金山私有云安全系统技术白皮书.pdf-道客多多

资源描述

2、。另外，金山安全系统保留修改本文件和本文件中所描述产品的权力。如有修改，恕不另行通知 .3目录版权声明 .2目录 31、背景介绍 41.什么是 APT攻击 .5.2APT攻击是否真实存在 .51.3传统安防软件面临的问题 62、金山私有云安全系统技术原理 72.1金山私有云是什么 7.金山私有云如何工作 .721建立可信应用集合 92定制主机安全策略 923程序动态安全性鉴定 .93、金山私有云安全系统构架 .13.1金山私有云安全系

3、统组件 .13.1.金山私有云安全系统后端云平台 .122金山私有云安全系统客户端软件 154、金山私有云安全系统特性 .174.1专属的定制化服务 .17.2智慧的云计算架构 .174.3可伸缩的安全平台 .17.对比传统安防软件 .175、金山私有云安全系统典型案例 196、服务支持 241、背景介绍随着网络的快速发展，今天的网络正变得愈发的智能和开放，使得企业员工、客户以及合作伙伴间，可以实时共享海量的信息与数据。然

4、而信息获取渠道，却同样给攻击者提供了便利。无论是层出不穷的恶意软件，还是快速更新的新应用，与关键数据有关一切，都可能成为攻击者窥视的猎物。如今攻击者已将目标锁定在更精确的范围，并随之出现了新的网络安全威胁： APT（ AdvancedPersitentThreat） -高级持续性威胁。这种威胁使得安全技术提供商束手无策，更进一步的可能破坏国家的电信、金融、电力、交通，甚至安全防护达到最高

5、级别的核工业设施。简言之， APT具有极强的隐蔽能力，通常是利用网络中应用程序漏洞来形成攻击者所需 C&网络； APT攻击同时具有很强的针对性，攻击触发之前针对目标收集大量关于业务流程、目标系统使用情况等信息； APT攻击是各种社会工程学攻击与各类 0day利用的综合体。下图说明了一次常见的 APT攻击过程：图 1.典型的 APT攻击流程目前，国际上已将防范 APT攻击定位为国家

6、安全防御战略的重要环节，其重要程度已5经超越了恐怖主义，提升为第一位的国家安全威胁。某国甚至公开宣布建立网络攻击部队，而该部队使用的主要武器正是 APT攻击工具。美国国防部的 HighLevl网络作战原则中，明确指出针对 APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。1.什么是什么是什么是什么是APT攻击攻击攻击攻击首先 ,APT攻击具有极强的隐蔽能力和破坏性。 APT攻击通常是利用机构网络中，应用程序

7、漏洞来形成攻击者所需 C&网络；不同于普通病毒， APT病毒不会广泛散播，启动和激活的条件也非常复杂，其破坏的突然性和破坏力之大，从某种程度上讲，相当于 IT领域的精确制导武器。其次 ,APT攻击具有很强的环境突破能力。 APT攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息，情报收集的过程更是社会工程学的完美展现；当然针对被攻击环境的各类 0day漏洞收集更是必不可少的环节。第三 ,A

8、PT攻击只针对高价值数据目标。不同于以往的常规病毒， APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起 APT攻击所需的技术壁垒和资源壁垒，要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户，而是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。1.2APT攻击是否真实存在攻击是否真实存在攻击是否真实存在攻击是否真实存在由于 APT攻击的异常隐蔽性，通常用户都

9、会对 APT攻击的存在性存在疑问：我的系统否已经被 APT感染？业务网络是完全封闭的， APT是否有机会感染其中的主机？201年著名的某国核设施被攻击事件，第一次向世人展示了 APT攻击的巨大威力。这次攻击是通过工业控制系统漏洞发起的，破坏了某国设施转速器的控制系统。据称，这次APT攻击可能导致该国核进程推迟 3年之久。从这次攻击行为，可以很清楚的看到如下特点：6APT型网络病毒可能通过任何管道进入 “

10、密闭 ” 的隔离网络系统。APT攻击只针对高价值数据目标发动攻击。APT攻击针对网络的巨大破坏力大足可影响到国家和地区稳定。APT攻击可绕过全球安全技术监控，而偷偷潜伏起来，长时间未被发现。结合金山安全系统处理 APT攻击事件的现场经验，并对国际上出现的安全事件分析，我们可以得到唯一答案： “ 网络中运行的数据越重要（敏感），服务器 &终端机执行的操作越重要（敏感），其被 APT攻击感染的几率就越大 ” 。1

11、.3传统安防软件面临的问题传统安防软件面临的问题传统安防软件面临的问题传统安防软件面临的问题最新一次的 APT攻击效果技术试验中，一组研究人员收集并分析了 82种新电脑病毒，并在 40种杀毒软件产品中进行了测试。尽管这些产品多数都来自业内知名厂商，但这些引擎对于收集到的 82种电脑病毒初始探测率却不足 5%。问题源于通用杀毒软件与生俱来的被动性。正如医疗研究人员在开发疫苗前必须首先研究病毒一样，杀毒软件制造商同样要首先俘获病毒

12、，并探测特征，然后才能编写杀毒程序，这就是杀毒软件天生的软肋。美国市场研究公司 IDC网络安全分析师菲尔霍齐穆斯 (PhilHochmuth)说， “以代码特征为基础的传统恶意软件探测方式已经无法顺应时代的发展。 ”，就是说传统杀毒软件过分依赖黑名单特征码的安全观念，已经不能适应最新最专业的网络安全威胁了。72、金山私有云安全系统技术原理针对 APT攻击行为的检测，需要构建一个多维度的安

13、全模型。简单来说，新的主机安全防御体系的构建，需要做到一切可见、一切可知，一切尽在掌握。金山安全系统经过深度分析用户现实环境，以及最新 APT攻击案例，依托多年安全技术与经验积累打造的基于私有云平台的主机安全解决方案，着重实时掌控主机 IT环境变化，应对复杂的 APT攻击防范安全需求。 2.1金山私有云是什么金山私有云是什么金山私有云是什么金山私有云是什么金山私有云安全系统是金山安全系统有限公司最新开发的一款防御

14、APT攻击的高级主机安防系统。简单来讲，金山私有云安全系统是一种以私有云技术为基石，以可信应用控制和主机安全策略为主线，以程序动态安全分析为手段的 APT攻击防御系统。从某种角度来说，如果说 APT攻击是 IT世界的精确制导武器，那么金山私有云安全系统就是针对这种武器的导弹防御系统。 2.金山私有云如何工作金山私有云如何工作金山私有云如何工作金山私有云如何工作金山私有云安全系统的主要功能是防御 APT攻击，对于 APT的防御，需要

15、建立一套完整的安全体系，而非单纯依靠杀毒软件附带的黑名单。简言之就是在对组织机构内部建立一个 “ 可信应用集合 ” ，用这个集合来掌控、洞察、提升和优化内部网络主机的安全软件环境。有了这个集合，就能够将传统安防软件的 “ 泛安全逻辑 ” 转变为 “ 精确安全逻辑 ” ，再配合主机安全策略，和对未知文件的捕获和后期安全性分析，以实现对 APT的防御。如下图：8图 2.1可信应用集合划分精确黑白世界总体来讲，使用

16、金山私有云安全系统防范 APT攻击，分为以下几个具体的步骤：建立专属可信应用基线【白名单防御】定制主机安全策略【未知文件处置策略】程序动态安全性鉴定【未知文件安全性分析】如下图：图 2.金山私有云安全系统三要素921建立可信应用集合对需要防护的主机进行应用扫描，获取这些主机中所有可执行体集合，并将该集合与云端服务器的可信应用库进行匹配，以确认所有可执行体的安全性，剔除不安全的执行体，收集未知安全性的

17、执行体，从而形成组织机构自有的知识库。这个操作将企业内部主机上的所有文件划分为：可信的（白名单） +恶意的（黑名单） +未知的（灰名单）。22定制主机安全策略定制主机的强制和弹性行为准则，定制针对灰名单文件的处置方案，例如禁止未知文件执行，未知文件上报，对未知文件的执行日志记录或者审计等，以便在未知文件安全性尚未确认时，确保重要主机的安全性。 23程序动态安全性鉴定对 “ 可信应用集合

18、” 挑出来的未知文件（灰文件）做后期的检测，将灰名单文件送入云端程序动态分析鉴定器进行鉴定，以确认灰名单中文件是否安全。如果文件安全，则转为白名单，否则转入黑名单。基本逻辑用流程示意图如下：APT攻击可能存在的区域主机内所有可执行体集合可信应用基线（白名单）恶意执行体集合（黑名单）未知执行体集合（灰名单）主机应用环境监控 &扫描云端可信背景知识库

19、云端威胁背景知识库云端程序动态分析系统鉴定为可信安全执行体鉴定为威胁 &非法执行体主机 1主机 2主机 3受限主机：未知文件禁止执行主机 1主机 2主机 3 主机 1主机 2主机 3审计主机：未知文件审计执行开放主机：未知文件放行12 3图 2.3金山私有云安全系统运行逻辑10根据以上行为步骤，我们可以了解到金山私有云安全系统的基本运行机制：可信应用集合的建立是解决

20、APT问题的 “ 关键 ” ：首先根据用户的具体需求和使用环境，自动化建立主机的可信应用集合。根据这把尺子，彻底地消除各种已知、未知威胁，使得所有威胁得到有效控制，没有机会在网络内部活动。可信应用基线的管理是解决 APT问题的 “ 本质 ” 。可信应用基线的日常管理是解决问题的 “ 本质 ” 。知识库的建立，使得用户有了基本的安全底线，但知识库并非静态数据，而是动态集合，需根据用户环境

21、的变化而变化。所以知识库的高效自动化管理，才是 APT防御系统的实质作用。13、金山私有云安全系统构架面对愈发严峻的 APT攻击行为， IT管理者需要在内部实施更加智能的 IT主机运维安全解决方案，通过高性能的云安全运维平台，实现网络运行环境的可控、可信、可视、可审计、可回溯，真正实现 IT管理者对网络环境的自主掌控。本章节将阐述利用金山私有云安全系统，通过为企业构建开放式的私有

22、云安全运维平台，为企业提供全面的 APT防御能力。3.1金山金山金山金山私有云安全系统组件私有云安全系统组件私有云安全系统组件私有云安全系统组件金山私有云安全系统是一套复杂的网络软件系统，总体上来说，分为后端云平台系统与主机端驻留软件两部分构成，后台云平台系统又可以按照功能划分为：分布式的自动采集服务器、云安全策略中心、文件云鉴定器、环境基线服务器、客户端管理服务器、日志审计和鉴权服务中心等多个模块。整个私有云系统

23、各个部件部署关系如下图：图3.1金山私有云安全系统功能组件123.1.金山私有云安全系统后端云平台金山私有云后端云平台，承载了整个私有云的核心功能，负责对所有客户端提交的可信应用请求进行匹配，返回文件的安全属性；收集整个系统中各个主机环境中的未知文件（灰文件）；对灰文件进行安全性鉴定；定制和分发系统安全策略；收集系统各主机发送的安全日志，并进行审计和数据挖掘；对管理用户角色进行鉴权和分配。自动采集服务

24、器：自动采集服务器负责对系统中发现的灰文件进行在线收集，将灰色文件按照用户定制的安全策略，集中到自动采集服务器中，以便后期自动鉴定服务器对采集服务器中的文件，进行自动化安全性鉴定。金山私有云安全系统的自动采集服务器后台，使用了先进的大数据挖掘技术，能够从大量的灰色文件中，按照文件尺寸、全系统分布广度、文件调用关系、存在时间序列等组合向量模型，从大量灰色文件中，挑出最具危险性的

25、文件，优先进行安全性鉴定。自动采集服务器操作界面如下图：图 3.2私有云未知文件收集和鉴定云安全策略中心：在灰文件安全性被确认之前，用户需要使用安全策略对灰文件存在和活动进行限定，云安全策略中心负责定义和下发用户定制的安全策略。安全策略分为四个逻辑组件，用来描述特定环境下的安全处置策略，如下图：13受控对象场景安全属性动作文件扫描系统防御边界防御黑白灰提示隔离放行日志主机群组用户 /

26、用户组图3.主机安全策略的逻辑模型受控对象：说明了策略需要控制的作用范围，可以是主机、群组或者用户（组）场景：可执行文件在系统中的状态文件扫描：可执行文件由本地程序生成。系统防御：是新的执行体被调用前触发。边界防御：可执行文件由外界进入系统时触发。可能进入系统内部的途径有：USB拷贝、网络拷贝、 IE下载、专用工具下载、即时通讯软件传送、电子邮件附件等。安全属性：文件特征码对比知识库后的结果，以识别该

27、文件的安全属性动作：在满足前三者的情况下，主机驻留进程采用的处理动作。金山私有云安全系统提供四个默认的安全策略供用户使用：受限计算机：禁止灰文件执行，适用于重要的数据服务器或者业务操控主机。重要计算机：提示用户是否允许灰文件，由用户自己决定，适用于和重要服务器直接连接的配置服务器，或关键用户的主机。审计计算机：允许灰文件执行，并向后台发送审计日志，适用于安全级别要求中等的计算机。开放计算机

28、：允许灰文件执行，适用于普通办公用计算机。金山私有云主机安全策略配置界面如下图：14图 3.4主机安全策略配置安全属性分析器：自 206年至今，金山已独立开发使用的 30余款云鉴定器，相当于不同的病毒分析方法，涵盖了启发式分析、虚拟机、沙箱技术、主动防御技术等多种复杂的识别引擎。依赖云端服务器的强大性能和分布式计算能力，云鉴定很快就可以得出结论： 90%的文件在金山私有云全系统中鉴

29、定完毕仅需 30秒。文件云鉴定器逻辑构成如下图：图 3.5金山私有云安全系统文件云鉴定器客户端管理服务：客户端管理服务器负责对所有安装了私有云安全系统客户端的主机提供基本的心跳信息，收集主机配置，以及客户端补丁信息，根据终端事件日志，对主机进行安全性评估。客户端管理服务器中装载了业界领先的 AP识别和最全的可信应用库，强化了金山对15未知应用和恶意行为的识别和检测率，将

30、为用户提供无与伦比的 APT威胁检测和响应能力。金山私有云特有的云端可信应用库，是目前国内最大最全面的企业级终端运维基线数据库，目前已收录基线各种策略规则 120余万条，可信文件识别率达到 9.7%，可帮助管理员快速精确鉴别企业内部各类已有应用。环境基线服务器同时还提供已知恶意代码知识库，收录了目前国内最大的恶意代码 180余万条。图 3.6未知文件主机追踪日志审计和鉴权服务器：日志审计服务器负责收集

31、客户端和云平台本身产生的各类日志信息，包括客户端安全日志，云平台配置更改日志，云平台安全日志，文件安全鉴定日志，安全策略违规日志，可信库变更日志等。并对日志进行审计和分析，提供全网最新的安全趋势图表。鉴权服务器用于存储管理用户和主机鉴权关系，以便进行虚拟云权限分割时，可以在主中心外划分虚拟云中心节点。3.1.2金山私有云安全系统客户端软件金山私有云安全系统客户端软件是轻载型主机客户端驻留

32、程序，其稳定性经过多年云安全运维检验，其核心组件经过上亿客户端实际考验。金山私有云安全系统客户端软件会在系统防御，边界防御，文件匹配三层防御圈的保护下，拦截可能进入系统内核层的任何可执行体，并同步向私有云中心发起查询请求。客户端软件会根据查询请求的结果，决定是否允许执行体进入系统调度。金山私有云客户端软件具备如下功能：16可信应用扫描：扫描主机本地的所有可执行体，并与云中心知识库进

33、行对比，确认本地可信应用集合。恶意软件发现和清除：扫描主机本地软件环境，并与云中心知识库进行对比，找到并清除可能的恶意代码执行体。可信应用环境锁定：脱机或在线状态下，对主机本地可执行体集合进行强行锁定，禁止任何变化，以保障主机稳定运行。未知文件上报：将后台知识库未能识别安全性的文件上报到云中心平台，以便进一步进行安全性审计和鉴定。强制安全策略执行：接受并执行云策略中心下

34、发的安全防护策略，限定灰文件的存在范围和执行范围，以便在灰文件安全性得到确认之前，保障系统安全性。安全事件日志上报：上报本地发生的各类安全事件。金山私有云安全系统客户端执行受限计算机安全策略，拦截未知蠕虫病毒示意图：图 3.7受限计算机拦截未知威胁174、金山私有云安全系统特性4.1专属的定制化服务金山私有云安全系统不在依据通用的黑名单病毒库，保护主机系统，而是根据用户的实际环境，抽象出可信应用

35、集合知识库，配合以定制化的安全策略和程序动态安全分析器，对重要数据资产进行动态保护。有效避免了传统主机安全防护软件的局限性，最大限度的按照用户实际环境，对主机环境采取特定的保护措施。尤其对于特定的精确制导 APT攻击，具有良好的洞察力和反制能力，非常适合保护关键领域的敏感数据服务器。 4.2智慧的云计算架构金山私有云安全系统后台，充分利用了云计算技术的分布式计算和存储功能，使得在保证运算性能的前

36、提下，为前端主机提供更全面的知识库匹配服务，未知文件收集服务和程序动态安全性鉴定服务。前台驻留程序充分的小、轻、快（前端程序运行空间小于 10M，远低于普通的安防类软件）。后台云计算平台可以根据实际负载环境，进行线性扩充，使得整个系统适用于各类办公终端，重载的数据服务器，或者低端配置的业务前端系统等。4.3可伸缩的安全平台在搭载了相应的后台服务模块后，整个系统可以作为企业内部

37、云应用的扩展平台，轻松搭建企业专属的各类云应用，帮助企业真正走入云时代。4.对比传统安防软件项目金山私有云安全系统网络版杀毒软件特点智能安全基线；实时威胁防御；动态安全策略；终端全生命周期管理；领先的云计算技术C/S架构；主动防御+特征匹配；终端管理功能不足；有限的云安全。18部署方式需要对用户业务环境充分理解；实施动态的安全基线；简单快速的客户端统一部署。部署系统控制中心；多种客户端部署选择；可选择性的进行防毒网关的联动；性能低于10M的系统资源占用，可用性强。通常会占用10M左右的系统资源，发生扫描动作时，需占用大量系统资源

38、。威胁响应可实时发现并响应威胁，对于异常行为，管理员可自行制定策略，实时规避风险。需要杀毒软件提供商确认威胁，并升级特征库，通常需要12天时间，隔离网威胁响应能力将存在更大的延迟。内容安全支持未知威胁检测与阻断，对0day攻击具有防御能力；支持系统关键未知文件修复；支持0day攻击防御支持病毒查杀；不支持0day攻击防御；监控能力提供实时的文件级风险监控基于特征码的威胁监控195、金山私有云安全系统典型案例国内某大型跨国 IT企业，亟需引进成熟的私有云解决方案，帮助企业建设基于云安全技术的 APT攻击防御体系，实

39、现企业 IT运维部门自主可控的 APT查杀与审计服务，提高企业 IT环境可用性与主机安全防御能力。具体需求如下：提供黑白文件，可疑木马样本上报等服务；维护私有特征库，查询、更新文件、网址特征记录，统计感染恶意软件信息；实现企业自建私有云办公平台的功能融合，实现精确的预警、查杀和文件审计功能；提供主动的未知攻击行为鉴定与防护解决方案，提高终端安全防御能力。我们使用金山私有云安全系统为其实施

40、了 APT攻击防御工程，整体解决方案如下图所示：图 5.1某跨国 IT公司私有云部署示意图首先在该公司内部建立了两个服务器集群：可信应用匹配服务器，由金山负责提供背景库的特征资料（可信应用库和病毒库）。自动程序行为分析服务器，负责对未知文件进行动态安全性鉴定。20在该公司内部需要监控的主机上，安装了金山私有云客户端监控软件，负责对所有主机中的新可执行体进行监控和扫描。当私有云客户端监控进程，发现被执行

41、体载入事件触发时，在其载入系统之前，提取特征码，并送入白名单查询服务器进行查询。私有云客户端进程监控的执行体包括可执行文件，可被程序动态载入的动态链接库等。当系统产生了新的可执行体时，后台匹配服务器会给出结果为灰色，这类文件的处理步骤参见 6）。后台高性能并发查询服务器，会迅速给出该执行体在当前知识库中的黑白灰三色定义。客户端监控程序根据收到的服务器回应，执行相应的处理动作：如果返回结果是

42、黑（威胁文件），禁止执行，并隔离执行体。如果返回结果是白（可信文件），通过审查，继续执行。如果返回结果是灰（未知文件），送入云端收集服务器，并根据终端当前被指定的安全级别执行相应操作：受限计算机：禁止该文件执行重要计算机：提示用户是否允许，由用户自己决定。审计计算机：允许执行，并向后台发送审计日志开放计算机：允许执行。由该公司的 IT安全管理团队，对系统中新上报的灰色文件，根据出现时间，分布

43、广谱性，来源介质，文件自身属性，文件所在机器的重要性等向量，对后台收集到的文件集合进行数据挖掘和分析，筛选出最需要关注的文件，将这些文件送入程序动态分析鉴定器评分。根据鉴定器评分的结果，对灰色文件进行黑白判定，并提取特征码，加入云端用户自定义的黑白库中，并转入步骤 3）。21通过部署金山私有云安全系统，该企业 IT管理团队可对总部与全球各分支机构进行实时统一的安全策略管理，确保了企业 IT环境的稳定运营，显著提升了主机的可用性，实现了企业环境中恶意软件检测、清除、审计、溯源的完整的安全运维体系，有效杜绝了企业关键信息系统的泄露途径。26、服务支持如果您希望了解更多关于金山私有云安全系统的详细信息，请登录w.ejinshan.et或直接拨打我们的客服电话 403909。北京金山安全管理系统技术有限公司地址 :北京市海淀区中关村大街 1号海龙大厦 14层Email:

展开阅读全文