基于私有云安全平臺的網絡安全部署研究與實施
來源:信息網絡安全雜志 更新時間:2014-03-31


文章詳細介紹了云技術的背景以及現狀,闡明了私有云安全平臺建立的意義及必要性,給出了私有云安全的完整定義,分析了私有云安全的特點,在此基礎上列舉了三種典型的私有云安全平臺的部署方案。
  1、云技術的背景以及現狀

  我國的反病毒技術起源自20 世紀90 年代,以各種基于特征碼的惡意代碼檢測方法和基于文件數據、程序行為的啟發式檢測為主。隨著云計算技術的發展,各個廠商陸續提出了自己的云安全技術理念及相應的產品。但這些產品多數的本質并沒有脫離特征檢測這一方法,只是特征的提取與匹配計算方式有所變化。

  首先是病毒特征碼從客戶端采集向云端采集的遷移。為了解決文件數據不斷膨脹,惡意代碼不斷增加給用戶帶來的內存、硬盤、IO 等負擔,云安全技術首先利用云計算實現了特征存儲在云端,用戶需要檢測的時候在本地提取特征送往云端檢測,進一步在云端取得相關的處置方法。應用此類技術的軟件可以被稱作云安全軟件。

  其次云安全引入了更加豐富的樣本采集手段。從傳統的用戶上報、廠商主動獲取(下載站點、爬蟲、光盤采購等),轉向了由所有用戶共同組成的一個網絡在這個網絡的基礎上進行采集,而采集的樣本變得異常豐富:

  1)可以通過數字簽名進行可信文件和非可信文件采集。對于授信證書簽署的文件可以對其進行采集,配合后端分析減少惡意代碼特征的誤報。

  2)可以通過文件的分布信息進行基于分布的流行文件采集,對發現流行惡意代碼、傳播迅速的惡意代碼可以更快地發現。

  3)可以通過文件的來源可信程度進行采集,對于易被感染的計算機終端(或傳播惡意代碼的站點),新發現的文件可疑程度也就更高,及時的采集則可以更快地發現惡意程序。

  4)通過API監控技術和沙箱技術進行特定行為觸發的采集。此方式對于賬號信息盜取,敏感信息竊取的木馬類采集異常有效。而云技術則可以對敏感位置和敏感數據提供時時更新。

  再者云安全技術引入了新的惡意代碼分析方式。惡意程序可以基于文件的分布廣度、文件的數字簽名、文件在計算機終端的實際行為進行分析檢測。云將這種檢測由原來的后置分析變成了在用戶現場進行的實際環境的采集和記錄,對于云端來說需要的是對這些采集獲取的數據進行更多的計算和分析,來判別文件的黑白。而無論是采取虛擬機、沙箱、API監控還是網絡數據抓取等任意技術為云安全提供數據的終端設備,都可以被稱作是云安全設備。

  最后云安全設備提供了按需采集數據的能力,這些數據構成了分析提取惡意代碼特征的基礎。云安全軟件提供了按特征進行惡意代碼檢測和處置的能力。云安全設備和云安全軟件為廠商提供了用戶需求,廠商可以為用戶提供定制的安全服務,而廠商需要采集哪些惡意程序樣本并安裝客戶端需經用戶允許才可進行。這兩種按需提供的安全服務構成了現有的云安全技術體系。但這個圍繞著發現惡意代碼建立的安全體系在面對新安全威脅時存在著明顯的弱點。

  2、私有云安全平臺建立的意義

  隨著企業管理信息化、政府政務信息化等各行業信息化全面的發展,對于企業、政府機關、組織機構和特定的封閉環境對安全都有新的要求。要滿足在封閉環境可用又有廣泛的適用性,就必須改變基于惡意代碼特征檢測的安全防御方式,改變安全廠商完全封閉且用戶幾乎不可定義的安全防御模型。

  隨著“等級保護 ”、“分級保護 ”、“企業內控 ”等相關法規與政策的相繼頒布, 特別是與國計民生息息相關的大型國有企業與各級政府機關, 對于實施知識產權和涉密信息保護的需求十分迫切。打破傳統網絡運維和安全防護的界限, 構建自主可控的智能信息終端安全運維體系, 實施業務網絡完整的“發現、評估、處置、審計”威脅監控流程, 是新形勢下確保關鍵信息系統安全穩定運營的重要前提。以完整的“監測、發現、清除、恢復、審計”威脅監控流程為基礎,綜合利用云安全設備與云安全軟件的高度開放平臺即私有云安全平臺來應對未來安全的威脅是必要的。

  3、私有云安全的定義

  私有云安全平臺是為應對以APT 為代表的下一代安全威脅而研發的,綜合利用云安全軟件與云安全設備,結合完整的威脅“發現、評估、處置、審計”流程,同時提供用戶對流程按需參與的下一代安全服務技術。該技術通過云安全軟件的監控能力來發現潛在安全威脅、依靠定制用戶可參與的多級分析鑒定系統對威脅進行評估、提供用戶完全可控的安全策略處置方案、并且保證上述的所有操作都可以通過審計來事后追查。

  4、私有云安全的特點

  私有云安全平臺具有以下特點:

  1)能提供不依賴黑名單的威脅防御能力,以企業內部基本穩定的軟件生態系統為基礎形成可分級的自定義的安全基線。利用安全基線,可以將原來單一依靠黑名單防護的“泛安全邏輯”轉換為“精確安全邏輯”。

  2)改進的云安全軟件監控,實時發現網內新產生的程序、軟件或數據。

  3)多級多維文件分析鑒定系統,綜合多種靜態、動態文件鑒定系統提供對文件辨別是否安全可信的綜合依據。

  4)實時的威脅風險評估,通過各種云安全設備(客戶端終端軟件、基于云安全技術的網絡檢測設備、移動檢測設備等),對網內威脅風險進行實時的變化反饋。

  5)多級安全防御、威脅處置策略,根據威脅評估的結果和用戶對資產價值的評估結果,將安全防御與威脅處置策略的制定權力與建議方案提供給用戶。減少用戶對非核心價值資產的關注所導致人力物力投入的分散與浪費。處理流程如圖1 所示。多級防御示意圖

  6)多層次無庫惡意代碼檢測,從本地特征庫到內網云特征庫,再到上級特征庫和公網特征庫,多個層次特征庫可以實現對難以處置的惡意程序和新發現惡意程序的第一時間感知,進一步降低威脅發現的延遲。

  7)威脅來源、分布的追溯能力,依靠對全網文件的追溯能力,在發現(潛在)威脅的第一時間對其來源進行追溯,對其分布影響以及可能引發的后果進行評估。為管理員進行安全應急響應決策制定提供有力的支持。

  8)綜合審計能力,對所有的操作提供全面的審計支持,為由于人為導致的安全事故提供后續封堵和追責的參考。

  9)高度開放的用戶自定義接口,所有潛在威脅發現、文件與數據的鑒定、安全策略的制定與實施、審計內容的定義都是用戶可通過開放接口進行參與的,以適應不同場景用戶個性化的需求。

  5、私有云安全平臺的組成

  與所有云安全技術類似,私有云安全平臺也由終端和云端兩部分構成。

  5.1終端可以分為兩種角色

  1)負責數據采集的云安全設備。

  主要采用API 監控結合沙箱技術提供多文件、程序行為、關聯數據的采集能力。例如:Windows 終端上通過API Hook技術對瀏覽器進行監控可以采集用戶下載的新可執行文件、以及利用漏洞運行的惡意代碼、用戶訪問過的URL 等信息,通過關聯分析就可以發現利用未知漏洞運行程序,為后續制定防御策略和追溯威脅來源提供數據支持。

  又如:云防火墻設備可以從根據非法IP 對指定設備的特定端口進行訪問到被潛在威脅攻陷的計算機的IP、MAC 等信息的采集,這些信息與之前在該計算機上采集到的程序網絡訪問行為結合則可以直接定位到潛在威脅程序,為進行應急響應、安全處置提供精準的參考。

  2)負責安全防御與威脅處置的云安全軟件。

  主要利用云查殺技術和API 監控等傳統監控能力與云結合實現多層級多緯度的安全策略。例如,在云安全設備中的防火墻可,在管理員發現威脅后,通過私有云安全平臺將該潛在威脅直接標為不可信,并進行阻斷處置,同時禁止該程序在任何計算機上運行來達到防御的目的。這些防御和處置手段都是通過云安全軟件來實現的。

  在實際使用的過程中,經常會有同一個終端充當多個角色的情況。例如:部署在用戶計算機的客戶端軟件可以提供云安全軟件的安全防御能力、威脅處置能力同時又可以充當云安全設備對用戶機器上新發現的程序進行采集、上報;部署在網關處的防火墻設備則可以采集網絡流量信息(充當云安全設備)、根據私有云安全平臺的策略對潛在威脅的數據連接和數據包進行阻斷(充當云安全軟件)。

  5.2 云端分類

  1)惡意代碼查殺云(也可稱為可信軟件查詢云、文件信譽云),負責為云安全軟件和下級惡意代碼查殺云提供惡意代碼和可信軟件程序的按需查詢服務。

  2)安全基線云,負責為不同計算機提供不同的安全基線,位于基線內的文件對于指定的計算機來說是可信的,不在基線內則可以視為威脅。

  3)程序、數據鑒定云,負責對云安全設備采集到的文件實體、數據進行分析鑒定并給出分析報告或鑒定結果。

  4)文件追溯云。提供對全網可執行文件和關鍵文件的追溯能力,利用云安全設備充當探頭,完成對全網文件狀態的全面追溯。

  5)安全管理云,負責接收、管理用戶處采集到的文件、數據;負責管理惡意代碼查殺云的特征數據;負責管理安全基線;負責管理終端云安全設備的采集策略;負責管理云安全軟件的防御和處置策略;負責提供安全管理、應急響應建議。

  6)安全審計云,負責對上述各種云在運行中產生的關鍵行為和結果的記錄和審計,并提供審計報表。

  除上述的云安全服務以外,還可以提供“URL 可信查詢云”、“系統文件修復云”等其他云安全服務。只要某種云安全服務符合安全管理云的API 接口,就可以被安全管理云管理。同時用戶也可以通過安全審計云提供的API 接口對審計數據進行獲取。通常上述的多種云服務都通過云計算服務來實現。

  6、私有云安全平臺的部署實施

  由于私有云安全平臺自身的高度可定制性,其部署方案也是多種多樣的,下面列舉三種典型的部署方案。也通過這三種方案來看一下私有云安全平臺是否可行。APT攻擊示意圖

  1)惡意代碼查殺方案。對于此類方案其主要目標是用下一代威脅防御產品對既有產品進行替代。如果對新的安全防御能力沒有要求則可以通過簡單的部署私有云安全平臺客戶端軟件、惡意代碼查殺云、安全管理云的方式實現與傳統云安全反病毒軟件相同的防御能力。甚至在非封閉的網絡環境,就可以直接使用公有云的云查殺能力例如最簡單的針對小型企業的安全解決方案是直接使用公有安全管理云和公有惡意代碼查殺云,這樣可以將部署的成本降到最低。

  2)封閉環境鎖定方案。對于封閉網絡環境來說,由于隔絕于外部,所以在一定時間內其內部的文件數量級別保持恒定,通常采取建立安全基線的部署方式,部署的功能組件也會比較完整。同時除了上述的常規部署方案外,針對一些全封閉的特殊環境,可以采取嚴格的基線策略,除基線外的所有程序都禁止執行,也就是說將終端設置為鎖定狀態,僅允許運行安全基線內的程序。當發生違規操作時(即有一個未知或不允許運行的程序運行),則可能發生入侵或攻擊行為,管理人員則可以根據情況依據安全管理云提供的建議進行應急響應。

  3)未知威脅防御方案。一種典型的未知威脅防御方案是針對APT的防御方案。APT的持續性決定了,必然存在持續的未知威脅才能保障達到攻擊目的。首先攻擊者通過種種手段突破防御的邊界進從入系統內部,然后在系統內部低資產價值機器之間駐留、傳播以尋找到達高資產價值的攻擊目標的機會,最終到達目標后實施攻擊。而整個過程必須由一個或多個程序來完成,其特點是在特定的時間內無法被傳統的反病毒軟件檢測到(要達成這個目的必須做到“免殺”或者偽裝成可信程序)。概括為三個階段:1)邊界突破;2)介質潛伏;3)目標破壞。

四級安全模型示意圖

  針對APT防御在完整部署私有云安全平臺后,可以依據以下的多級防御模型進行實施。該模型將終端劃分為多個安全級別,每個安全級別的風險根據不同的數據進行評估,下面以私有云安全平臺某版本內置的四級安全模型為例。該模型將終端分為:開放終端、審計終端、重要終端、核心終端。開放終端僅處理惡意軟件;威脅評估依據是惡意軟件的存在數量和系統、軟件漏洞數量;審計終端則有相關的安全基線策略(但不嚴格,僅記錄不在基線的程序不阻止),除開放終端的評估依據外增加違反安全策略的違規操作;重要終端則對不在基線內的程序運行時給予提示,詢問用戶是否允許,如果允許則記錄違規操作,增加風險值;最后是核心終端,是不允許運行和存在基線外的任何文件,如果存在則也會增加風險,如圖3 所示。將四類終端各一個的風險值記為R0、R1、R2、R3。一個APT 由兩個未知程序程序構成,記為A 和B。A 和B 均有傳播和駐留的功能,任何一個駐留成功后均會將另一個寫入被攻陷的終端。

  1)APT 攻擊模擬

  (1)B 突破開放終端邊界,通過漏洞將A上傳到審計終端,并添加A 為啟動項,風險值不變。重啟后A 執行,A 生成B,由B 負責繼續傳播。

  (2)B 突破審計終端邊界,通過漏洞將A上傳到審計終端,并添加A 為啟動項(違規操作, 風險值上升)。重啟后A 執行,A 生成B,由B 負責繼續傳播。

  (3)B 突破重要終端邊界,通過漏洞將A上傳到重要終端,并添加A 為啟動項(違規操作, 風險值上升)。重啟后系統詢問是否允許執行A :

  (4) 若允許A 執行,則未知程序執行,風險值上升。A生成B,由B 負責繼續傳播。

  (5)若不允許A 執行,則攻擊成功被阻攔,不會影響到核心終端。

  (6)B 突破核心終端邊界,通過漏洞將A上傳到重要終端,并添加A為啟動項( 違規操作, 風險值上升)。快速掃描發現A,即存在灰文件,風險值上升。由于核心終端不允許灰文件執行,所以重啟后A 無法執行被阻止。

  (7)管理員發現未知文件A 試圖在核心終端執行后,臨時將A 設置為黑文件。

  2)此時外部攻擊仍在持續。

  (1)B 突破開放終端邊界,通過漏洞將A上傳到審計終端,并添加A為啟動項,風險值不變。重啟后A被監控發現并阻止執行。

  (2)同時在重要終端上發現存在黑文件A 和未知文件B,終端風險上升。管理由發現除A 外仍然存在B 導致重要終端處于高風險狀態,將B 設置為黑文件。至此此次APT 被成功阻斷。

  7、結束語

  本文詳細敘述了云技術的背景以及現狀,闡明了私有云安全平臺建立的意義及必要性,給出了私有云安全的完整定義,分析了私有云安全的特點,私有云安全平臺由終端和云端組成,在此基礎上列舉了三種典型的私有云安全平臺的部署方案。



铁牛视频app下载苹果-铁牛视频app下载地址-铁牛视频app破解版ios