Firehunter APT沙箱安全技術(shù)方案

1、華為Firehunter APT沙箱安全技術(shù)解決方案123FireHunter產(chǎn)品介紹成功案例APT攻擊趨勢(shì)及挑戰(zhàn)目錄APT攻擊趨勢(shì)及挑戰(zhàn)數(shù)據(jù)來(lái)源：華為安全威脅情報(bào)中心2019年APT攻擊有增無(wú)減；大部分APT組織有政府背景；2019年國(guó)內(nèi)受攻擊行業(yè)主要分布在政府、央企國(guó)企、科研單位、金融和高校；從受攻擊地域上看主要集中在北京、廣西、江浙地區(qū)、四川等。文件載體的APT攻擊占據(jù)主流0Day漏洞正在商品化APT/未知威脅防御面臨的挑戰(zhàn)有95% 的網(wǎng)絡(luò)攻擊基于文件發(fā)起；其中40%利用釣魚郵件、55%利用釣魚郵件的惡意鏈接；0Day的惡意文件檢測(cè)迫在眉睫。0Day在黑市的標(biāo)價(jià)40%利用釣魚郵件附件55

2、%利用釣魚郵件Web鏈接0Day漏洞一直是APT組織實(shí)施攻擊的技術(shù)制高點(diǎn)。商品化的0Day讓APT攻擊變得更容易。未知威脅防御已在法規(guī)標(biāo)準(zhǔn)中明確提出網(wǎng)絡(luò)安全法強(qiáng)調(diào)對(duì)高級(jí)持續(xù)性威脅的檢測(cè)國(guó)家電子政務(wù)外網(wǎng)標(biāo)準(zhǔn)-政務(wù)云安全要求明確提出對(duì)未知威脅的防御和態(tài)勢(shì)感知要求網(wǎng)絡(luò)安全等級(jí)保護(hù)APT/未知威脅檢測(cè)寫入等保標(biāo)準(zhǔn)2.0網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求第1部分：安全通用要求網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求 第1部分：安全通用要求123FireHunter產(chǎn)品介紹成功案例APT攻擊趨勢(shì)及挑戰(zhàn)目錄為什么需要FireHunter？FireHunter檢測(cè)機(jī)制傳統(tǒng)安全設(shè)備檢測(cè)機(jī)制80%20%傳統(tǒng)安全設(shè)備基于簽名檢測(cè)針對(duì)未知惡意

3、文件無(wú)檢測(cè)能力基于已知樣本代碼簽名匹配具備檢測(cè)滯后性未知惡意文件樣本未知、無(wú)法生成簽名FireHunter基于行為特征檢測(cè)具備未知惡意文件檢測(cè)能力檢測(cè)代碼調(diào)用的API、組件等信息檢測(cè)軟件本地的行為（文件、注冊(cè)表等）檢測(cè)軟件的網(wǎng)絡(luò)行為（上傳下載外聯(lián)等）檢測(cè)軟件代碼的結(jié)構(gòu)基于簽名威脅檢測(cè)機(jī)制仍然扮演著重要的角色，實(shí)際使用中可檢測(cè)出60%-70%威脅事件，且檢測(cè)效率較高。FireHunter不僅具備動(dòng)態(tài)虛擬執(zhí)行環(huán)境模擬，同樣支持基于信譽(yù)、簽名的檢測(cè)機(jī)制檢測(cè)能力覆蓋已知威脅和未知威脅沙箱是未知威脅檢測(cè)最為有效的手段FireHunter6000防火墻、IPS 、IDS、WAF等4%19%40%有效報(bào)警有

4、效處理未報(bào)警Source:Ponemon report誤報(bào)的平均損失：每年130萬(wàn)美元40%減少支出遲鈍響應(yīng)的損失：增加40%的支出在威脅事件發(fā)生后60秒內(nèi)采取行動(dòng)可以將解決違規(guī)問題的成本平均降低40應(yīng)對(duì)APT攻擊，快速、準(zhǔn)確的檢測(cè)就是降低支出沙箱的選擇標(biāo)準(zhǔn)是什么？是否能準(zhǔn)確檢測(cè)惡意文件，少誤報(bào)。目前安全產(chǎn)品誤報(bào)率驚人，真正有效的告警只占19%，準(zhǔn)確率越高越好。準(zhǔn)確沙箱作為目前最為有效的未知威脅檢測(cè)手段，其檢測(cè)結(jié)果能否共享至其他安全設(shè)備聯(lián)動(dòng)阻斷至關(guān)重要。共享性是否能全面檢測(cè)惡意文件？包括PE、office 、PDF、WPS、壓縮文件、web文件等等，越多越好。全面檢測(cè)是否能快速的完成檢測(cè)，在安

5、全事件發(fā)生后60秒里采取有效行動(dòng)，可以相比減少40%的支出。高效性對(duì)APT攻擊中惡意文件深度檢測(cè)價(jià)值：檢測(cè)APT攻擊的滲透階段和控制建立階段沙箱主要原理動(dòng)態(tài)和靜態(tài)檢測(cè)相結(jié)合，并利用機(jī)器學(xué)習(xí)，發(fā)現(xiàn)威脅虛擬環(huán)境運(yùn)行可疑文件, 天然解決惡意文件的分片分段、加殼等逃逸手段。檢測(cè)文件類型Windows 可執(zhí)行文件，EXE、dllWEB網(wǎng)頁(yè)，如檢測(cè)Javascript、Flash、JavaApplet等各種辦公文檔，如Office、PDF、WPS等各種圖片文件，如JPEG、PNP、JPG等各種壓縮文件、加殼文件華為沙箱領(lǐng)先的未知文件檢測(cè)機(jī)制?VM安全文件惡意文件安全文件華為FireHunter6000系列

6、沙箱未知文件未知文件未知文件智能行為綜合分析Office PDF WEB PE EXE JS 靜態(tài)分析動(dòng)態(tài)分析文件附加數(shù)據(jù)識(shí)別代碼片段分析變形代碼識(shí)別API調(diào)用異常分析-指令流監(jiān)控識(shí)別文件操作識(shí)別注冊(cè)表操作識(shí)別服務(wù)調(diào)用-50+文件類型檢測(cè)，全面識(shí)別未知惡意軟件File InformationSHA-256 307960772bb54ae42d87e7ad8b1c600ded893fa5Verdict MalwareSession InformationSource 00:32854Destination 2:80Application web-browsingURL /newcos102.pd

7、fBehavior SequenceTimeType Behavior0:00:19Request /international/loadpdf.php0:00:21Process Creation AcroRd32.exe Created C:WINDOWSsystem32ntvdm.exe0:00:24File Create ntvdm.exe Created C:WINDOWSTempscs1.tmp0:00:26File Write ntvdm.exe Wrote To C:WINDOWSTempscs1.tmp0:00:33File Transfer ntvdm.exe Transf

8、er C:WINDOWSTempscs1.tmp關(guān)鍵技術(shù)：操作系統(tǒng)監(jiān)控：文件操作、注冊(cè)表操作、服務(wù)、進(jìn)程操作、內(nèi)存、模塊加載、網(wǎng)絡(luò)操作多種抗逃逸躲避檢測(cè)技術(shù)：環(huán)境檢測(cè)、延時(shí)對(duì)抗、內(nèi)部混淆、交互逃逸多層次化的防御體系，實(shí)現(xiàn)檢測(cè)性能和保護(hù)效果最佳平衡，在滿載場(chǎng)景依然秒級(jí)響應(yīng)1信譽(yù)體系2輕量級(jí)沙箱3虛擬機(jī)執(zhí)行WinE4綜合威脅分析PE 啟發(fā)式檢測(cè)WEB 啟發(fā)式檢測(cè)PDF啟發(fā)式檢測(cè)Linux啟發(fā)式檢測(cè)M4重縱深檢測(cè)，檢出率達(dá)99%以上靜態(tài)檢測(cè)（病毒/文件漏洞）華為ADE（Advance Detect Engine）高級(jí)威脅檢測(cè)引擎靜態(tài)機(jī)器學(xué)習(xí)動(dòng)態(tài)機(jī)器學(xué)習(xí)第一步：NGFW 還原文件并發(fā)送給沙箱檢測(cè)第二步

9、：NGFW 查詢沙箱檢測(cè)結(jié)果并同步檢測(cè)信息同步信息包括：惡意標(biāo)簽、文件MD5、URL 鏈接等第三步：NGFW根據(jù)同步信息生成策略第四步：NGFW 依據(jù)檢測(cè)結(jié)果及預(yù)置條件確定是否進(jìn)行攔截如果配置為是：則根據(jù)MD5或者URL開啟攔截如果配置為否：則放行FireHunterNGFW秒級(jí)聯(lián)動(dòng)響應(yīng)，實(shí)時(shí)驅(qū)動(dòng)防火墻快速攔截防火墻沙箱聯(lián)動(dòng)流程文件下載文件下載請(qǐng)求Internet文件還原檢測(cè)結(jié)果基于指令集的第三代沙箱技術(shù)宏病毒腳本病毒系統(tǒng)漏洞威脅類型硬件漏洞應(yīng)用漏洞華為FireHunter6000 第三代沙箱指令集監(jiān)控內(nèi)存分析信譽(yù)及規(guī)則庫(kù)檢測(cè)全API調(diào)用檢測(cè)深度學(xué)習(xí)動(dòng)態(tài)行為檢測(cè)信譽(yù)及規(guī)則庫(kù)檢測(cè)基于VM內(nèi)部的H

10、ook有限的API調(diào)用檢測(cè)基于CPU IPT指令流層級(jí)監(jiān)控基于指令集的全API監(jiān)控業(yè)界水平：VM內(nèi)部的Hook監(jiān)控看不到指令安全硬件：CPU、內(nèi)存、硬盤Hypervisor層OSAPPOSAPPOSAPPOSAPPOSAPPMeltdown&Spectre情報(bào)和API層級(jí)函數(shù)級(jí)指令塊級(jí)無(wú)法避免逃逸指令流實(shí)時(shí)監(jiān)控能檢出指令層攻擊細(xì)顆粒度監(jiān)控：全部API調(diào)用防止沙箱躲避：惡意軟件無(wú)法探測(cè)虛擬化環(huán)境深度指令集監(jiān)控：可檢測(cè)“熔斷”、“幽靈”等硬件級(jí)漏洞利用沙箱典型部署場(chǎng)景多防火墻惡意文件檢測(cè)結(jié)果共享FireHunter與多臺(tái)防火墻互聯(lián)，并使能聯(lián)動(dòng)一臺(tái)沙箱發(fā)現(xiàn)威脅，多臺(tái)防火墻同時(shí)進(jìn)行威脅阻斷，從而提升整

11、個(gè)網(wǎng)絡(luò)的安全性。減少安全投資，互聯(lián)網(wǎng)出口發(fā)現(xiàn)威脅，全局管控部門A部門B部門C數(shù)據(jù)中心服務(wù)器區(qū)FireHunter部門A部門B部門C數(shù)據(jù)中心服務(wù)器區(qū)FireHunter旁掛交換機(jī)獨(dú)立部署部門A部門B部門C數(shù)據(jù)中心服務(wù)器區(qū)FireHunter沙箱與單防火墻聯(lián)動(dòng)部署FireHunter旁路部署在企業(yè)網(wǎng)絡(luò)匯聚處交換機(jī)，獨(dú)立接收交換機(jī)鏡像的網(wǎng)絡(luò)流量進(jìn)行還原，提取其中的文件進(jìn)行未知威脅檢測(cè)。網(wǎng)絡(luò)管理員通過(guò)查看FireHunter提供的威脅分析報(bào)告，制定相應(yīng)的安全策略，從而進(jìn)一步提升整個(gè)網(wǎng)絡(luò)的安全性。FireHunter與防火墻聯(lián)動(dòng)，使網(wǎng)絡(luò)具備防御惡意文件和網(wǎng)站等未知威脅的能力，從而提升整個(gè)網(wǎng)絡(luò)的安全性。防

12、火墻與沙箱聯(lián)動(dòng)，實(shí)現(xiàn)未知威脅在線阻斷防火墻可對(duì)加密流量進(jìn)行檢測(cè)分支1分支3分支2核心部門 部門A部門B數(shù)據(jù)中心服務(wù)器區(qū)沙箱全場(chǎng)景部署方案互聯(lián)網(wǎng)邊界出口：重點(diǎn)防范來(lái)自互聯(lián)網(wǎng)的惡意郵件、惡意web流量等分支接入邊界：避免外聯(lián)接入?yún)^(qū)域惡意文件、未知威脅擴(kuò)散，分支總部之間任意擴(kuò)散數(shù)據(jù)中心邊界：重點(diǎn)保護(hù)服務(wù)器核心資產(chǎn)，發(fā)現(xiàn)內(nèi)網(wǎng)潛伏的攻擊、惡意掃描，滲透等核心部門邊界：防范內(nèi)網(wǎng)可疑文件傳播，橫向感染核心部門典型應(yīng)用FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000流量/ECA探針流量/EC

13、A探針流量/ECA探針流量/ECA探針流量/ECA探針E沙箱全場(chǎng)景部署方案5GPSTNVPDNSSL VPN網(wǎng)關(guān)管理區(qū)AIFW上網(wǎng)行為管理邊界AIFWInternet運(yùn)維審計(jì)系統(tǒng)WAFFireHunter終端安全準(zhǔn)入系統(tǒng)互聯(lián)網(wǎng)區(qū)IPSDDoS防御FireHunter接入用戶FireHunter核心交換區(qū)核心IPSFireHunter漏洞掃描安全事件管理中心服務(wù)器區(qū)IPS數(shù)據(jù)庫(kù)審計(jì)ATIC骨干節(jié)點(diǎn)AIFW檢測(cè)清洗EDR控制中心CIS大數(shù)據(jù)安全分析Web服務(wù)器郵件服務(wù)器應(yīng)用服務(wù)器EEEEEDMZ區(qū)服務(wù)器區(qū)廣域網(wǎng)區(qū)接入用戶接入用戶EEEE接入用戶管理區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)安全策略管理平臺(tái)網(wǎng)絡(luò)控制器核心AIF

14、WEAI防火墻大型分支機(jī)構(gòu)流量探針 AIFWAIFW辦公網(wǎng)交換機(jī)核心AIFW流量探針FireHunterFireHunter流量探針FireHunterFireHunterFireHunterFireHunterFireHunterFireHunter123FireHunter產(chǎn)品介紹成功案例APT攻擊趨勢(shì)及挑戰(zhàn)目錄華為FireHunter助力北京大學(xué)校園出口安全 華為公司為北京大學(xué)設(shè)計(jì)部署了包括高端防火墻、IPS、DDoS、沙箱和大數(shù)據(jù)安全分析平臺(tái)在內(nèi)的完善的出口安全防御方案。有效保障了校內(nèi)用戶的安全。同時(shí)，北大與華為在威脅情報(bào)領(lǐng)域展開了深入的合作。3萬(wàn)臺(tái)峰值接入終端380Gbps專業(yè)IPS入侵防御最大吞吐量1 Tbps周昌令計(jì)算中心網(wǎng)絡(luò)室高級(jí)工程師”“20部署首月即發(fā)現(xiàn)發(fā)