的攻击事件。
3、新一代威胁检测技术
近年来,随着人工智能技术的发展,攻击方在扫描、利用、破坏等攻击工具中进行了人工智能技术的应用,进一步加剧了对目标系统的破坏程度,缩短了攻击进程,隐藏了攻击特征,对新技术背景下的安全威胁检测手段提出了更大的挑战。
基于机器学习和深度学习的网络威胁检测技术能够识别变种威胁和未知威胁,弥补了传统的特征检测和行为检测只能发现已知攻击的不足,但随着攻击侧攻击技术的提高,意在避免新型威胁检测技术的攻防对新一代威胁检测技术提出了更高的要求。
利用零日漏洞和零日漏洞
零时漏洞又称时差零漏洞,通常是指还没有补丁的安全漏洞,零时漏洞是指利用零时漏洞对系统或软件应用的网络攻击。零度脆弱性的严重程度通常很高,因此零度攻击也往往具有很大的破坏性。
1、零日脆弱性生命周期
零数据漏洞可能在从发生到消失的整个生命周期中被攻击者利用。
①漏洞的产生:零日漏洞产生的条件是软件开发人员在不知情的情况下开发漏洞,安全测试人员在测试环境中没有发现漏洞,业务人员在没有发现漏洞的情况下将漏洞在线。
②攻击者发现漏洞:攻击者通过技术攻击手段深入分析攻击对象系统,发现其存在的漏洞,从而发现规避现有安全机制的一种技术手段。
③攻击者利用零脆弱性:攻击者利用零脆弱性通常有特定目标,它对目标实施攻击会带来“一击致命”的效果。
④原厂发现漏洞:原厂在系统更新重复或测试过程中发现了该漏洞。
⑤公开脆弱性:原厂公开了这一脆弱性,让互联网用户广泛意识到了这一脆弱性。
2、多样化的零数据漏洞
①利用文档漏洞:随着漏洞挖掘和利用技术的日益公开,许多黑客倾向于利用常见办公软件文档的漏洞进行恶意攻击,尤其是在一些APT(Advanced Persistent Threat)攻击中更完全地再现了。向特定目标分发包含恶意代码的文档时,安全意识较弱的用户只需打开文档即可命中。
②软件漏洞利用:引用软件中存在的错误配置或第三方开源程序组件,业务本身需要向外部提供网络接入行为攻击者同样可以利用软件程序漏洞来实现漏洞利用攻击。
③系统脆弱性的利用、系统脆弱性也是目前比较频发的脆弱性,往往系统脆弱性的危害程度更高。
④硬件漏洞利用、网络设备、安全设备等硬件形式的设备在漏洞挖掘上的难度系数较高,但不能确保没有零日漏洞。
3、零日漏洞利用流程
零阶脆弱性利用过程一般具备隐蔽性好、攻击效果好、被检查难度大等特点。攻击者利用零度漏洞攻击目标的过程通常包括:。
挖洞:攻击者挖出目标中存在的洞
漏洞识别:攻击者发现漏洞,编写恶意代码,与零日漏洞集成,验证可行性
信息收集:攻击者收集尽可能多的目标信息,为其攻击提供信息数据支持
实行渗透:攻击者利用攻击武器对目标发起攻击,潜入其内部网络
远程控制:攻击者获得内部重要主机的控制权限,在内部横向移动
长期潜伏:攻击者在控制的主机中嵌入隐藏的后门,监听信息,窃取数据。
基于AI的零日漏洞利用评估模型
推动网络技术进步的理由可能多种多样,但如果零攻击像一个强大的ldquo,敌人rdquo;当一步一步走近的时候,网络安全厂商敢于ldquo;亮剑rdquo;。
华云安是国内首家发布基于AI的漏洞评估模型(VEAM)有效零日漏洞检测的网络安全厂商。由华云安打造的灵源middot、威胁狩猎与追踪分析系统将从攻击链的视角再现整个攻击过程,并进行可视化展示,帮助用户了解这些威胁事件的来龙去脉。在深入分析用户本地流量的同时,结合云威胁信息、本地规则引擎、多种静态检测引擎、机器学习引擎、动态行为检测,从多个维度发现已知和未知的威胁事件。
网络入侵攻击检测、用户实体行为检测、流量人工智能检测、文件病毒特洛伊木马检测、文件基因图谱检测、文件沙箱行为检测、信息黑白列表检测、相关分析amp、威胁图像、元数据追溯分析取证等技术,包括扫描探测、为完全覆盖网络钓鱼、利用漏洞、特洛伊木马下载、遥控、横向渗透、行动收获等攻击阶段检测,建立了攻击链相关检测交叉验证系统,如图所示:
灵源middot威胁狩猎与跟踪分析系统脆弱性利用评价模型(VEAM)建立了完整的脆弱性利用分析模型,采用基于行为的分析模型,将攻击者上下文信息映射到脆弱性利用分析模型,进行匹配计算量化指标,估计未知脆弱性行为。
系统基于脆弱性评估模型(VEAM),可以实现对未知攻击的ldquo。可靠度rdquo;进行评估,根据攻击链7个阶段的各项威胁行为进行评估,输出具体量化指标,所有评估过程均为ldquo。快照rdquo;形式提交安全分析师,通过人工分析实现零日漏洞检测。
灵源的middot威胁狩猎与跟踪分析系统将人工智能、大数据和安全技术相结合,将华云安多年的攻防对抗经验落地,通过多重检测引擎、脆弱性利用评估模型(VEAM)和全流量数据采集技术,为企业提供全流量的威胁检测与跟踪证据。