沙箱安全解决方案-研华
研华科技安全沙箱项目Fortinet APT解决方案
2015年11月
目录
一、APT高级持续性威胁介绍 (3)
二、Fortinet ATP防御 (4)
三、如何进行APT攻击防御 (5)
3.1 APT恶意代码分类 (5)
3.2 沙箱简介 (6)
3.3 沙箱挑战 (7)
四、Fortinet针对研华APT解决方案 (8)
4.1部署方式 (8)
4.2 FortiSandbox简介 (14)
4.3 FortiSandbox解决常见沙箱的技术难题 (14)
4.4 FortiGuard学习 (16)
五、Fortinet优势 (18)
5.1安全与性能 (18)
5.2灵活的部署 (19)
5.3投资回报率高 (20)
一、APT高级持续性威胁介绍
随着更全面的安全应用程序和数据库技术的迅猛发展,研华科技现在有了更多的方法来进行实时的身份监控、权限和证书检查。然而,日渐复杂的安全问题依然有增无减,使得其带来的威胁仍然不容忽视。云计算的产生将给互联网带来天翻地覆的变化,研华科技坚定不移的走上了云计算道路的大趋势将不会受到任何挑战,但数据保护和虚拟环境中的风险管理却让人望而却步,毋庸置疑在云计算的发展道路上,安全问题已经成为了它最大的“绊脚石”。
高级持续性威胁(Advanced Persistent Threat,APT),威胁着研华科技的数据安全。APT
是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。这种攻击行为首先具有极强的隐蔽能力,通常是利用研华科技或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。
在已经发生的典型的APT攻击中,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息
的存储位置与通信方式,整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如,在某台服务器端成功部署Rootkit后,攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。
二、Fortinet ATP防御
为了防御新型恶意软件和APT攻击,仅仅依赖传统的防病毒软件是远远不够的,必须结合多种安全技术,建立覆盖网络和终端的立体防御体系,从各个可能的入口进行封堵。
Fortinet针对APT攻击的安全解决方案在防病毒技术的技术上进行了大量扩充和延伸,称之为ATP(高级威胁防御)。Fortinet的ATP主要包括以下特性:
恶意软件特征检测及过滤
双重沙箱(本地及云端)检测0day威胁
僵尸网络防御
IPS(入侵防御)
文件类型过滤
三、如何进行APT攻击防御
3.1 APT恶意代码分类
APT攻击中的恶意代码有两大类
第一类是已知的恶意代码,这些恶意代码是针对已知的系统漏洞。虽然研华科技都知晓应该为系统漏洞按照最新的补丁,不过由于管理或者人力的问题,大多数的研华科技都很难随时更新到最新的修补程序。
另一大类的恶意代码是针对零日(0day)漏洞的恶意代码或者是未知的恶意代码,或者编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马,这些0day漏洞和特种木马,都是防护者或防护体系所未知的。
对于第一类已知恶意代码攻击目前很多安全设备已经可以做到防护如IPS等,但是对于第二类零日攻击(0Day)即未知威胁恶意代码的检测,主要依赖于各种沙箱技术。包括手机沙箱、PE沙箱、web沙箱等,通过沙箱技术,构造一个虚拟化的环境,任何灰度的流量都可以装入一个隔离的沙箱中。通过提取流量中的相关代码,然后将代码放到沙箱中执行,在隔离的虚拟化的沙箱环境中分析恶意软件或恶意内容,可让安全人员实际看到恶意软件的运作模式。例如,如果怀疑电子邮件附件和URL藏有恶意软件,就可以将其放入沙箱,沙箱分析威胁相关信息,例如参与攻击的源头,被攻击的系统、域名、文件、URL及恶意软件等,借助这些信息,可以识别各种恶意代码,安全管理人员可以决定适当的防御措施,由于APT 攻击途径多种多样,可以是邮件,可以是web,可能来源于手机应用等等,因此沙箱技术是防范APT攻击的关键。
3.2 沙箱简介
什么是沙箱?
沙箱是一种虚拟分析技术,通常指在沙箱中模拟用户环境(如复制标准的工作站)运行待检测的代码,通过分析输出结果来确认某种攻击行为。
恶意的特征通常表现为:
下载已知病毒
修改注册表
访问外网的恶意IP地址
感染进程
为什么要使用沙箱?
高级威胁(APT/ATA)很难被检测到如:
基于行为的检测vs. 基于特征的检测
基于特征的检测不能捕获所有威胁
实时运行分析可以发现静态(特征)检测不能发现的问题
检测是在运行代码后进行的,所以可以检查到各个方面
还有更多…
恶意软件通常还会去下载更多恶意软件
沙盒会捕捉到这些动作,并跟踪整个过程
3.3 沙箱挑战
在当前的网络攻击技术中,攻击者为了绕过沙箱过滤识别技术,使用了大量的沙箱逃逸技术如:VM检测、时间炸弹、Debug循环、事件触发(鼠标点击、系统重启等)。
常见的沙箱存在以下问题:
操作系统单一:适应范围较窄,速度慢
单一软件版本:如只适用于java、Adobe reader等
攻击需要在特定的版本软件中运行,例如:恶意软件不能在沙箱中运行,这样
将绕过沙箱
针对于这样一些特性,Fortinet公司研发了全新的多层次的安全威胁解决方案,该方案对沙盒本身的检测机制进行了更新,更结合了Fortinet公司多款明星产品,以及多年在安全领域的积累,为用户提供更全面有效的APT防御方案。
四、Fortinet针对研华APT解决方案
4.1部署方式
研华科技承载着众多的内部业务,除了要对APT攻击进行精准防护之外,要求较低的延迟及较高保密性,而传统的云沙箱安全技术需要将可疑数据上传到各自厂商的云端沙箱进行隔离运行进而判断数据流量的安全性,很难满足研华科技对低延迟及高保密性的要求。
目前研华科技的网络架构大致如下,在Internet出口都已经部署过防火墙设备,图中User用户的上网都是通过深信服的行为管理设备接入Internet,而服务器都有自己独有的线路。此外也有MPLS线路通到各分支机构。
用户主要关心的问题主要集中在以下几个方面:
1、用户网络APT攻击的防御
用户网络中,各种用户的访问习惯较为繁杂,一些用户没有养成良好的网络安全习惯,容易受到钓鱼邮件,网站的攻击,从而成为肉鸡,从而对内网的服务器可能会造成影响,如敏感信息外泄,服务器受到攻击等。
2、对MPLS网络的安全防御
研华科技的公司总部和各分支机构使用MPLS打通了整个网络,但总部和分支机构
之间并没有安全防护设备,只有一台riverbed广域网加速设备。由于各分支机构的
网络是相对独立管理的,使得总部和分支机构之间只要有一方受到APT攻击就可能
影响到另一方。
3、对于server网络的安全防御
目前对于Server端虽然和用户的网络是分开的,但对于Server的防御也仅限于防火
墙,并没有网关IPS,网关防病毒等等类似的设备,总所周知传统的防火墙对于APT
的防御是没有效果的。因此Server的防御也需进一步提高。
为此Fortinet提供了本地沙箱技术-FortiSandbox硬件设备。对于研华的此次网络安全沙箱项目,有几种配置和部署的方式,客户可根据自己的需求进行选择:
部署方式一:
部署一台FortiSandbox 1000D设备,但由于FortiSandbox是离线检测设备,需要有数据源,我们可以在核心交换机上做镜像端口,将需要进行检测的流量镜像出来,然后FortiSandbox进行检测即可。
此种解决方案部署方便,对现有网络架构无改动,只需在核心交换机上镜像流量即可,对用户和服务器都完全透明。但是由于核心交换机上镜像过来的流量会较多,会造成Fortisandbox大量的扫描工作都浪费在一些无用的文件或流量上,从而造成扫描效率低下,整体检出率降低。
部署方式二:
部署一台FortiGate 1200D设备,同时将一台FortiSandbox 1000D,放在网络中只要FortiGate1200D和FortiSandbox1000D能在内网互连即可。FortiGate 1200D设备作为针对网络流量的探针设备,对网络中的流量进行打分评估,对于可疑的流量转发给直连的FortiSandbox 1000D设备。
由于FortiGate 1200D支持虚拟域功能,我们可以将一台FortiGate 1200D分成多个逻辑域,用于网络探测, 如下图所示一共划分了四个虚拟域,都进行透明模式的部署,在此种模式下所有的文件已经经过FortiGate1200D的第一层过滤,对于已知的威胁已经可以由FortiGate1200D过滤掉,而对于已知可信无威胁的文件,FortiGate1200D会将其放过,而不会发送到Fortisandbox进行没有必要的查杀。只有可疑的文件才会被发送到Fortisandbox的虚拟环境中进行模拟以深层检测威胁。
FortiSandbox本地沙箱技术即解决了有效识别和拦截APT攻击的安全防御功能,又满足了研华科技安全的保密性要求。
FortiGate 1200D七层防病毒可以做到9.5Gbps,且其IPS的能力可以达到11Gbps,并发会话为1千1百万,完全可以满足研华上网和邮件流量检查能力。
FortiGate1200D和FortiSandbox 1000D的无缝集成如下所示:
网络中的流量到FortiGate后会先进行第一层的过滤,当发现有可疑文件时会自动提交给FortiSandbox,提交是通过SSL加密进行传输的。可疑文件到达FortiSandbox后,会在其VM的仿真环境中进行一系列模拟运行,加速其威胁爆发等操作,以此来检测该文件是否是一个有威胁的文件。通常一个文件的检测在几分钟之内就可以完成,检测的结果会发送给FortiGate和对应的FortiGuard云服务。FortiGate会存储这个文件的HASH值,从而当同样的文件再次经过FortiGate时会被阻断,从而实现阻止功能。
由于多节点都部署在一台FortiGate上,推荐使用我们的FortiBridge Bypass盒来实现bypass功能。部署方式如下:
当FortiGate设备正常工作时,数据流如下,FortiBridge在收到流量后将流量转发给FortiGate设备,FortiGate在处理完流量后,再将流量发到FortiBridge的另一个接口,FortiBridge直接进行转发。FortiBridge 2002F的型号可以支持多模光口bypass。
FortiBridge在运行时,会实时发送ping包从INT1到EXT1,看这个心跳包是否能穿过FortiGate返回到FortiBridge,从而判断FortiGate设备是否处于通电并且正常工作的模式。
一旦发现FortiGate设备发生故障,FortiBridge会立刻检测到,并阻断到FortiGate的数据流,直接进行转发,如下图所示:
由于PIX 515E已购买多年,已渐渐不能满足研华当前网络的需求,FortiGate其完善的防火墙IPS功能,完全可以替代PIX 515E的功能,如下图所示,这样网络架构更清晰,客户所需维护的设备也少一个。
此种部署方式对于最左边的用户只能防护其到总部的流量,但并不能确保其本身不受ATP的攻击,因此较完善的情况下我们可以采取部署方式三。
部署方式三:
在部署方式二的基础上,我们再在左边网络部署一台FortiGate300D,来做其的网络探针功能,如下图所示。
其总体架构和部署方式二并没用太大区别,只是再多部署一个网络探针,以便更好的收集网络中威胁的存在。这样流量的样本和检测都更全面。
4.2 FortiSandbox简介
FortiSandbox是Fortinet的创新型高级威胁防护解决方案的重要组成部分。FortiSandbox 设计用于检测和分析,旨在对绕过传统的高级攻击进行安全防御,并被NSS实验室评为推荐等级。在独立的NSS实验室的测试,FortiSandbox达到了99%检出抗逃逸检测的效果,并且由于采用了Fortinet独特的多层次的沙盒分析方法可以在一分钟内检测出大部分威胁。
FortiSandbox通过FortiGuard提供的安全知识库,将所有的协议检测和攻击识别功能于一体的设备。它可以公司旗下的FortiGate,FortiMail和FortiClient等产品无缝的集成,推动了Fortinet的安全生态系统,自动保护,学习和提高客户的整体威胁防护能力。通过经济实惠,以及简单而灵活的部署和管理模式为用户提供非常有效的保护,防止高级持续性威胁。补充用户建立防御这一前沿的沙箱的能力;分析文件中包含的多种虚拟机环境,以确定以前未知的威胁,并揭示了全面攻击的生命周期。FortiSandbox与Fortinet其他安全技术形成有效的互补,FortiSandbox是特有的多合一沙箱设备。
我们通常说进行APT防御并不是一个沙盒可以解决的,这是一个综合多层次防御的课题,必须整合防火墙、IPS、防病毒等多层次安全防御手段,再和沙盒有效的进行无缝衔接,才是APT防御的最佳实践。
4.3 FortiSandbox解决常见沙箱的技术难题
FortiSandbox主要设计原理:首先明确筛选出“黑”与“白”文件,然后扫描“灰色”文件。
首先FortiGate 1000C在网络上工作,它的恶意软件过滤功能针对标准网络协议,与应用无关。FortiGate可扫描过滤的协议包括HTTP、SMTP、POP3、IMAP、MAPI、FTP、SMB、IM、NNTP等,在支持协议的全面性上走在了业界的前列。对于使用非标准端口的协议应用(例如,在使用代理服务器的环境中,HTTP协议不使用TCP 80端口,却使用了TCP 8080端口),FortiGate同样可以对其中的恶意软件进行过滤。
网络通信通过加密协议(如HTTPS等)进行时,其中包含的恶意文件也会被加密,有可能绕过防御防御机制。FortiGate支持对多种加密协议(如HTTPS、SMTPS、POP3S、IMAPS、FTPS等)的识别与扫描,在加密环境下也可防止恶意软件的传播。
通过使用FortiGate 1000C设备快速的进行已知特征匹配,这个特征库包括防病毒特征库和IPS特征库等,对于识别出来已知恶意文件(即为黑色文件)会立即阻断,明确是没有威胁的安全文件(即为白色文件)则会被放行,不能确定的文件(即灰色文件)则会优先进入轻量级的本地实时沙箱(位于FortiGate内部)。
本地实时沙箱是一个简单、快速的轻量级沙箱,它能够模拟部分软件的执行,发现其中的恶意行为,且与OS无关,可以有效地防止有些恶意文件为了躲避沙箱检测而设计的VM 逃逸行为。对于FortiGate内的本地沙箱仍不能确定的灰色文件,则该文件将被发送至FortiSandbox 3000D沙箱设备。
FortiSandbox 3000D是一个更加强大、细致、复杂的沙箱环境,能够模拟多种主流操作系统,并提供代码仿真环境,然后在一个完全虚拟的运行环境中执行,从而发现更加隐蔽的恶意软件,一旦恶意代码被检测到,结果会被提交到FortiGate设备,并且自动串接反恶意软件签名,以便更新到FortiGate的威胁数据库,并可通过FortiGuard安全云不断更新其沙箱环境和检测机制,提升沙箱的检测识别能力,令0day攻击无处藏身。
FortiSandbox设备相当于将云端的安全实验室搬到了用户网络内部,所有文件都不会发往外网。对于像研华这样非常重视数据保密和隐私的用户,FortiSandbox是最佳选择。恶意的,和高/中/低风险等所有分类都在一个直观的控制面板中显示。提供丰富的日志和报告- 在虚拟环境中执行完整的威胁信息,包括系统活动,漏洞尝试,Web流量,后续的下载,通讯尝试等等操作。
4.4 FortiSandbox的操作系统支持
Windows XP是病毒滋生的沃土,也是沙盒能够检测到最多病毒的操作系统。在2014 年4月8日以后,XP不再受到微软的支持。这意味着不再有安全补丁更新,因此XP环境中会有越来越多的安全漏洞出现。XP环境将更加肥沃而易于感染。好消息是,更多的恶意软件将会
在FortiSandbox的XP沙盒中正确触发。坏消息是,其将成为攻击者的肥肉靶子。可以打赌,恶意软件将会紧随那些尚未切换到7/8 的唾手可得的终端用户而开发出来。从过去的趋势来看,迁移不可能一蹴而就。
FortiGuard 实验室观察到的大多数威胁仍然是可执行文件的形式,特别是可移植的可执行
32 位格式( PE32 )。32 位主要是用于在Windows XP 环境中执行的。Windows XP仍是一个活跃的市场,也是一个容易获取的目标。微软在Windows7/8中引入了安全技术,用以阻止恶意代码和文件漏洞的执行。由于Windows XP没有相同的技术,在沙盒中的XP下运行代码会提高检测效果,即使该威胁是专门为Windows 7/8编写的。同时若黑客(开发者)可以编写32 位恶意软件,其就会在今天的XP 上生效,也会在用户迁移到Windows XP /8 时跨平台生效,所以,开发者没有必要专门制作针对Windows 7/8 恶意软件。所以大多数恶意行为都可以在XP (不支持64 位代码)中观察到,而不需在7/8 中进一步测试。但运行于带有CPRL 的FortiSandbox 的Fortinet 杀毒引擎完全支持32 位和64 位代码以及多个平台: Windows、Mac 、Linux、Android、Window Mobile、iOS、Blackberry和遗留下来的Symbian。尽管FortiGuard 实验室并没有预期64 位威胁会立即发起攻击, 但Fortinet 使用其CPRL、杀毒引擎和FortiSandbox 已经能够同时捕获这两种威胁。
当网络环境一旦出现转变,其下受到支持的环境也会跟着转变。为了有效地捕捉病毒威胁,FortiSandbox 根据现有的网络环境威胁同时在Windows XP 和Windows 7/8 的虚拟环境中配置资源,并以FortiGate 和FortiSandbox整合了新式规避技术侦测功能和目标平台的强化技术。不止如此,FortiSandbox 还通过代码仿真和杀毒引擎预过滤为O/S 独立检测提供支持。
当前FortiSandbox 3000D可支持28个虚拟机同时运行,其中Windows XP 22个,Window 7等64位操作系统6个。
五、Fortinet优势
5.1安全与性能
对抗高级目标针对性攻击最好的办法就是寻找一套完备的并且扩展力强的防御框架。Fortinet提出的这套框架将安全情报贯穿于整个防御系统中,而这套系统包含了传统网络安全与新兴的高级威胁防护工具,从网络、应用和终端三个维度对威胁进行持续地、实时地检测、发现、抑制,交付给客户可执行力强的持续安全威胁情报,以提供不间断的有效防御。
Fortinet 整合了FortiGuard Labs 的安全情报资源给我们的旗舰产品FortiGate下一代防火墙、FortiMail 安全邮件网关, FortClient 终端安全软件, FortiSandbox 高级威胁检测系统, 以及其他能够为用户提供安全保护的安全产品,最终目的就是持续优化我们的安全产品,提升Fortinet交付给客户的安全解决方案的安全能力,使其可以帮助用户对抗最新的安全威胁。
在Fortinet 的解决方案中,不仅能够对已知威胁进行很好的检测、识别和阻挡,让用户免受已知威胁的侵害,更能够通过其他安全系统的互相补充作用来缓解新兴威胁带来的安全影响,这一切的背后都是FortiGuard Labs全球领先的威胁情报及安全研究能力的支撑。
Fortinet采用多层次文件处理技术,优化资源使用,提高安全性和性能。
5.2灵活的部署
FortiSandbox 能够在一套解决方案中支持众多环境和众多协议的检测, 因此能够简化网络架构的部署和运维。不仅如此,通过集成FortiGate、FortiMail等Fortinet产品,能够为您的网络安全架构焕发出新的生命力。
支持多种部署模式适应各种需求和结构,保护现有投资。
独立模式
这种部署方式依赖于从交换机端口和/或管理员选择文件上传到设备。如果要在已经存在的由多厂商组成的威胁防御系统中添加FortiSandbox,这是最适合的方式。
FortiGate/FortiMail 集成
作为互联网安全网关,FortiGate可以被设置为提交可疑文件到FortiSandbox上。这种无缝集成的方式降低了网络复杂性,并且扩展了功能,比如支持了对应用程序和协议进行SSL 加密。
分布式FortiGate 集成
这种部署可以应用于那些拥有众多分支机构的分布式环境中,FortiGate部署在分支
机构,并提交可疑文件到一个位于中心的FortiSandbox来进行集中处理。这种部署方式的好处在于TCO最低,并且可以防止在远处分支地区的安全威胁。
5.3高性能ATP防御系统
ATP(高级威胁防御)对设备的性能要求很高,很容易成为网络性能的瓶颈。与同类产品不同,FortiGate是全球唯一使用专用ASIC芯片加速的硬件安全网关,并结合Fortinet公司的专利技术CPRL(内容处理识别语言),可实现数倍于同类产品的性能。Fortinet最新一代内容处理ASIC芯片——FortiASIC CP8,可直接运行CPRL进行恶意软件检测,将CPU从繁重的工作中解放出来,通过这种CPU+ASIC分布式处理的机制,实现单台设备近20Gbps的防恶意软件吞吐能力,远超同类其它产品,对于Web浏览这样的实时应用的延迟也微乎其微。FortiGate还可通过负载均衡HA方式提升ATP性能,在大量用户的万兆网络中实现高性能实时防御。