所有的安全问题我们就把它分为两类:已知和未知, 所谓已知就是已经知道特征威胁手段,针对它的防御其实很简单,就是靠特征,谁的特征丰富,那么谁就牛;目前市场上的安全防护产品都是基于特征来进行识别,比如下一代防火墙、IPS、防毒墙等。所以已知的防御机制也叫做被动防御机制,我们靠特征将其防御。那未知的那部分怎么解决呢?
所谓未知就是没有特征。比如利用0day,或者新的变种等,这时我们就没有特征来进行匹配了。怎么办呢?介绍一位保镖兄弟给您:东软自动化安全防御体系,一个通过网关(已知-特征-被动)+沙箱(未知-行为-主动)+蜜罐(溯源+联动)构建立体的、自动化的防御机制。
针对未知的部门,我们引入沙箱,当未知的流量和行为到来后,网关无法进行识别的时候,扔给沙箱。只要这个未知是恶意的,那么它肯定会做一些非法的操作,比如创建文件、恶意进程等等,沙箱这个时候可以基于它的“行为”来进行判断、识别,是恶意的还是正常的,如果是恶意的迅速跟网关联动,起到第一个自动防御机制。
不管是已知还是未知,现在的网络攻击很多都已经实现自动化攻击。什么叫自动化攻击,就是攻击都是程序设定好了,就好比今年的HW行动一样,100多只队伍做演练,在演练过程中东软发现最主要的两点:识别攻击、阻断攻击。针对这种情况,东软采用蜜罐,蜜罐是什么,蜜罐就是个模拟的虚拟环境,专门用来诱捕各种网络扫描和攻击,蜜罐内置多种开放式服务,随便你来攻击,只要你一攻击,那么蜜罐就可以对攻击进行溯源,然后蜜罐跟网关实现自动联动,将攻击的源给封堵掉,这样形成一个自动化的防御过程。
这套自动化安全防御体系,通过采用机器学习、行为分析、威胁情报等多项先进技术,实现对邮件攻击、挂马攻击、web攻击、远程漏洞攻击、特种木马、webshell等多种攻击及控制行为进行检测,既能精准判定已知攻击,又能检测发现各类未知攻击。