1、最新网络安全威胁对金融体系的影响及应对方案北京科能腾达信息技术股份有限公司目 录目录当前网络安全现状最新网络安全威胁解析高级逃避技术介绍及其危害CNGate反高级逃避技术介绍金融体系客户案例CNGate公司简介目 录当前网络安全现状每天平均都有新的漏洞被发现每天平均都有新的漏洞被发现当前网络安全现状-漏洞越来越多数据来源:国家信息安全漏洞共享平台数据来源:国家信息安全漏洞共享平台当前网络安全现状-漏洞没有补丁或没有及时打补丁当前网络安全现状-排名前十的关键漏洞没有PATCH厂商IBM漏洞分析小组的报告,很多系统其实是存在一些漏洞但漏洞分析小组的报告,很多系统其实是存在一些漏洞但是厂家短时间内没
2、有任何解决方案是厂家短时间内没有任何解决方案IBM-X-Force-Vulnerability-Threats如何解决?安装补丁?Your computer may freeze or restart to a black screen that has a 0 xc0000034 error message after you install Windows 7 Service Pack 12010.04 用户更新某厂商的防病毒补丁后出现大量机器被锁住无法登陆现象,厂商用户更新某厂商的防病毒补丁后出现大量机器被锁住无法登陆现象,厂商紧急发布新的紧急发布新的 补丁。补丁。2009.01 Con
3、flicker 蠕虫病毒爆发受感染的服务器达到几百万台,因为许多公司蠕虫病毒爆发受感染的服务器达到几百万台,因为许多公司的的Windows 服务器没有安装早在服务器没有安装早在 2008年年10月发布的补丁月发布的补丁Administrators do not install patches!Because Important server can crash!W e n e e d u p t o 3 0 d a y s t o i n s t a l l p a t c h e s f o r o u r 1 1 3 Servers!(US Air Force)各个厂商提供虚拟补丁Virt
4、ual patchIPS just recognize attack and close malicious connections for vulnerable services 目 录最新网络安全威胁解析最新网络安全威胁是什么?DataLossDB.org Incidents Over Time来自于全球专业性数据泄漏事件分析网站:http:/datalossdb.org/statistics近几年数据泄露事件统计目 录高级逃避技术介绍及测试 什么是“逃避技术”?什么是“高级逃避技术”?“高级逃避技术”是如何实现的?为什么大多数安全产品无法检测并防护“高级逃避技术”?“高级逃避技术”的应对
5、策略及防范建议“高级逃避技术”测试方法高级逃避技术介绍及测试什么是逃避技术?一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段利用逃避技术,高级黑客 和 怀有恶意的的网络犯罪分子可以对具有漏洞的系统进行悄无声息的 攻击,破坏目标系统或者获取重要数据信息。目前的安全系统对这些逃避技术束手无策,就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击。16通常IDS/IPS工作模型会分为3个层次信息资源层(Information Source)分析层(Analysis)响应层(Response)逃避技术的发现1990 年逃避攻击技术出现1997-1998年才出现了有真正文字记载
6、的逃避攻击技术,这种技术可以避开网络入侵检测系统 的检测 参考:Insertion,Evasion,and Denial of Service:Eluding Network Intrusion Detection-January,1998逃避技术是一种通过伪装和/或修改网络攻击以逃避信息安全系统的检测和阻止的手段。逃避技术最大的危害是可以携带恶意攻击软件和病毒避开信息安全系统的检测进入到信息系统内部。但是安全系统不会存在任何拦截和告警信息。逃避技术的发展历程逃避技术的发展历程字符串混淆字符串混淆 (Obfuscation)碎片碎片 (Fragmentation)协议违规协议违规 (Proto
7、col violations)通过伪装和通过伪装和/或修饰网或修饰网络攻击以躲避信息安全络攻击以躲避信息安全系统的检测和阻止的手系统的检测和阻止的手段;段;利用协议中不常用的属利用协议中不常用的属性,伪装攻击流量躲避性,伪装攻击流量躲避安全系统检测。安全系统检测。逃避手段逃避技术混淆攻击有效载荷混淆攻击有效载荷-Obfuscating attack payload 通过不同编码编译攻击的有效载荷,目标系统能够解码但是IPS/IDS无法解码这些编译过的有效载荷,例如:使用Unicode来编译攻击包,但是IDS/IPS无法识别,可是IIS WEB SERVER 可以解码,遭受攻击字符串混淆MSRP
8、C Big-endian encoding 23Overlapping Fragments数据包分段重叠技术是通过修改数据包的 TCP序列号来实现重叠,例如第一个数据包90个字节,第二个数据包序列号是从第80个字节开始的,当目标系统重组TCP流的时候就需要决定如何去处理8个字节重叠。这就需要IPS/IDS能够处理重叠部分的数据包.24TCP Time Wait 打开然后关闭TCP连接,再使用同一协议和端口打开一个新的TCP 连接.根据TCP RFC 标准,TCP client 重新使用同一端口之前必须等待一段时间如果黑客使用自己的TCP/IP 协议集,他可以打开然后关闭TCP连接,然后使用同一
9、个端口快速建立一个新的TCP连接,新的连接会被传统的IPS/IDS放行,这就要求IPS需要能够熟练控制新的连接举例:参考数据包截图Frame3Frame5 TCP连接建立,使用29522端口连接445端口Frame6 Frame7 发送一些自由的字节信息Frame8-Frame10 TCP连接关闭,此时目标系统端口进入TIME Wait状态,Frame11-Frame13 新的TCP连接使用相同的29522端口连接目标系统,攻击继续执行,有可能不被检测到2526Inserting Traffic at the IDS 通过一些手段使IDS/IPS 可以看到一些数据包,但是目标系统确没有收到数据
10、包,例如可以修改数据包的TTL,使一部分数据包到达IDS/IPS时候丢弃。从而导致IDS/IPS和目标系统的状态不一致,我们称之为状态同步破坏TCP Urgent Pointer 利用目标系统和IPS/IDS对于 TCP Urgent Pointer 不同的理解。目标系统可以忽略添加的 TCP Urgent Pointer 字节,但是却可以混淆IPS/IDS的检测 例如:TCP Stream:xff P S M B (P 是 urgent data)IPS 看到的结果:xff P S M B (不是协议SMB)Windows 看到的结果:xff S M B (但是 windows 忽略 urg
11、 位)协议中不常用属性的使用协议中不常用属性的使用 例如例如:TCP Urgent Pointer分片逃避技术数据包分片是正常的网络行为,将恶意的数据包分割成多个分片的数据包 进行传递就可以欺骗IPS 检测,这就需要IPS 能够重组数据包检测出恶意攻击包,如果分片加入重叠技术将使重组过程更加复杂,正常的HTTP REQUEST 在会话建立后只是在一个数据包传递逃避技术举例:HTTP Request 3部分8字节的分段数据包 7字节的分段数据包攻击同时也包括1个字节的重叠部分,每一个分段的最后一个字节也是下一个分段第一个字节,由于每一个数据包的序列号是正确的,因此目标系统可以正确的重组数据包,从
12、而会遭到攻击存在4字节的自由字符在数据包头前,这些无效的字符通常会被目标系统丢掉,但是却可以混淆IDS/IPS。普通的逃避在TCP/IP的不同协议栈同时进行加载 组合形成了高级逃避.可穿越多种协议或协议组合,黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分.高级逃避技术的出现高级逃避技术的出现EthernetVLAN TagsSMB2SMBTCPUDPApplicationMSRPC Application MSRPC Application 高级逃避技术举例高级逃避技术举例 逃避技术对各厂商设备检测技术的影响逃避技术对各厂商设备检测技术的影响 HP TippingPoint
13、IPS Palo Alto Networks Firewall Fortinet FortiGate Snort(in-line mode using Security Onion)恶意攻击选择恶意攻击选择为了能正确的测试逃避技术对不同厂商检测技术的影响,所选择的攻击要能够被所有厂商能够检测到 并且可以进行阻断,我们选择是2008年的Conficker蠕虫病毒攻击针对 Windows 以下弱点CVE-2008-4250MS08-067HP TippingPoint IPS应用简单分片逃避技术总共858bytes 简单分成2个分片 432 bytes和426 bytes应用2种组合的逃避技术分片
14、+混淆Wireshark 显示攻击成功逃避技术-封装序列号码TCP sequence number is a 32-bit number最大值为4,294,967,295(0XFFFFFFFF)47CISCO ASA4849Decoy trees5051SMB fragmenting5253545556Snort57IPC$share 不是恶意的内容,是用在Windows 远程服务,因此不需要设定阻断策略以下三个策略是标识数据包中的shellcode,利用MS08-067弱点来进行攻击,需要进行阻断58596061a single byte of 0X00 is added as theurg
15、ent data.高级逃避技术高级逃避技术工作在工作在TCP/IPTCP/IP不同层次的逃避技术是可不同层次的逃避技术是可以同时加载的以同时加载的 。利用协议中不常用的属性或者是不遵守利用协议中不常用的属性或者是不遵守协议规范,伪装攻击流量躲避安全系统协议规范,伪装攻击流量躲避安全系统 检测。检测。黑客通常是利用高级逃避技术作为高级黑客通常是利用高级逃避技术作为高级不间断攻击(不间断攻击(APTAPT)的重要部分。)的重要部分。PA IPS:TCPSegment:Segment size:20TCPSegmentOverlap:Overlap amount:1CISCO IPS:TCPSegm
16、ent:Segment size:1从这些研究测试得出的结论:不要期望您的安全设备是坚不可摧的不要依赖安全设备的默认策略配置,要充分了解自己的业务系统,订制针对性的策略要使用反逃避的解决方案高级逃避攻击技术的危害金融系统对外业务系统失去保护。金融系统用户数据存在严重的泄露风险。“我们是安全的”这种错觉让金融体系很容易受到攻击。大多数(99%)现有安全设备对高级逃避攻击不能够拦截和告警在高级逃避技术下,系统和数据随时都处于危险状态,而用户却不得而知。1)品牌信任用户数据借贷信息行业信誉2)合规遵从性敏感信息关键网络架构 3)业务连续性1)电子银行交易平台支付平台反高级逃避对于金融体系用户安全防护
17、的重要意义反高级逃避对于金融体系用户安全防护的重要意义高级逃避技术都可以高级逃避技术都可以 破坏它们破坏它们!目 录CNGate反高级逃避技术介绍为什么99%的安全厂商下一代防火墙下一代入侵防御系统WEB防火墙等产品无法检测并防护AET?传统方式采用垂直检测数据流传统方式采用垂直检测数据流-基于数据包,数据分段的检测基于数据包,数据分段的检测一大部分的逃避技术仅仅基于协议的正常功能,而且这些功能在正常的通信中被广泛的使用着。IP fragmentation TCP segmentationMSRPC fragmentationIP random optionsTCP TIME_WAITTCP
18、urgent pointer一般的,这些逃避不会和任何RFC冲突,这是为什么协议检查也无法发现这些逃避技术。SMB fragmentationMSRPC alter context使用静态特征库进行防护的使用静态特征库进行防护的?Http:/cve.mitre.org/CVE 列出了多余45,000 CVE标识IPS一般覆盖了 3000 4000 fingerprints.大多数IPS产品默认仅有 1000 signatures 被检查.(考虑性能原因)如果只有1%的高级逃避技术被利用-这个数字将是多于100万种!测试工具受限测试工具受限目前有一些工具,集成了一些逃避的技术但是,这些工具是基于
19、不同的漏洞风险的,并不是基于不同的逃避技术的所以,就无法深入的研究高级逃避技术,及无法提供验证防护效率的工具。高级逃避技术隐藏的攻击可以逃避IPS/IDS的检测 Jack Walsh,Program Manager如果你的网络系统不能够发现拦截高级逃避,你将面临巨大损失 Rick Moy,President进来的研究发现 AET是真是存在的而且成爆发时增长。Bob Walder,Research Director高级逃避技术被证实高级逃避技术被证实ICSA/NSS/GartnerICSA/NSS/Gartner证明这一系列新型逃避技术确实不能证明这一系列新型逃避技术确实不能被主流被主流IPSI
20、PS设备所检测出来设备所检测出来高级逃避技术的特性高级逃避技术的特性 Cybercrime Kill Chain vs.Defense Effectiveness Nov,2012 Stefan Frei,Ph.D from NSS LAB高级逃避技术在高级逃避技术在APT攻击中被广泛使用攻击中被广泛使用对于对于Oracle数据库,一个数据库,一个RPC碎片逃避就可以导致碎片逃避就可以导致30多种不同远程攻击多种不同远程攻击高级逃避技术的特性高级逃避技术的特性高级逃避的存在促使了下一代高级逃避的存在促使了下一代IPS出现出现 Gartner 制定了描述了下一代制定了描述了下一代IPS的蓝图的蓝
21、图 其中一个重要的原因就是其中一个重要的原因就是 高级逃避逃避了高级逃避逃避了IPS的检查的检查Defining Next IPS利用逃避技术和其它新的传递手段高级逃避技术的特性高级逃避技术的特性“高级逃避技术”已经引起国内安全专家和厂商的重视 国内安全厂商纷纷投入力量进行研发,目前对“普通逃避技术”已经取得了较好的防御效果 国内部分安全产品已经能够防御部分或大部分的“高级逃避技术”的入侵,但是仍存在较大的技术差距 进一步加强对“高级逃避技术”最新威胁的研究,成为国内安全行业的首要课题国内针对高级逃避技术的研究近况CNGateCNGate反“高级逃避技术”防范策略1、安全设备规范要求、安全设备
22、规范要求 安全硬件和软件系统需要合乎以下标准安全硬件和软件系统需要合乎以下标准分层的标准化检测分层的标准化检测 基于RFC标准的协议解码是在所有的协议层进行标准化检测合规标准化检查是目前防御逃避攻击的一种最可行的方式具备逃避防护技术就绪的系统取决于它有能力和有效率在所有层面实现合规标准化检查。合规化检查的原理就是利用TCP/IP协议的堆栈,打开堆栈发现异常数据字节然后清洗干净,再根据协议类型编写真正数据流的特征。这就是说,所有协议需要准确解码并进行标准化检查之后根据已经具备的指纹特征准确匹配风险独立的特征匹配独立的特征匹配 指纹识别不需要去担心逃避,因为标准化检测就已经可以对付它们了。动态化保
23、护动态化保护 高级逃避技术特征动态升级,需要集中管理平台对设备和特征库统一升级和配置管理安全引擎在每一层执行完整的协议栈检测,基于应用层数据流的检测过程安全引擎在每一层执行完整的协议栈检测,基于应用层数据流的检测过程网络防御网络防御分析器EPS-1EPS-2EPS-3 EPS-4EPS业务系统1分布式部署分布式部署将安全防护由将安全防护由“点点”升成升成“面面”业务系统2业务系统4业务系统32、管理要求、管理要求维护管理维护管理定期审计关键资产,关键数据和应用系统是否遭受过入侵(高级逃避技术的出现导致目前的任何系统都是受到威胁的)应该考虑长期的计划和策略来迁移到动态的,可以有效拦截逃避攻击的解
24、决方案,通过集中管理方式快速更新系统的补丁,实现实时监控系统和应用状态,对于不能及时更新补丁的关键资产,要执行风险分析,可以防御逃避/高级逃避技术的动态的解决方案可以作为关键资产系统的虚拟补丁3、取证、取证,事后跟踪,事后跟踪取证,事后跟踪系统取证,事后跟踪系统分析器IPS/IDS感应器IPS/IDS感应器集群IPS/IDS感应器/分析器集中管理中心Log eventsAlerts网络监视总结总结逃避技术/高级逃避技术是一种通过伪装和/或修改网络攻击以逃避安全系统的检测和阻止的手段。逃避技术/高级逃避技术最大的危害是网络犯罪分子可以携带恶意攻击软件和漏洞利用攻击程序避开安全系统的检测入侵到系统
25、内部。但是安全系统不会存在任何拦截和告警信息传统的IPS/IDS 只是可以拦截和告警简单的逃避技术,这些简单的逃避技术通常出现在TCP/IP协议栈某一层,是独立的逃避攻击。但是对于应用层的逃避已经跨协议或多种协议组合的高级逃避技术则没有任何办法安全是一个过程安全是一个过程我们相信AET的出现将冲击整个IPS/IDS/NGFW行业测试结果可以证明高级逃避技术是存在的仍然有很多未知的AET 需要去发现和研究。目 录金融体系客户案例目 录银行、证券、保险中国银行交通银行中国建设银行浙江分行中国建设银行河南分行中国建设银行陕西分行中国建设银行j江西分行宁夏银行青海银行西安银行廊坊银行莱芜银行大新银行中
26、国建设银行合肥信用卡中心国泰君安证券申银万国证券银河证券东海证券中国人寿保险公司华夏人寿保险公司天安人寿保险公司信达澳银基金管理有限公司北京现代汽车金融有限公司云南乐富支付有限公司英国巴克莱银行上海分行CNGate公司简介 关于我们关于我们2012年年9月成功登陆月成功登陆”新三板新三板”(中国创业板)(中国创业板),股票代码:,股票代码:430148成立于成立于2000年,年,14年专注于网络安全领域年专注于网络安全领域北京(总部),北京(总部),产品研发中心(北京、深圳)产品研发中心(北京、深圳)2014年年7月,迁入位于北京第二金融区的办公新址,月,迁入位于北京第二金融区的办公新址,15
27、00平米平米+华北电力大学华北电力大学50多人的多人的VAG 小组小组分支机构:上海、西安、广州、成都、郑州、青岛分支机构:上海、西安、广州、成都、郑州、青岛主要业务区域:华北、东北、华东、西北、西南、华南主要业务区域:华北、东北、华东、西北、西南、华南主要客户:政府、公安、教育、金融、医疗、能源、社保主要客户:政府、公安、教育、金融、医疗、能源、社保/医保、互联网业务平台,医保、互联网业务平台,客户总数超过客户总数超过 4000 家大型和中型机构家大型和中型机构CNGate产品均已获得产品均已获得政府、军队的销售许可证政府、军队的销售许可证CNGate全线产品进入全线产品进入中央政府采购平台
28、中央政府采购平台CNGate硬件平台硬件平台生产基地:深圳生产基地:深圳公司发展历程公司发展历程 推出推出CNGate-AG WEB应用安全网关应用安全网关 推出推出CNGate-ITM网络监控管理可视化系统网络监控管理可视化系统2008-201120142012 CNGate-AET-NGIPS下一代高智能入侵防御系统下一代高智能入侵防御系统 CNGate-NGFW 下一代防火墙下一代防火墙 CNGate-WAF WEB应用防火墙应用防火墙 成功登陆新三板成功登陆新三板 简称:科能腾达简称:科能腾达 代码:代码:430148 专注网络安全领域,提供网络安全解决方案和服务专注网络安全领域,提供
29、网络安全解决方案和服务2000-20082013 推出推出CNGate-BAS运维管理审计系统运维管理审计系统 推出推出“货架式货架式”安全等级保护解决方案安全等级保护解决方案20002014-2015 推出推出“安全管家安全管家”安全服务解决方案安全服务解决方案 推出推出“网络威胁入侵监测及全网应急响应中心”方案 推出推出TES(高级逃避技术测试工具)(高级逃避技术测试工具)SIEM 安全事件管理平台安全事件管理平台 EPS-反高级逃避攻击专用产品反高级逃避攻击专用产品 CNGate 全线产品全线产品CNGate 荣誉CNGate 荣誉 公司优势公司优势CNGate系列安全产品,严格按照国家
30、四部委颁布的信息安全等级保护标准的要求,进行规划和研发“抗高级逃避技术抗高级逃避技术”是公司的核心技术,独有的深度检测技术与世界安全是公司的核心技术,独有的深度检测技术与世界安全技术同步,在国内处于领先地位技术同步,在国内处于领先地位下一代的安全引擎,支持弹性部署(物理环境,虚拟环境,云平台)下一代的安全引擎,支持弹性部署(物理环境,虚拟环境,云平台)十四年专注于信息安全行业,积累了一支经验丰富、技术精湛的安全技术服务团队“CNGate安全管家服务”可为客户提供整体网络安全服务能力;严谨适宜的行业客户安全解决方案,个性化的客户安全服务方案,推出面向合作伙伴的“共同成长计划”,共同分享CNGat
31、e产品的发展红利CNGate整体安全解决方案数据中心数据中心WEB 应用安全应用安全实时安全状况感知实时安全状况感知CNGate 安全解决方案下一代网络下一代网络全面的恶意软件防护全面的恶意软件防护SMC-安全管理中心 业务可视化管理上网行为管理 漏洞扫描和管理 风险评测网络威胁响应 WEB 应用防火墙 恶意软件WEB 应用防火墙 主机加固下一代防火墙高级逃避技术防护下一代IPS云保护虚拟机保护应用程序控制 主机加固数据库安全CNGate-安全管家服务安全管家服务移动互联网安全移动互联网安全 移动支付安全认证中小企业教育政府医疗“安全管家安全管家”服务内容服务内容-特色服务特色服务安全服务网络
32、安全加固服务-针对高级逃避技术入侵安全设备高级逃避技术(AET)防御能力测试安全设备高级持续性攻击(APT)防御能力测试网络高级入侵威胁与隐患监测服务“安全管家安全管家”服务内容服务内容-通用服务通用服务安全服务服务器安全防护网络边界安全防护内网区域安全防护服务渗透测试服务WEB 应用安全防护信息安全应急处理服务信息安全风险评估安全运维与安全审计安全培训服务信息安全体系建设规划每一次的加油,每一次的努力都是为了下一次更好的自己。22.8.1622.8.16Tuesday,August 16,2022天生我材必有用,千金散尽还复来。12:29:5912:29:5912:298/16/2022 1
33、2:29:59 PM安全象只弓,不拉它就松,要想保安全,常把弓弦绷。22.8.1612:29:5912:29Aug-2216-Aug-22得道多助失道寡助,掌控人心方位上。12:29:5912:29:5912:29Tuesday,August 16,2022安全在于心细,事故出在麻痹。22.8.1622.8.1612:29:5912:29:59August 16,2022加强自身建设,增强个人的休养。2022年8月16日下午12时29分22.8.1622.8.16扩展市场,开发未来,实现现在。2022年8月16日星期二下午12时29分59秒12:29:5922.8.16做专业的企业,做专业的事
34、情,让自己专业起来。2022年8月下午12时29分22.8.1612:29August 16,2022时间是人类发展的空间。2022年8月16日星期二12时29分59秒12:29:5916 August 2022科学,你是国力的灵魂;同时又是社会发展的标志。下午12时29分59秒下午12时29分12:29:5922.8.16每天都是美好的一天,新的一天开启。22.8.1622.8.1612:2912:29:5912:29:59Aug-22人生不是自发的自我发展,而是一长串机缘。事件和决定,这些机缘、事件和决定在它们实现的当时是取决于我们的意志的。2022年8月16日星期二12时29分59秒Tuesday,August 16,2022感情上的亲密,发展友谊;钱财上的亲密,破坏友谊。22.8.162022年8月16日星期二12时29分59秒22.8.16谢谢大家!谢谢大家!
