终端安全风险
黑客可以利用僵尸网络展开更多的危害行为,如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的,造成严重危害。
僵尸网络主要危害有:
- 未知风险
- 高级持续威胁
- 本地渗透扩散
- 敏感信息窃取
- 脆弱信息收集
终端上网安全可视可控技术
基于七层应用的深度数据包检测可实现终端安全可控。AF中实现了可视化的应用管控与全面的应用安全。可视化应用管控中包含应用识别与流量管控两大模块。
应用控制策略
应用控制策略可对应用/服务的访问做双向控制,AF存在一条默认拒绝所有应用/服务的控制策略。
- 基于应用的控制策略:通过匹配数据包特征来进行过滤动作,需要一定数量的包通行后才能判断应用类型,然后进行拦截动作的判断。
- 基于服务的控制策略:通过匹配数据包的五元组(源/目的IP地址+源/目的端口号+协议类型)来进行过滤动作,对任何包可以立即进行拦截动作判断。
Web过滤
Web过滤指针对符合设定条件的访问网页数据进行过滤,包括URL过滤与文件过滤,同时可以针对HTTPS URL进行过滤。
网关杀毒技术
计算机病毒
特性
- 隐蔽性
- 破坏性
- 潜伏性
- 不可预见性
- 繁殖性
- 传染性
工作步骤
网关杀毒实现方式
代理扫描方式
将所有经过网关的需要进行病毒检测的数据报文透明地转交给网关自身的协议栈,通过网关自身的协议栈将文件全部缓存下来后,再送入病毒检测引擎进行病毒检测。
流扫描方式
依赖于状态检测技术以及协议解析技术,简单地提取文件的特征与本地签名库进行匹配。由于流扫描方式只针对部分数据进行扫描,故查准率低于代理扫描方式,属于轻量级检测技术。
AF网关杀毒实现方式
该杀毒体系具有以下特点:
- 防火墙AF提供捕获文件能力和拦截处置能力。
- SAVE提供本地无规则的检测能力。
- 云脑提供安全能力的更新和云端威胁情报查杀的能力。
- 具备威胁情报、本地引擎SAVE查杀、云沙箱能力。
网关杀毒配置思路
- 新建模块
- 选择杀毒协议
- 选择文件类型
- 新增安全策略
僵尸网络检测与防御技术
僵尸网络
僵尸网络(Botnet)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器组织成一个个控制节点用来发送伪造包或垃圾数据包,使预定攻击目标瘫痪并拒绝服务。通常蠕虫病毒也可以被用来组成僵尸网络。
僵尸网络感染过程
- 僵尸主控传播木马到网络中的感染终端。
- 主机受到感染,连接C&C服务器,获取指令。
- C&C服务器下发指令给受感染主机,扫描网络并感染更多主机。
- 更多主机被感染并组成僵尸网络,连接C&C服务器并获取操作指令。
异常流量检测
通过对当前的网络层及应用层行为与安全模型进行偏离度分析,能够发现隐藏的网络异常行为,并根据行为特征确定攻击类型,发现特征匹配无法发现的攻击。
外发流量异常功能是一种启发式的DOS攻击检测手段,能够检测源IP不变的SYN Flood、UDP Flood等泛洪攻击。该功能原理为:当特定协议的外发包pps超过配置的阈值时,基于5分钟左右的抓包样本检测数据包是否为单向流量、是否有正常响应内容,得出分析结论并将发现的攻击提交日志显示。
误判排除
AF僵尸网络防护排除
AF僵尸网络防护排除方式具有以下三种:
- 在僵尸网络功能模块下排除指定IP。
- 若误判由拦截规则引起,则可在【安全防护对象】-【僵尸网络规则库】找到并禁用指定规则。
- 可以在内置数据中心中,查询僵尸网络日志后使用【添加例外】排除。
DNS场景误判排除
通过蜜罐技术解决内网存在DNS服务器时,用于定位内网感染僵尸网络主机的真实IP地址。防止配置过程中忽略蜜罐设置,导致后续无法溯源的问题,策略配置界面新增DNS服务器服务界面。
杀毒通知推送
AF检测到的风险主机可以推送杀毒通知。重定向页面支持自定义,同时支持下载病毒查杀软件。
注意:杀毒通知推送设定的时间内,风险主机下载工具并查杀后也无法直接上网,需要等待指定时间,或管理员取消推送才可正常访问网站。重定向页面只对HTTP生效,HTTPS及NAT场景均不生效。
勒索病毒防护
需求背景
勒索病毒是一种新型电脑病毒,主机感染勒索病毒文件后,会自动运行勒索程序,遍历本地所有磁盘指定类型文件进行加密操作,加密后文件无法读取。随后生成勒索通知,要求受害者支付虚拟货币作为赎金。主要包含两种场景:
- 服务器文件被加密
- 内网主机成片出现蓝屏现象,蓝屏代码提示
srv.sys驱动出现问题
防护措施
- 事前加固:勒索病毒风险评估,精准评估勒索病毒进入点风险,配置勒索病毒专项策略,全面防护勒索风险。
- 事中积极防御:通过配置的勒索病毒专项策略,全面防护勒索风险。
- 事后快速响应与处置:隔离识别已失陷的主机,采用专项工具进行杀毒。
