專(zhuān)家個(gè)人簡(jiǎn)介

? ? ?在前兩期文章“華為勒索攻擊防御的四層防護(hù)網(wǎng)之邊界入侵防線”、“華為3大利器助你防護(hù)勒索病毒文件”中，我們分別從網(wǎng)絡(luò)邊界及勒索病毒文件檢測(cè)的角度，對(duì)勒索攻擊各個(gè)攻擊階段使用的各種攻擊技術(shù)的縱深檢測(cè)方案進(jìn)行了介紹?？梢钥吹?，勒索攻擊從初始入侵到加密勒索整個(gè)過(guò)程中，從網(wǎng)絡(luò)和主機(jī)中可以觀測(cè)到諸如攻擊IP、惡意攻擊負(fù)載、命令控制服務(wù)器C&C地址、惡意樣本、異常主機(jī)行為等可觀測(cè)數(shù)據(jù)，這構(gòu)成威脅檢測(cè)的基礎(chǔ)。本期重點(diǎn)從威脅信息（Threat Intelligence）在華為勒索攻擊縱深防御全流程使能的角度，介紹威脅信息如何增強(qiáng)勒索軟件的防御。 以一個(gè)中小型企業(yè)場(chǎng)景為例，如下圖所示，威脅信息技術(shù)對(duì)華為勒索軟件檢測(cè)使能重點(diǎn)體現(xiàn)在幾個(gè)方面：1事前預(yù)警在資產(chǎn)評(píng)估服務(wù)中，基于漏掃及威脅信息中的漏洞現(xiàn)網(wǎng)實(shí)際利用情況對(duì)資產(chǎn)風(fēng)險(xiǎn)進(jìn)行排序，使企業(yè)將漏洞防護(hù)工作聚焦于已經(jīng)產(chǎn)生或者實(shí)際可產(chǎn)生重大危害的漏洞上。2事中防御針對(duì)勒索軟件傳播的關(guān)鍵階段，提供多重的情報(bào)使能。其中入侵階段，在邊界防護(hù)和響應(yīng)服務(wù)中，基于威脅信息中的IP類(lèi)威脅信息使能自動(dòng)化響應(yīng)，直接將勒索攻擊阻斷在入侵嘗試階段。在惡意軟件或勒索軟件傳播階段，在下一代防火墻/天關(guān)、以及EDR的文件檢測(cè)模塊中，基于威脅信息中的文件信譽(yù)對(duì)已知的勒索軟件快速檢測(cè)。惡意軟件及勒索軟件植入運(yùn)行后，如果存在C&C外聯(lián)，則基于DNS過(guò)濾、本地惡意域名庫(kù)等情報(bào)能力進(jìn)行C&C檢測(cè)，防止僵尸網(wǎng)絡(luò)等惡意軟件部署勒索軟件，或阻斷勒索軟件的外聯(lián)請(qǐng)求。3事后響應(yīng)針對(duì)勒索攻擊事件中涉及的攻擊IP、域名、惡意文件等，可以通過(guò)威脅信息進(jìn)一步調(diào)查，獲得更豐富的上下文信息。 ?下面重點(diǎn)就勒索攻擊事前和事中華為威脅信息提供的能力（即圖中的①②③④）進(jìn)行重點(diǎn)說(shuō)明。

一、 漏洞可利用信息

基于華為卓越的入侵防御能力、設(shè)備遙測(cè)能力及防火墻市場(chǎng)占有率，可以持續(xù)地感知到現(xiàn)網(wǎng)真實(shí)被用于入侵攻擊的漏洞、攻擊的時(shí)間、攻擊的次數(shù)等信息。根據(jù)該信息，企業(yè)可以根據(jù)其資產(chǎn)暴露位置、漏洞狀態(tài)、漏洞實(shí)際被利用情況，優(yōu)先處理處于互聯(lián)網(wǎng)邊界、且已經(jīng)被攻擊者利用的漏洞。 漏洞可利用信息的生產(chǎn)原理如下圖所示。 ?核心的能力包括： 1.日均億級(jí)的入侵攻擊感知，覆蓋云、邊流量，快速感知漏洞攻擊情況。 2.安全智能化中心全自動(dòng)化威脅信息生產(chǎn)，準(zhǔn)實(shí)時(shí)生產(chǎn)漏洞利用信息。

二、威脅IP信息

互聯(lián)網(wǎng)上充斥著各類(lèi)攻擊，據(jù)統(tǒng)計(jì)39%的流量來(lái)自于惡意攻擊者。相應(yīng)的，在安全設(shè)備上每天可以檢測(cè)到數(shù)以萬(wàn)計(jì)、百萬(wàn)計(jì)，甚至億級(jí)的攻擊日志，很容易造成安全人員的告警疲勞。另一方面，網(wǎng)絡(luò)入侵距離勒索或許僅僅一步之遙，其區(qū)別僅僅是漏洞利用后投遞的載荷鏈接是否為勒索軟件。因此，謹(jǐn)慎地對(duì)待每一次攻擊十分有必要。如果可以阻斷任何一次攻擊嘗試，那么就可以大幅度地提升攻擊的成本，降低勒索軟件的攻擊概率。 在華為乾坤邊界防護(hù)與響應(yīng)服務(wù)中，基于規(guī)則、智能算法和威脅IP信息，華為實(shí)現(xiàn)了99%的告警自動(dòng)化，對(duì)每一個(gè)確定為惡意的IP進(jìn)行封堵，極大地提升攻擊成本。 威脅IP信息生產(chǎn)的核心原理如下圖所示。 ?核心的能力包括： 1.日均十億級(jí)的攻擊事件感知，覆蓋蜜罐攻擊、入侵攻擊、僵木蠕攻擊、DDoS攻擊、WEB攻擊等各類(lèi)事件。 2.安全智能中心全自動(dòng)化威脅信息生產(chǎn)，累計(jì)千萬(wàn)級(jí)威脅IP信息，42億IP基礎(chǔ)信息。 3.威脅事件中攻擊IP覆蓋90%以上，暴力破解覆蓋95%以上，可有效輔助攔截基于RDP爆破的勒索攻擊。 4.支持威脅分級(jí)、詳細(xì)的標(biāo)簽分類(lèi)，支持攻擊IP歷史行為分析。

三、 文件信譽(yù)

一旦入侵成功執(zhí)行，惡意軟件通過(guò)網(wǎng)絡(luò)傳輸?shù)侥繕?biāo)設(shè)備，在流量或者主機(jī)這兩個(gè)檢測(cè)點(diǎn)均可以利用威脅信息的已知檢測(cè)能力，快速地基于文件HASH進(jìn)行勒索軟件的檢測(cè)。 華為文件信譽(yù)的關(guān)鍵能力包括：

1.累計(jì)PB級(jí)惡意文件數(shù)據(jù)積累，支撐對(duì)各類(lèi)惡意文件檢測(cè)能力研究和開(kāi)發(fā)，如基于人工智能的檢測(cè)、基于行為的檢測(cè)等。

2.累計(jì)十億級(jí)惡意文件威脅信息數(shù)據(jù)，支撐設(shè)備快速識(shí)別勒索軟件。

四、 失陷檢測(cè)指標(biāo)IoC

部分勒索軟件通過(guò)釣魚(yú)或者botnet傳播，或者從另外角度，即使有些釣魚(yú)或者具備命令與控制能力的惡意軟件沒(méi)有傳播勒索軟件，企業(yè)也必須切斷C&C控制通道，否則，攻擊者通過(guò)具備命令與控制的惡意軟件可以在任何時(shí)候安裝勒索軟件，它使得企業(yè)始終處于可能被勒索攻擊的風(fēng)險(xiǎn)之下。華為提供的IoC類(lèi)威脅信息中不僅包含了遠(yuǎn)控類(lèi)惡意軟件的C&C地址，還包括了釣魚(yú)、挖礦、勒索攻擊相關(guān)的IoC。它們集成到天關(guān)或者華為乾坤中的惡意域名檢測(cè)能力中，幫助企業(yè)快速發(fā)現(xiàn)失陷主機(jī)。

失陷檢測(cè)指標(biāo)IoC生產(chǎn)的核心原理如下圖所示。

核心能力包括：

1.千萬(wàn)級(jí)IoC，包括DGA、挖礦、惡意下載站地址、釣魚(yú)、C&C等。

2.日均千億級(jí)DNS日志分析及智能計(jì)算，發(fā)現(xiàn)高可疑域名；累計(jì)百億級(jí)PDNS數(shù)據(jù)積累，可持續(xù)研究發(fā)現(xiàn)各類(lèi)惡意地址。

3.基于沙箱的大規(guī)模惡意樣本分析及人工研判，及時(shí)發(fā)現(xiàn)新的C&C地址。

結(jié)束語(yǔ)

勒索攻擊技術(shù)在不斷的演進(jìn)，威脅信息技術(shù)通過(guò)嵌入到縱深防御的各個(gè)階段，發(fā)揮“一點(diǎn)發(fā)現(xiàn)，全局使能”的重要作用，持續(xù)地提升防御的效率，增加攻擊的成本。不僅如此，在攻擊前，通過(guò)宏觀的攻擊洞察，威脅信息技術(shù)還指導(dǎo)防守者如何集中資源，解決重點(diǎn)的安全問(wèn)題。攻擊后，通過(guò)其他的觀測(cè)指標(biāo)還可以幫助進(jìn)行攻擊響應(yīng)，攻擊溯源等。

關(guān)注“數(shù)據(jù)通信視頻號(hào)”獲得更多干貨～往期精彩推薦