華為AI防火墻有效保證內(nèi)網(wǎng)服務(wù)器和用戶免受威脅的侵害

前面文章對(duì)勒索軟件進(jìn)行了分析，并介紹了常見(jiàn)的勒索攻擊模式以及攻擊的過(guò)程。從攻擊的過(guò)程看，起點(diǎn)都是從入侵開(kāi)始，那么這一期我們就重點(diǎn)看下常見(jiàn)的入侵方式以及防御方法。

入侵防御是企業(yè)防護(hù)的第一道防線，盡可能的攔截更多的潛在威脅，為后端減輕壓力。

入侵方式

入侵前需要經(jīng)過(guò)偵察找到目標(biāo)，然后經(jīng)過(guò)各種攻擊方法和技術(shù)進(jìn)行滲透，從而達(dá)到控制目標(biāo)系統(tǒng)，投放勒索軟件的目的，這些方法和技術(shù)包括但不限于釣魚(yú)郵件、網(wǎng)頁(yè)掛馬、暴力破解、漏洞滲透、社工等等。

偵察偵察為所有攻擊的最開(kāi)始部分，就是想盡一切辦法和技術(shù)獲取攻擊目標(biāo)的信息，包括信息資產(chǎn)、組織結(jié)構(gòu)、技術(shù)架構(gòu)等，目的是搜集到足夠的信息用于下一步的入侵動(dòng)作。常見(jiàn)的偵察技術(shù)包括利用互聯(lián)網(wǎng)信息、調(diào)查研究、通過(guò)主動(dòng)掃描等；這里舉幾個(gè)常見(jiàn)的方式，比如：

利用互聯(lián)網(wǎng)信息：通過(guò)對(duì)目標(biāo)組織的域名進(jìn)行Whois信息查詢，獲取IP地址等信息資產(chǎn)；通過(guò)對(duì)網(wǎng)站的網(wǎng)頁(yè)代碼進(jìn)行分析，包括采用的技術(shù)，甚至在HTML源碼注釋中發(fā)現(xiàn)更有價(jià)值的信息；通過(guò)社交媒體等獲取目標(biāo)公司信息；通過(guò)搜索引擎獲取公開(kāi)的信息，并把這些所有信息片段組合成有價(jià)值的信息，為下一步動(dòng)作做準(zhǔn)備。

通過(guò)主動(dòng)掃描：知道了目標(biāo)組織的主機(jī)等暴露面信息，有太多公開(kāi)的方法和工具來(lái)進(jìn)一步探測(cè)開(kāi)啟的服務(wù)以及可利用的漏洞信息，比如Nessus、Acunetix、Nmap等商業(yè)或者免費(fèi)的工具。

除了上面常見(jiàn)的方法，還有很多可利用的技術(shù)，比如被動(dòng)監(jiān)測(cè)獲取組織的網(wǎng)絡(luò)及應(yīng)用信息，通過(guò)社會(huì)工程學(xué)獲取有價(jià)值的信息，防不勝防。

釣魚(yú)郵件釣魚(yú)郵件是攻擊者最喜歡使用的一個(gè)社工方式了，釣魚(yú)郵件指利用偽裝的電郵，欺騙收件人將賬號(hào)、口令等信息回復(fù)給指定的接收者；或引導(dǎo)收件人鏈接到特制的網(wǎng)頁(yè)，這些網(wǎng)頁(yè)通常會(huì)偽裝成和真實(shí)網(wǎng)站一樣，如銀行或理財(cái)?shù)木W(wǎng)頁(yè)，令登錄者信以為真，輸入信用卡或銀行卡號(hào)碼、賬戶名稱及密碼等而被盜?。换蛘哒T導(dǎo)用戶打開(kāi)惡意附件或者點(diǎn)擊郵件中的惡意鏈接下載惡意軟件，進(jìn)而控制用戶的主機(jī)，如果這些惡意軟件是勒索軟件，直接就被勒索了，短平快。

掛馬網(wǎng)頁(yè)掛馬網(wǎng)頁(yè)同釣魚(yú)郵件一樣，在用戶不知情的情況下，點(diǎn)擊訪問(wèn)了一個(gè)被掛馬的惡意網(wǎng)頁(yè)，稍有不慎網(wǎng)頁(yè)就可通過(guò)瀏覽器把病毒植入用戶主機(jī)，達(dá)到控制用戶主機(jī)的目的；掛馬網(wǎng)頁(yè)可以利用瀏覽器的漏洞來(lái)控制系統(tǒng)，也可以誘導(dǎo)用戶直接下載惡意軟件來(lái)使用戶中招。

暴力破解暴力破解也是攻擊者優(yōu)先嘗試的一個(gè)攻擊手段之一，也是最經(jīng)濟(jì)有效的攻擊手段之一，顧名思義，暴力破解就是不斷用已經(jīng)準(zhǔn)備好的用戶名/密碼（業(yè)內(nèi)叫字典）來(lái)嘗試登錄遠(yuǎn)端系統(tǒng)，包括遠(yuǎn)程桌面、Linux服務(wù)器的SSH管理口、數(shù)據(jù)庫(kù)等，并且可以通過(guò)自動(dòng)化工具（如Hydra）來(lái)進(jìn)行暴力破解，甚至通過(guò)僵尸網(wǎng)絡(luò)、代理服務(wù)器集群來(lái)進(jìn)行分布式的暴力破解，防不勝防。

漏洞滲透漏洞滲透就是利用系統(tǒng)、軟件等漏洞，構(gòu)造特殊的流量，達(dá)到靜悄悄滲透到目標(biāo)系統(tǒng)，從而控制系統(tǒng)的目的。漏洞最常見(jiàn)的標(biāo)識(shí)就是CVE編號(hào)，是由NIST維護(hù)，在中國(guó)各個(gè)漏洞的統(tǒng)一編號(hào)是CNNVD，由中國(guó)信息安全測(cè)評(píng)中心運(yùn)營(yíng)維護(hù)。下圖為CVE漏洞數(shù)量趨勢(shì)圖，從圖上可以看出，近年漏洞數(shù)量呈快速增長(zhǎng)趨勢(shì)。雖然不是每個(gè)CVE都可被利用或者造成嚴(yán)重后果，如控制主機(jī)等，但即使有10%可以被利用，這數(shù)量也是很大的，更何況還有一些系統(tǒng)、軟件漏洞被沒(méi)有被收錄到CVE或者CNNVD，尤其是一些網(wǎng)站的邏輯漏洞，如SQL注入漏洞，詳細(xì)可參考OWASP TOP10項(xiàng)目。

說(shuō)到利用漏洞進(jìn)行滲透利用，各個(gè)攻擊者就各顯神通了，準(zhǔn)備攻擊工具的階段叫武器化，有各種自動(dòng)化工具，比如流行的Metasploit可使用；還有強(qiáng)大的如Equation Group組織的工具，掀起勒索病毒新浪潮的WannaCrypt病毒就是利用其發(fā)現(xiàn)的EternalBlue漏洞被利用的成果。

其他除了上述提到入侵手段，還有其他各種意想不到方法和技術(shù)，比如通過(guò)U盤(pán)把木馬病毒傳遞進(jìn)去，通過(guò)泄露的賬號(hào)密碼進(jìn)入，通過(guò)替換供應(yīng)鏈進(jìn)入等等。

防御方案

針對(duì)上述五花八門(mén)的入侵方式，首先企業(yè)自身要進(jìn)行安全防護(hù)措施的加固，包括管理和技術(shù)：

限制公開(kāi)的企業(yè)信息，包括網(wǎng)絡(luò)架構(gòu)、人員組織、技術(shù)等

關(guān)閉未使用的公開(kāi)端口、服務(wù)

隱藏返回的服務(wù)器錯(cuò)誤信息

及時(shí)對(duì)企業(yè)系統(tǒng)、軟件打補(bǔ)丁

部署防火墻、入侵防護(hù)設(shè)備

其中，防火墻、入侵防護(hù)（IPS）等網(wǎng)關(guān)設(shè)備作為抵擋攻擊的第一道防線，發(fā)揮著重要作用。

華為AI防火墻內(nèi)置了智能檢測(cè)引擎，提供IPS、反病毒和URL過(guò)濾等內(nèi)容安全相關(guān)的功能，有效保證內(nèi)網(wǎng)服務(wù)器和用戶免受威脅的侵害。

華為AI防火墻主要有如下功能：● 應(yīng)用識(shí)別阻斷惡意流量訪問(wèn)

從2008年開(kāi)始，華為就構(gòu)建基于內(nèi)容的應(yīng)用識(shí)別技術(shù)，在企業(yè)網(wǎng)、運(yùn)營(yíng)商等各個(gè)產(chǎn)品上廣泛應(yīng)用。華為AI防火墻上的應(yīng)用識(shí)別不僅僅基于端口來(lái)識(shí)別應(yīng)用，還基于字符串、正則、運(yùn)算、哈希等各種特征，進(jìn)行特征識(shí)別、關(guān)聯(lián)識(shí)別、行為識(shí)別、多維度識(shí)別等，保證精確高效地識(shí)別出協(xié)議、應(yīng)用及各種細(xì)分應(yīng)用，如微信聊天、微信文件傳輸、微信直播等，支持的應(yīng)用識(shí)別數(shù)量達(dá)到6000+以上。企業(yè)可以根據(jù)識(shí)別的應(yīng)用，制定精細(xì)的安全訪問(wèn)策略，阻斷惡意應(yīng)用流量的訪問(wèn)。● URL分類過(guò)濾阻斷惡意URL訪問(wèn)

從2009年開(kāi)始，華為就基于智能的技術(shù)構(gòu)建了惡意網(wǎng)頁(yè)檢測(cè)分類技術(shù)，后續(xù)擴(kuò)展到對(duì)URL進(jìn)行更多細(xì)分分類。當(dāng)前支持45個(gè)大類、137個(gè)子類的URL分類，并具備全語(yǔ)種識(shí)別能力，已經(jīng)在云端覆蓋2億+的URL分類列表。AI防火墻可基于URL分類，阻斷用戶對(duì)掛馬網(wǎng)頁(yè)、釣魚(yú)網(wǎng)頁(yè)等等惡意URL的訪問(wèn)?！?入侵檢測(cè)阻斷漏洞滲透入侵

攻擊者主要通過(guò)系統(tǒng)、軟件漏洞進(jìn)行入侵，進(jìn)而控制目標(biāo)系統(tǒng)。華為自研的入侵檢測(cè)引擎及語(yǔ)法，從2006年開(kāi)始已經(jīng)歷經(jīng)四代演進(jìn)，強(qiáng)大靈活的檢測(cè)語(yǔ)法，做到簽名定義更精確和高效，同時(shí)借助廣泛部署的設(shè)備和安全云服務(wù)，做到80%以上的默認(rèn)阻斷率，可有效地?cái)r截漏洞攻擊：

全方位防躲避技術(shù)：支持對(duì)IP分片、TCP分段產(chǎn)生的亂序、逆序報(bào)文進(jìn)行重組，同時(shí)支持RPC協(xié)議的分片重組，支持對(duì)HTTP、FTP、NetBIOS、SMB等協(xié)議400+的躲避手段進(jìn)行檢測(cè)。

高精度的協(xié)議解碼： 高精度的檢測(cè)離不開(kāi)精細(xì)的流量分析，引擎支持對(duì)HTTP、SMTP、POP3、IMAP、DNS等幾十種協(xié)議的500+字段進(jìn)行精細(xì)化的解析，為簽名檢測(cè)提供強(qiáng)大的基礎(chǔ)，同時(shí)也支持對(duì)協(xié)議異常進(jìn)行檢測(cè)，及時(shí)阻斷惡意訪問(wèn)。

高性能加速引擎： IPS簽名中最重要的檢測(cè)語(yǔ)法就是字符串匹配，華為AI防火墻通過(guò)自研的硬件加速引擎，可以做到簽名全開(kāi)啟性能不下降的效果?！?依托CDE引擎實(shí)時(shí)檢出惡意文件

華為AI防火墻集成了完全自研的反病毒引擎CDE（Content Detection Engine）。CDE引擎通過(guò)深度分析惡意文件，對(duì)海量病毒進(jìn)行精準(zhǔn)分類，通過(guò)華為MDL（Malware Detection Language）專有病毒語(yǔ)言，使用少量資源精準(zhǔn)覆蓋海量變種，并集成神經(jīng)網(wǎng)絡(luò)算法，有效檢測(cè)億級(jí)數(shù)量的惡意文件。華為AI防火墻配合云端安全智能中心，持續(xù)對(duì)每日新增的百萬(wàn)惡意文件進(jìn)行分析檢測(cè)，及時(shí)檢測(cè)最新流行病毒，當(dāng)前支持檢測(cè)包括勒索、挖礦、木馬、僵尸、后門(mén)、漏洞利用、蠕蟲(chóng)、病毒、黑客工具、灰色軟件、惡意廣告等各類惡意家族病毒?！?多方式惡意流量檢測(cè)阻斷C&C通信

主機(jī)一旦被網(wǎng)絡(luò)入侵攻擊者入侵進(jìn)去，被控制，變成僵尸主機(jī)（失陷），下一步就是僵尸主機(jī)和攻擊者控制的C&C（Command and Control）服務(wù)器進(jìn)行通信，獲取下一步的動(dòng)作，發(fā)送攻擊流量、竊取數(shù)據(jù)等，當(dāng)然也包括本揭秘勒索系列文章的主題——進(jìn)行勒索。

那么通過(guò)檢測(cè)這些和C&C通信的流量，及時(shí)進(jìn)行阻斷，也是一個(gè)重要的防護(hù)手段。華為AI防火墻上對(duì)這些流量有如下檢測(cè)手段：

IPS簽名：基于簽名特征的IPS檢測(cè)，不僅可以對(duì)利用漏洞進(jìn)行入侵的行為進(jìn)行檢測(cè)，而且可以對(duì)主機(jī)失陷后的僵尸、木馬、遠(yuǎn)控流量進(jìn)行檢測(cè)，及時(shí)阻斷下一步的攻擊動(dòng)作。

威脅IoC信息：通過(guò)安全智能中心每天自動(dòng)化的數(shù)據(jù)分析，每天發(fā)現(xiàn)大量的C&C主機(jī)和惡意域名，華為AI防火墻可以基于這些威脅IoC信息直接進(jìn)行阻斷和告警。

智能算法：華為AI防火墻同樣可以利用深度學(xué)習(xí)和機(jī)器學(xué)習(xí)對(duì)C&C通信流量進(jìn)行訓(xùn)練，然后把模型在AI防火墻進(jìn)行加載推理。華為AI防火墻上的智能檢測(cè)算法最早是在大數(shù)據(jù)態(tài)勢(shì)感知產(chǎn)品HiSec Insight上研發(fā)的，使用了機(jī)器學(xué)習(xí)和深度學(xué)習(xí)構(gòu)建了30+檢測(cè)算法模型，然后逐步將檢測(cè)模型和算法遷移到了防火墻產(chǎn)品上；當(dāng)前首先精挑細(xì)選了5種成熟算法，包括DGA檢測(cè)、C&C通信檢測(cè)等。智能檢測(cè)算法是非常消耗資源的，華為在AI防火墻上做了很多工作才能達(dá)到嵌入式上的性能要求，比如Python庫(kù)全部修改為C/C++程序，對(duì)模型進(jìn)行壓縮等。

結(jié)束語(yǔ)

攻擊是不斷變化的，任何防御也都不是100%有效，尤其是如果發(fā)生管理上人為的疏忽，或者零日的攻擊被利用，攻擊者已經(jīng)進(jìn)入系統(tǒng)，那就需要對(duì)攻擊入侵后的行為及時(shí)進(jìn)行檢測(cè)和感知。