如何應對全面安全問題（二）

無效防禦纔是WANNYCRY暴露出的更大問題

以前不少人曾與我交流過一個問題——如何看待WannaCry事件中咱們所暴露出的響應問題？但以個人我的觀點來看，在國家網信辦等相關應急機構的統一指導下，廠商針對WannaCry的應急總體上是成功的，咱們有效地遏制了它在互聯網側的大規模傳播，也有效地防止了大面積出現週一開機「中毒」的次生災害。

實際上，無效防禦纔是WannaCry事件所暴露出的更大問題。由於WannaCry自己是一個經過安全的基本動做就應該能夠防住的威脅，其自己並不是一個新的勒索軟件，實際上在此前已經出現過相應的版本。但之因此產生了如此大的影響，是由於其使用了在2017年4月14日暴露的美方軍火級的漏洞，但早在2017年3月份，微軟就已經針對該漏洞發佈了相關補丁。也就是說，在這兩個月的時間內，受感染的機器都沒有打上相應補丁。

咱們還須要看到一個問題，勒索軟件自己並非一種適合以應急響應方式進行處置的威脅，由於勒索軟件形成的事實後果是對文件進行加密，不交付贖金，就不進行解密（可是在此次的WannaCry事件中，一方面，咱們發現了其刪除原來未加密文件的方式不像其餘勒索軟件同樣很是嚴密，能夠恢復；另一方面，法國的研究者發現Windows加密的API具備必定的漏洞，若是沒有重啓，是能夠部分恢復的）。對於大部分的勒索軟件而言，文件恢復的有效性、內存解密的有效性其實都很小。

更有甚者，經過此次針對烏克蘭的冒充爲勒索***的「必加」事件能夠發現，其自己並非爲了勒索，其做業方式是，生成一個本身也解密不了的隨機密鑰去加密受害者的文件，其目的就是要破壞掉整個系統。這種破壞一旦發生只能經過備份數據進行應急，若是沒有備份數據，且一旦在防禦側沒有達成相應的防禦效果，整個威脅開始發散，那麼整個應急成本將是不可收斂的。

可見，無效防禦纔是WannaCry事件所暴露出的咱們當前的更大問題，一旦大量事件都是由於無效防禦而爆發的，那麼整個壓力就將轉嫁到態勢感知體系和相應的研判策略上。

有效防禦

此前很是流行的「暗雲」***的一個很是大的特色是，它是一個擁有Bootkit機制的***家族，經過流氓劫持和DDoS等方式牟利，根據監測，其已經在國內造成百萬量級的節點感染。它不只僅經過感染MBR的方式實現加載，並且具備一系列很是複雜的驅動機制，能夠干擾安全產品對於MBR的讀取和處置。一旦該***寫入MBR，就將造成頑固感染，處置將十分困難。

實際上，任何安全產品都不能保證其可以絕對地識別出哪一個威脅，可是咱們能夠提煉出相應的威脅行爲。在把整個病毒庫關閉以後，若是在終端防禦上來執行「暗雲」***，它就會攔截掉修改MBR的行爲，從而使其引導鏈不能成立。

防禦有效性全面下降處置成本

WannaCry勒索病毒並非一種新的威脅形式，而是一種從歷史上一脈相承的威脅形式，只是隨着近幾年比特幣和暗網的流行，才成爲一種典型的方式。所以，既然***者是要進行勒索，就必定要批量地進行文件操做，原則上來看，非受信程序進行批量文件操做就是一種威脅的行爲。

終端防禦須要內置一整套包括行爲分析、誘餌文件的分析機制。若是把WannaCry拿到終端防禦產品上執行，並把病毒庫檢測都關閉，則其不能實現有效的加密。

端點有效防禦

在此狀況下，經過主機加固、主機的邊界防護、未知威脅防護、未知威脅鑑定、APT追溯和定點清除就能夠構成端點的有效防禦。在一個行業體系內部，當大量的問題能夠發現於防護端點時，就使得須要上層態勢感知系統進行做用的相關安全事件發生全面的收斂。所以，把端點安全拋棄在態勢感知以外，是很是不明智的決定，端點既是態勢基礎的採集支撐，同時也是態勢策略有效的落實手段。

從日誌留存到全要素採集

過去以SIEM和SOC爲基礎的系統，所依賴的實際上是日誌留存。這種日誌留存的本質，不管相應對象是一個載荷，仍是一個數據包，除了應用層的系統日誌以外，更多的是基於檢測引擎和規則庫的匹配結果。咱們曾屢次介紹過，惡意代碼的檢測實際上是由歸一化檢測、精確檢測、未知檢測多個分支共同維護的體系。從流量上來看，實際上是圍繞着五元組和檢測名稱造成的結果，這就意味着對全部檢測不出來的對象所有放行。但在如此複雜的***條件下，咱們必須假定第一***波是檢測不出來的，就像在軍事鬥爭中，敵人的F-22隱形飛機飛來了，而咱們是發現不了的，那麼咱們可否實現後續的有效攔截和有效止損？

流量可靠採集

這時就產生了咱們如何在流量側進行可靠採集的問題，它不只是傳統的單包檢測，其實是對IP、域名、URL、文件、會話、帳戶信息等造成全面的採集能力，包括流檢測、包檢測、信標檢測、文件檢測、深度檢測和行爲分析等，最後從態勢的角度來看，造成支撐威脅信息、威脅行爲和威脅分佈的價值。

整個流量採集主要分紅三個步驟：

第一，實現相應的全要素採集，即從傳統的五元組採集能力擴展到現在美國人所講的十三元組採集能力；

第二，要對大量的應用側信息進行提取，以後進行多維度的對相應採集對象的檢測；

第三，在檢測自己之上還要實現基於場景賦能的深度能力賦予。

可靠採集——全要素採集

傳統的協議解析其實是基於對全部不識別的惡意代碼一概放行而造成簡單的日誌；而從全要素採集來看，咱們實際上要實現對檢測對象的膨脹化，如對http流量要從相關的主機信息、域名信息、agent等方面對大量信息進行留存，若是其中有Payload，那麼要對這個Payload進行進一步相應的解析，不管該文件是不是惡意的。