Firehunter APT沙箱安全技術(shù)方案

1、華為Firehunter APT沙箱安全技術(shù)解決方案123FireHunter產(chǎn)品介紹成功案例APT攻擊趨勢及挑戰(zhàn)目錄APT攻擊趨勢及挑戰(zhàn)數(shù)據(jù)來源：華為安全威脅情報中心2019年APT攻擊有增無減；大部分APT組織有政府背景；2019年國內(nèi)受攻擊行業(yè)主要分布在政府、央企國企、科研單位、金融和高校；從受攻擊地域上看主要集中在北京、廣西、江浙地區(qū)、四川等。文件載體的APT攻擊占據(jù)主流0Day漏洞正在商品化APT/未知威脅防御面臨的挑戰(zhàn)有95% 的網(wǎng)絡攻擊基于文件發(fā)起；其中40%利用釣魚郵件、55%利用釣魚郵件的惡意鏈接；0Day的惡意文件檢測迫在眉睫。0Day在黑市的標價40%利用釣魚郵件附件55

2、%利用釣魚郵件Web鏈接0Day漏洞一直是APT組織實施攻擊的技術(shù)制高點。商品化的0Day讓APT攻擊變得更容易。未知威脅防御已在法規(guī)標準中明確提出網(wǎng)絡安全法強調(diào)對高級持續(xù)性威脅的檢測國家電子政務外網(wǎng)標準-政務云安全要求明確提出對未知威脅的防御和態(tài)勢感知要求網(wǎng)絡安全等級保護APT/未知威脅檢測寫入等保標準2.0網(wǎng)絡安全等級保護基本要求第1部分：安全通用要求網(wǎng)絡安全等級保護測評要求 第1部分：安全通用要求123FireHunter產(chǎn)品介紹成功案例APT攻擊趨勢及挑戰(zhàn)目錄為什么需要FireHunter？FireHunter檢測機制傳統(tǒng)安全設備檢測機制80%20%傳統(tǒng)安全設備基于簽名檢測針對未知惡意

3、文件無檢測能力基于已知樣本代碼簽名匹配具備檢測滯后性未知惡意文件樣本未知、無法生成簽名FireHunter基于行為特征檢測具備未知惡意文件檢測能力檢測代碼調(diào)用的API、組件等信息檢測軟件本地的行為（文件、注冊表等）檢測軟件的網(wǎng)絡行為（上傳下載外聯(lián)等）檢測軟件代碼的結(jié)構(gòu)基于簽名威脅檢測機制仍然扮演著重要的角色，實際使用中可檢測出60%-70%威脅事件，且檢測效率較高。FireHunter不僅具備動態(tài)虛擬執(zhí)行環(huán)境模擬，同樣支持基于信譽、簽名的檢測機制檢測能力覆蓋已知威脅和未知威脅沙箱是未知威脅檢測最為有效的手段FireHunter6000防火墻、IPS 、IDS、WAF等4%19%40%有效報警有

4、效處理未報警Source:Ponemon report誤報的平均損失：每年130萬美元40%減少支出遲鈍響應的損失：增加40%的支出在威脅事件發(fā)生后60秒內(nèi)采取行動可以將解決違規(guī)問題的成本平均降低40應對APT攻擊，快速、準確的檢測就是降低支出沙箱的選擇標準是什么？是否能準確檢測惡意文件，少誤報。目前安全產(chǎn)品誤報率驚人，真正有效的告警只占19%，準確率越高越好。準確沙箱作為目前最為有效的未知威脅檢測手段，其檢測結(jié)果能否共享至其他安全設備聯(lián)動阻斷至關(guān)重要。共享性是否能全面檢測惡意文件？包括PE、office 、PDF、WPS、壓縮文件、web文件等等，越多越好。全面檢測是否能快速的完成檢測，在安

5、全事件發(fā)生后60秒里采取有效行動，可以相比減少40%的支出。高效性對APT攻擊中惡意文件深度檢測價值：檢測APT攻擊的滲透階段和控制建立階段沙箱主要原理動態(tài)和靜態(tài)檢測相結(jié)合，并利用機器學習，發(fā)現(xiàn)威脅虛擬環(huán)境運行可疑文件, 天然解決惡意文件的分片分段、加殼等逃逸手段。檢測文件類型Windows 可執(zhí)行文件，EXE、dllWEB網(wǎng)頁，如檢測Javascript、Flash、JavaApplet等各種辦公文檔，如Office、PDF、WPS等各種圖片文件，如JPEG、PNP、JPG等各種壓縮文件、加殼文件華為沙箱領先的未知文件檢測機制?VM安全文件惡意文件安全文件華為FireHunter6000系列

6、沙箱未知文件未知文件未知文件智能行為綜合分析Office PDF WEB PE EXE JS 靜態(tài)分析動態(tài)分析文件附加數(shù)據(jù)識別代碼片段分析變形代碼識別API調(diào)用異常分析-指令流監(jiān)控識別文件操作識別注冊表操作識別服務調(diào)用-50+文件類型檢測，全面識別未知惡意軟件File InformationSHA-256 307960772bb54ae42d87e7ad8b1c600ded893fa5Verdict MalwareSession InformationSource 00:32854Destination 2:80Application web-browsingURL /newcos102.pd

7、fBehavior SequenceTimeType Behavior0:00:19Request /international/loadpdf.php0:00:21Process Creation AcroRd32.exe Created C:WINDOWSsystem32ntvdm.exe0:00:24File Create ntvdm.exe Created C:WINDOWSTempscs1.tmp0:00:26File Write ntvdm.exe Wrote To C:WINDOWSTempscs1.tmp0:00:33File Transfer ntvdm.exe Transf

8、er C:WINDOWSTempscs1.tmp關(guān)鍵技術(shù)：操作系統(tǒng)監(jiān)控：文件操作、注冊表操作、服務、進程操作、內(nèi)存、模塊加載、網(wǎng)絡操作多種抗逃逸躲避檢測技術(shù)：環(huán)境檢測、延時對抗、內(nèi)部混淆、交互逃逸多層次化的防御體系，實現(xiàn)檢測性能和保護效果最佳平衡，在滿載場景依然秒級響應1信譽體系2輕量級沙箱3虛擬機執(zhí)行WinE4綜合威脅分析PE 啟發(fā)式檢測WEB 啟發(fā)式檢測PDF啟發(fā)式檢測Linux啟發(fā)式檢測M4重縱深檢測，檢出率達99%以上靜態(tài)檢測（病毒/文件漏洞）華為ADE（Advance Detect Engine）高級威脅檢測引擎靜態(tài)機器學習動態(tài)機器學習第一步：NGFW 還原文件并發(fā)送給沙箱檢測第二步

9、：NGFW 查詢沙箱檢測結(jié)果并同步檢測信息同步信息包括：惡意標簽、文件MD5、URL 鏈接等第三步：NGFW根據(jù)同步信息生成策略第四步：NGFW 依據(jù)檢測結(jié)果及預置條件確定是否進行攔截如果配置為是：則根據(jù)MD5或者URL開啟攔截如果配置為否：則放行FireHunterNGFW秒級聯(lián)動響應，實時驅(qū)動防火墻快速攔截防火墻沙箱聯(lián)動流程文件下載文件下載請求Internet文件還原檢測結(jié)果基于指令集的第三代沙箱技術(shù)宏病毒腳本病毒系統(tǒng)漏洞威脅類型硬件漏洞應用漏洞華為FireHunter6000 第三代沙箱指令集監(jiān)控內(nèi)存分析信譽及規(guī)則庫檢測全API調(diào)用檢測深度學習動態(tài)行為檢測信譽及規(guī)則庫檢測基于VM內(nèi)部的H

10、ook有限的API調(diào)用檢測基于CPU IPT指令流層級監(jiān)控基于指令集的全API監(jiān)控業(yè)界水平：VM內(nèi)部的Hook監(jiān)控看不到指令安全硬件：CPU、內(nèi)存、硬盤Hypervisor層OSAPPOSAPPOSAPPOSAPPOSAPPMeltdown&Spectre情報和API層級函數(shù)級指令塊級無法避免逃逸指令流實時監(jiān)控能檢出指令層攻擊細顆粒度監(jiān)控：全部API調(diào)用防止沙箱躲避：惡意軟件無法探測虛擬化環(huán)境深度指令集監(jiān)控：可檢測“熔斷”、“幽靈”等硬件級漏洞利用沙箱典型部署場景多防火墻惡意文件檢測結(jié)果共享FireHunter與多臺防火墻互聯(lián)，并使能聯(lián)動一臺沙箱發(fā)現(xiàn)威脅，多臺防火墻同時進行威脅阻斷，從而提升整

11、個網(wǎng)絡的安全性。減少安全投資，互聯(lián)網(wǎng)出口發(fā)現(xiàn)威脅，全局管控部門A部門B部門C數(shù)據(jù)中心服務器區(qū)FireHunter部門A部門B部門C數(shù)據(jù)中心服務器區(qū)FireHunter旁掛交換機獨立部署部門A部門B部門C數(shù)據(jù)中心服務器區(qū)FireHunter沙箱與單防火墻聯(lián)動部署FireHunter旁路部署在企業(yè)網(wǎng)絡匯聚處交換機，獨立接收交換機鏡像的網(wǎng)絡流量進行還原，提取其中的文件進行未知威脅檢測。網(wǎng)絡管理員通過查看FireHunter提供的威脅分析報告，制定相應的安全策略，從而進一步提升整個網(wǎng)絡的安全性。FireHunter與防火墻聯(lián)動，使網(wǎng)絡具備防御惡意文件和網(wǎng)站等未知威脅的能力，從而提升整個網(wǎng)絡的安全性。防

12、火墻與沙箱聯(lián)動，實現(xiàn)未知威脅在線阻斷防火墻可對加密流量進行檢測分支1分支3分支2核心部門 部門A部門B數(shù)據(jù)中心服務器區(qū)沙箱全場景部署方案互聯(lián)網(wǎng)邊界出口：重點防范來自互聯(lián)網(wǎng)的惡意郵件、惡意web流量等分支接入邊界：避免外聯(lián)接入?yún)^(qū)域惡意文件、未知威脅擴散，分支總部之間任意擴散數(shù)據(jù)中心邊界：重點保護服務器核心資產(chǎn)，發(fā)現(xiàn)內(nèi)網(wǎng)潛伏的攻擊、惡意掃描，滲透等核心部門邊界：防范內(nèi)網(wǎng)可疑文件傳播，橫向感染核心部門典型應用FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000流量/ECA探針流量/EC

13、A探針流量/ECA探針流量/ECA探針流量/ECA探針E沙箱全場景部署方案5GPSTNVPDNSSL VPN網(wǎng)關(guān)管理區(qū)AIFW上網(wǎng)行為管理邊界AIFWInternet運維審計系統(tǒng)WAFFireHunter終端安全準入系統(tǒng)互聯(lián)網(wǎng)區(qū)IPSDDoS防御FireHunter接入用戶FireHunter核心交換區(qū)核心IPSFireHunter漏洞掃描安全事件管理中心服務器區(qū)IPS數(shù)據(jù)庫審計ATIC骨干節(jié)點AIFW檢測清洗EDR控制中心CIS大數(shù)據(jù)安全分析Web服務器郵件服務器應用服務器EEEEEDMZ區(qū)服務器區(qū)廣域網(wǎng)區(qū)接入用戶接入用戶EEEE接入用戶管理區(qū)互聯(lián)網(wǎng)接入?yún)^(qū)安全策略管理平臺網(wǎng)絡控制器核心AIF

14、WEAI防火墻大型分支機構(gòu)流量探針 AIFWAIFW辦公網(wǎng)交換機核心AIFW流量探針FireHunterFireHunter流量探針FireHunterFireHunterFireHunterFireHunterFireHunterFireHunter123FireHunter產(chǎn)品介紹成功案例APT攻擊趨勢及挑戰(zhàn)目錄華為FireHunter助力北京大學校園出口安全 華為公司為北京大學設計部署了包括高端防火墻、IPS、DDoS、沙箱和大數(shù)據(jù)安全分析平臺在內(nèi)的完善的出口安全防御方案。有效保障了校內(nèi)用戶的安全。同時，北大與華為在威脅情報領域展開了深入的合作。3萬臺峰值接入終端380Gbps專業(yè)IPS入侵防御最大吞吐量1 Tbps周昌令計算中心網(wǎng)絡室高級工程師”“20部署首月即發(fā)現(xiàn)發(fā)