华为HiSec安全解决方案(模板)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
华为安全解决方案(模板)
目录
1 背景概述 (3)
1.1新时代下安全风险的变化 (3)
1.2传统安全防御手段的不足 (3)
1.3传统软件定义安全(SDS EC)的定义 (5)
2 安全解决方案设计 (6)
2.1安全分析器 (6)
2.2安全控制器 (7)
2.3安全执行器/采集器 (7)
3 华为安全解决方案技术亮点 (7)
3.1检测智能 (8)
3.1.1 基于大数据的智能安全威胁检测 (8)
3.1.2 基于ECA技术的恶意加密流量识别 (9)
3.1.3 网络诱捕技术,实现主动安全防御 (9)
3.1.4 多维度事件关联,攻击动作全路径识别 (10)
3.1.5 基于第三代沙箱的未知威胁检测 (11)
3.1.6 终端联动响应 (13)
3.1.6.1 调查取证 (14)
3.1.6.2 确认终端感染范围 (15)
3.1.6.3 终端联动处置 (16)
3.1.6.4 威胁响应编排 (16)
3.1.7 业务价值 (18)
3.2处置智能 (19)
3.2.1 网安协同联动防御能力 (19)
3.2.2 安全三层闭环联动(纯安全场景) (21)
3.2.3 网安一体化联动(DCN场景) (23)
3.2.4 业务价值 (24)
3.3运维智能 (24)
3.3.1 从应用到安全的自动映射 (24)
3.3.1.1 应用策略自动编排 (25)
3.3.2 基于动态访问关系的策略运维 (26)
3.3.3 业务价值 (27)
4 华为安全解决方案核心价值 (27)
1背景概述
1.1新时代下安全风险的变化
据统计全球每天诞生超过百万全新的恶意软件。
以WannaCry勒索软件举例,17年5月12日20时左右,全球爆发大规模勒索软件感染事件,10个小时内感染了74个国家的4.5万台主机,直接经济损失达到数十亿美元规模。
已有防御手段效果根本无法防御,已经加密的软件,除非交赎金否则无法还原。
基于特征检测的安全防御手段只能识别已知威胁,应对高级威胁响应周期漫长。
以APT 为代表的高级威胁使得“依靠特征检测的方法”失效,给业界带来前所未有的挑战,迫切需要新的威胁分析与检测技术。
企业或组织通常已部署专业的防火墙、IPS、终端安全软件、SOC/SIEM等安全防护产品,能够针对传统或已知威胁实现防护。
然而以安全策略、签名、日志分析为中心的传统安全防御手段只能识别已知威胁,且存在应对快速演进的威胁检出时间滞后的弱点。
在WannaCry风暴爆发以后,各企业忙于修补漏洞,一家大型IT企业客户也遭受到攻击,花了几周修复漏洞,然而效率极低,经过数周的修复,修复率居然不足30%。
1.2传统安全防御手段的不足
⏹威胁判断技术颗粒粗
传统安全检测工具,在面临更加“伪装”的灰色流量进行检测时,已经存在很大局限性。
业界能力以在事先人为的行为打分水平上的方式为主进行检测,比如注册表改写打5分,磁盘写文件打2分,Windows注册表自启动添加打5分,网络行为打5分等,把这个分数加起来,超过70分,就认为是高危了。
这种权重打分的方式来判断一个未知的行为是否是威胁,等于确定了一个标尺,高于标准的为威胁需要处理,低于标准的就不是威胁。
实际运行的结果是,威胁检出率较低漏报较高。
对于隐藏在加密流量下的恶意威胁,在不解密的情况下,也没有有效检测手段识别安全风险。
此外,由于信息安全从业人员总体数量的供不应求,以及预算限制等原因,加大人力投资提升检测能力并不现实。
⏹无法自动免疫主机逃逸:
当前主流沙箱技术,主要基于行为的检测,在打分制的基础上有了一定检测效率的提升。
但其基于Hook API检测的方式处于操作系统层,因此危害级别较高的病毒能够探测到主机内有沙箱检测机制,架构的天然缺陷给逃逸带来机会。
⏹威胁检测的周期长
从威胁渗透到被发现的时间长度,暨MTTD(Mean Time To Detect,平均检测时间),成为攻击者和防守者拉锯的关键。
当数据变为海量,而且恶意代码形态变异加快,以及攻击者对传统安全防守技术的躲避,都促使防守方要通过一系列新技术新手段比攻击方更快,才能降低响应时长和财产损失。
传统的全网协防,可以联动安全网元(如防火墙类),但缺少非安全网元(如交换机),因此仍然无法在掌控全网拓扑和数据的基础上进行全局的大数据分析,已有安全架构不能从发生的安全事件中自适应学习。
⏹分层部署的安全防御体系
传统的安全防御体系,构筑在拓扑中不同的部署位置,已经从单点部署演进到了分层部署阶段。
但是分层部署的方案,仍然不足以解决高级威胁需要在长时间、全空间才能发现的安全风险。
对于安全事件的响应只能够各自为战,对于同一网络内的威胁,比如某台终端中了勒索软件病毒,其他网络中的终端,如果不是同一安全设备防御的,无法快速感知并迅速获得免疫能力。
即使引入了基于SDN的按需调度架构,也只能够对网络设备或者安全设备单独进行池化业务编排,而不能从全网元协作的安全架构中获得实时的洞察力。
⏹流量加密技术是一把双刃剑
在流量明文传输时,黑客往往会采用“中间人”攻击方式来截取和解析报文,从而造成数据泄露。
因此出于安全的角度考虑,越来越多的网络流量采用了加密的方式进行传输。
NSS Labs的统计结果显示,SSL/TLS加密流量正以90%的年增长率逐年增多,到2019年时加密流量的占比将达到75%以上。
但流量加密技术是一把双刃剑,它在提高数据保密性的同时,也给黑客提供了可乘之机,他们可以将攻击指令、恶意脚本都隐藏在加密流量中,从而可以躲避常规的安全检测,渗透进入网络中,引发信息安全事故。
传统的DPI检测设备(如NGFW、IPS等)不支持对加密报文的解析能力,只能通过“代理”的方式解密后获取明文的有效载荷,从而才能检测流量中是否包含恶意代码。
这种方式一方面违背了流量加密的“初衷”,另一方面给“代理”设备造成了很大的网络性能消耗。
⏹安全业务管理复杂
过去人们对于安全网元的管理,通常是通过网管或者SDN控制器来进行。
网管主要所做的为配置管理、性能管理、计费管理、告警管理及简单安全业务管理。
通常通过命令行(CLI)或网关协议SNMP等来通信,其中SNMP需要IT人员特别了解安全特性对应的MIB节点信息,各个厂家的标准也不统一,因而学习成本很高、配置依赖手工、易用性较差。
同时,运维人员需要对业务应用和网络拓扑也非常熟悉。
由于安全策略管理复杂,需要基于IP/端口/物理位置等信息,用户上手难度较大。
传统网管,也无法提供基于租户的个性化安全防护定制。
SDN控制器重编排轻安全运维
SDN控制器则主要是负责的安全资源的部署和业务链编排。
SDN控制器对于安全业务的管理广度和深度都比较有限,广度上只能管理基础的安全业务比如安全组、VPN、安全隔离等,深度上对于复杂场景(网元数量多,配置复杂)的情况无法驾驭。
SDN控制器可以对业务资源管理下发,但不能进行安全业务的深度运维。
在下发的过程中,需要IT运维人员同时对于业务理解和网络拓扑的理解达到非常熟练的程度,安全策略只敢加不敢减。
因此安全策略的配置效率很低,特别是在大型网络中,每天可能存在大于2000条策略变更,现有的方案依赖于人工和部分工具的半自动化处理,对于用户来说需要额外的人工成本。
1.3传统软件定义安全(SDSec)的定义
传统的软件定义安全,由Gartner进行了定义,概念来自于软件定义网络(SDN),基本理念是通过转发面与控制面的分离,将执行层减负,不做复杂的业务判断,仅仅负责业务流的转发,而具体策略有控制器来进行编排和下发。
其弹性、开放、自动的特点很好的满足了对安全策略的管理,提升了防御效率。
传统SDSec有如下几个特征:
(1)随需调用,弹性扩展
(2)基于威胁profile的安全控制
(3)自动策略编排
(4)开放API,可编程性
传统的SDSec聚焦于策略管理,也旨在业务运维的角度进行优化,主要考虑如何灵活敏捷的获取、编排、调整、扩容等角度。
2安全解决方案设计
HiSec安全解决方案通过全网监控,对网络行为数据进行深度钻取,及早发现威胁,及时闭环处置。
首先,传统基于签名的静态分析手段无法有效地检测新型威胁,华为将大数据分析能力引入到安全,采用深度神经网络算法和机器学习技术,实现从被动防御向主动防御的转变。
其次,面对威胁在内网的横向传播,华为将安全融入到网络,通过“网络+安全”全网防御方案,防止内部横向扩散,实现从单点防御到全网防御的转变。
最后,为应对大量的安全问题,企业需要执行一系列的处置动作,安全策略也变得纷繁复杂,基于业务的策略自适应,华为完成策略的动态调整和优化,实现从人工运维到智能运维的转变。
华为安全解决方案基于大数据分析的威胁自学习检测,全网调度和协同处置,可以将威胁消灭在萌芽中,整体架构如下:
华为安全解决方案整体架构
2.1安全分析器
相当于“大脑”,以大数据智能安全分析系统(CIS,CyberSecurity Intelligent System)为核心组件,该组件具备对包括高级可持续威胁(APT)在内的各类安全威胁,可基于大数据技术进行精准检测、态势感知、Kill-Chain溯源等。
辅助的分析器还包括华为FireHunter沙
箱,能够实现50余种常见文件类型检测,基于动态行为的捕获和学习,可实现对“灰色”文件的判断,并联动执行器进行智能处置。
2.2安全控制器
相当于“中枢神经”,以华为SecoManager安全控制器为核心组件。
该组件定位于面向多租户的全生命周期安全策略管理、业务编排。
可以获取SDN控制器拓扑和资源管理输入,结合分析器的智能检测结果,以及从采集器中收集的数据,对执行器进行业务管理和策略优化。
2.3安全执行器/采集器
相当于“四肢”,执行器/采集器主要负责安全防御动作的采集上报和执行。
上报的形式可能包括Syslog日志、事件、Metadata、NetFlow、漏洞、信誉等等,执行的动作可能包括告警、阻断、报表呈现、短信通知等等。
执行器/采集器包括三种主要形态:以交换机、路由器为代表的网络设备,以防火墙为代表的专业安全设备,以及以探针为代表的第三方网元。
华为安全解决方案致力从软件定义防御,到软件定义检测、软件定义响应和智能运维的升级。
方案以安全控制器和安全分析器为核心,横向使能“一整张网络”,南向使能全网多厂商安全设备和软件,北向开放对接主流云平台,实现以业务驱动的云、网络和安全的上下协同,并以“威胁入侵意图”学习为核心,动态定制采集和检测,基于机器学习创新对恶意文件、C&C、内部流量异常的主动分析,使能全网神经末梢节点自动快速遏制威胁,帮助客户提升安全分析和运维的智能化、自动化程度,解放管理员简化安全运维体验,减少专业安全人力投入和依赖,保护客户关键基础设施稳固,业务永续。
3华为安全解决方案技术亮点
面向企业园区、云数据中心虚拟化环境,在传统“以策略管理为核心”基础上迭代升级,华为安全解决方案首次在软件定义安全领域引入智能理念。
该方案包含有分析器、控制器、执行器等主要组件,可以实现“检测智能”、“处置智能”和“运维智能”,从被动、单点防御到主动、整网防御,从人工运维到智能运维。
对于企业用户,将传统按天计算的MTTD和MTTR
降低至小时级,并可实现万条安全策略的分钟级部署。
3.1检测智能
3.1.1基于大数据的智能安全威胁检测
机器学习不是近两年出现的概念,但到了2006年深度学习的出现,成为迄今为止的新的一波浪潮。
当前面提到的动态行为的打分效果提升到一定程度时,就没法再继续提升检测效果了。
华为通过聚类(域名特征、返回特征)和分类(域名语法分析、统计分析)等机器学习算法发现利用动态生成域名(DGA)绕过防火墙域名黑名单策略的行为。
更进一步,华为基于深度神经网络技术,将威胁判断从一条直线扩展到类似人脑神经网络的多维立体空间,在高维度多拐点的样本空间里,可以实现对“黑白”样本的更精细判断。
此外,利用上百万的黑白恶意C&C样本、对100余种报文行为特征(如报文长度分布、时间分布)进行有监督机器学习发现混淆加密来绕过IDS(入侵检测系统)和情报检测的行为;利用100余种行为特征来发现利用Ping/DNS协议弱点来外发数据绕过DLP(数据防泄漏)等内容安全系统的行为;采集现网NetFlow日志进行自适应滚动基线学习来发现内部侦查、恶意软件扩散、数据窃取、非法端口开放等绕过IDS的内部异常行为。
除此以外,智能威胁检测通过自学习或自定义流量基线的方式,检测流量是否超限、频次是否超限、访问是否违规。
通过提取邮件流量元数据,结合华为FireHunter沙箱检测邮件附件异常、收发件人异常和邮件正文URL异常。
通过提取HTTP流量元数据,结合华为FireHunter沙箱检测访问不常见网站、非浏览器流量,下载恶意文件等异常等。
图2:多种高级威胁检测模型
3.1.2基于ECA技术的恶意加密流量识别
ECA(加密流量分析)技术,实现在不解密报文的前提下,可以识别出恶意的加密流量。
首先,华为“未然实验室”的安全研究专家采集获取了数百万的恶意样本和白样本,并结合开源的威胁情报,对其进行特征信息提取,包括TCP流统计特征、TLS握手信息特征、关联的DNS/HTTP信息特征。
基于以上特征信息,采用机器学习的方式,并利用样本数据进行训练,从而可以形成ECA检测模型。
然后,通过部署在各个网络关键节点的流探针(独立方式、防火墙内置方式、交换机内置方式)提取现网加密流量中的特征信息,统一上送至CIS网络安全智能系统。
最后,CIS网络安全智能系统通过内置的ECA检测模型,对流探针上送的加密流量特征信息进行大数据处理和分析,即可识别是否存在恶意的加密流量,并通过联动处置实现威胁闭环。
华为ECA加密流量分析技术可以实现检出率≥99%,误报率<0.01%,有效识别恶意的加密流量,阻止黑客的攻击行为。
3.1.3网络诱捕技术,实现主动安全防御
为了防范黑客的入侵活动,保障IT信息系统的正常运转,大部分企业在网络中都构建了基于“纵深防御”理念的网络安全体系。
这种防御方式在过去很长时间里都发挥了巨大的作用,但随着以APT为代表的高级安全威胁快速增多,也暴露出了一些薄弱性。
纵深防御体系是主要围绕“识别安全事件”的防御方式,无论是基于特征的威胁防御,还是利用大数据的威胁检测,都是在安全事件发生后才进行工作并发挥作用。
而基于特征的威胁防御手段无法覆盖到最新的恶意程序,大数据检测方式技术复杂、成本高。
因此,一种新的安全防御思路应运而生——欺骗防御技术,通过在网络中构造欺骗陷阱,在黑客对目标网络的认知过程中主动进行干扰、误导和摆脱,从而可以及早发现、延迟或阻断黑客的入侵活动。
该技术连续3年被Gartner评选为顶尖网络安全技术之一。
基于“欺骗防御”的理念,华为在基于意图的智简网络(IDN)解决方案中,率先推出了
网络诱捕(NetWork Deception)技术,可以通过识别攻击意图来阻止安全事件的发生,与纵深防御体系可以形成完整的安全解决方案。
网络诱捕技术主要包含诱捕探针和诱捕器两个组件,其防御过程如下:
1. 诱捕探针以内置在交换机或防火墙上的方式实现全网部署,黑客无论从哪个网络位置发起攻击前的扫描嗅探行为,都可被诱捕探针捕获。
2. 如果是恶意扫描行为,诱捕探针则会以报文代答的方式构造虚假网络,从而迷惑黑客的认知,延迟对真实业务的攻击时间窗。
3. 如果黑客访问虚假网络中的IP或端口时,诱捕探针则认为该行为具有攻击意图,在黑客访问流量到达诱捕探针时,诱捕探针会将该流量引流至诱捕器进行进一步攻击意图确认。
4. 诱捕器会对企业主流业务进行模拟仿真,这些仿真业务会带有明显的安全漏洞。
所以黑客流量到达诱捕器时,黑客误认为是用户实际的业务系统,进而采取攻击行为。
其所有的行为均会被诱捕器捕捉到,并且形成攻击者画像。
5. 诱捕器将攻击者画像提交给CIS网络安全智能系统,通过联动处置实现安全隔离。
华为网络诱捕技术是一种主动的安全防御方式,通过构造虚假网络和仿真业务对黑客进行攻击混淆,主动发现并隔离攻击源,降低了真实业务被入侵的可能性。
3.1.4多维度事件关联,攻击动作全路径识别
更重要的是,华为安全解决方案的分析器提供多维度综合分析能力,可以在关键步骤上识别和还原攻击链。
通过恶意文件检测分析、WEB异常检测分析、邮件异常检测分析以及相关关联学习,可以识别是否存在钓鱼邮件、水坑攻击等外部渗透行为,该步骤的准确识别可以帮助安全管理员将恶意攻击行为拦截在外;通过DGA异常检测分析、恶意C&C链接检测分析、HTTP周期性外联检测分析、ECA加密流量检测分析可以准确识别和阻断C&C通讯,阻止攻击者对内网木马主机的攻击指令的下发和相关恶意软件的下载。
通过流量基线异常检测分析、服务器日志检测分析及关联分析能力,可以识别攻击者在内网横向扩散的行为,
保护其他核心资产;80%的攻击者是以数据窃取为入侵目的,通常会将DNS协议和ICMP 协议作为数据外发的承载协议,因此这两种协议是网络服务中最常用、最普通的协议,因此通过对DNS流量、Ping流量的异常检测及关联分析能力,可以精准识别是否存在数据外发行为。
图3:多维度关联分析,识别攻击全路径
3.1.5基于第三代沙箱的未知威胁检测
业界通常采用基于已知签名的特征库匹配技术,来检测文件或软件中是否存在恶意代码。
这种方式通过匹配样本,可以快速识别已知威胁。
而弊端也显而易见,一方面是受限于安全产品的硬件能力,加载的特征库仅用于识别和应对当前主流的已知恶意代码,无法做到未知威胁的有效覆盖。
另一方面是新恶意代码的产生速度远远高于安全厂商的特征库更新能力,越来越的多的新恶意代码被用于APT攻击。
因此华为安全解决方案的未知威胁检测思路是充分利用已知威胁检测能力,结合华为FireHunter沙箱进行未知威胁检测。
沙箱,顾名思义是为程序提供了模拟运行环境,含有恶意代码的未知程序进入到模拟环境中就会自动释放并执行,通过调用相关API接口进行修改/删除/更改注册表信息、关闭杀毒软件进程、创建新文件等行为,实现感染目标主机。
而沙箱通过检测这些API调用行为来判断是否是正常程序还是含有恶意代码的异常程序。
在沙箱的恶意代码检测技术上,目前业界大多数安全厂商使用的是第二代检测技术。
这
种技术是通过在关键API接口上部署Hook函数(也称:钩子函数),通过Hook技术来获取该API接口被调用的行为,从而可以监控恶意程序的行为,最后再通过行为打分的方式给出判定结论。
第二代检测技术对恶意代码的有效检测能力依赖于Hook函数的覆盖面,而Windows系统、Linux系统的API接口数量众多,很难实现所有API接口的监控,实际情况是第二代沙箱检测技术能够监控的API接口数量在100个左右,所以无法全面监控恶意代码的执行行为。
依靠行为打分方式的威胁判定较为僵化,也严重依赖于API监控覆盖,检测率提升较难。
为了应对多种操作系统下的恶意程序执行,沙箱往往会提供多种主流操作系统的模拟环境,因此需要在每个操作系统环境上单独Hook函数,存在适配差异。
恶意程序也能通过探测技术感知到是沙箱环境而进行逃逸绕过。
图4:第二代沙箱检测技术
而华为安全解决方案使用的FireHunter沙箱已经从第二代演进到了第三代检测技术,主要采用基于采用行为机器学习和基于Hypervisor的行为捕获,实现更高的效率和识别率。
图5:华为FireHunter沙箱——第三代检测技术
华为FireHunter沙箱布局在Hypervisor层监控,通过物理内存页面的属性设置(读、写和执行权限),以及内存分析技术,监控点从操作系统用户态和内核态的界限,转移到用户态恶意代码和用户态其他标准DLL库,从而可实现360度无死角的监控。
因此通过该方式,恶意代码在模拟环境中的任何行为都可以被Hypervisor自动获取,大大提高了对未知威胁的识别率。
另外考虑到依靠行为打分进行威胁判定的机制存在一定弊端,华为FireHunter沙箱补充采用了机器学习的智能判定技术,将检出率提升50%。
由于不需要在模拟环境中部署Hook函数,模拟环境更加接近真实环境,使得恶意代买感知不到监控程序的存在,能够从根本上防止沙箱逃逸。
3.1.6终端联动响应
终端联动响应EDR方案(终端检测与响应,Endpoint Detection and Response)为CIS检测威胁事件分析提供更多终端层面的信息。
方案中CIS与第三方EDR联动,主要包含3方面的关键能力:调查取证、确认终端感染范围、终端联动处置。
其中,调查取证能力辅助确认安全告警是否为误报事件,并将威胁事件溯源到终端的具体进程,在对安全事件进行确认后完成感染范围的确认及终端联动处置。
3.1.6.1调查取证
流程介绍:
1.CIS根据指定条件(MD5、IP、Domain、URL等)从EDR控制中
心获取终端上相关进程信息在CIS上展示,其中,进程信息包括: 网络行为信息:进程的网络连接信息,包括源/目的IP、源/目的端
口、协议、访问的URL/域名、请求时间;
系统行为信息:进程的注册表、文件访问行为,包括操作时间、文
件路径、文件MD5、注册表的操作行为和文件的操作行为。
2、第三方EDR将可疑文件及依赖的库打包后提交给沙箱,沙箱对提交的文件进行恶意文件分析;
3、CIS从沙箱获取进程文件检测报告,在CIS上展示。
3.1.6.2确认终端感染范围
流程介绍:
1.CIS向EDR控制中心下发IOC(Indicator of Compromise,即威胁的
域名、md5、IP等特征)规则检测任务;
2.EDR控制中心将IOC规则检测任务下发到终端;
3、终端根据IOC信息检查本地是否存在威胁,并经由EDR控制中心通过Syslog方式将检测结果送给CIS日志采集器,检测结果日志包括:检测时间,检测的终端IP,匹配的IOC 规则名称,匹配项的值(如文件MD5,文件名称,注册表项或网络URL/域名)。