企业在寻找合适的安全厂商的过程中,很多时候会把安全产品的功能作为一个很重要的标准——比如功能有哪些,采用了哪些很酷炫的技术。这并不是一个错误的方向,因为功能很大程度上也能说明一个安全产品的安全能力。
但是,如果只按照功能来选择安全产品,则会逐渐陷入一些其他问题:比如因为夸大宣传造成功能与效果的不匹配,又比如产品的能力价值和企业所需要的不同等。因此,在选择安全产品的时候,不仅仅需要关注产品的使用功能,更需要关注产品能带来的实际效果以及产品功能与自身业务的匹配度。
在现今的安全形势下,攻击的手段层出不穷——尤其是在网络层的漏洞被黑客逐渐开发殆尽的情况下,应用层的攻击已经成为了攻击者的新宠儿。一方面,随着WannaCry的爆发,勒索病毒借助应用层攻击传播,呈现激增趋势。-另一方面,各种新的应用层漏洞不断爆发,企业安全防线频频失陷,如美国征信巨头Equifax公司由于遭受Apache Struts漏洞攻击,造成上亿个人信息遭到泄露,使得网站框架的安全再次引起重视。实际上,黑客从来不局限于单一的漏洞攻击,每一次的安全事件后背往往是多种攻击手段的结合。
而为了应对这些威胁,绝大部分的企业会选择购买防火墙产品来构建防御边界。
Gartner对下一代防火墙的要求是需要“能进行深度包检测,而不局限于端口和协议的检测,同时能增加应用层检测、入侵阻断,并且能够集成防火墙自身功能之外的能力”。简化而言,其重点就在于对于数据包、流量的检测,不应该局限于端口、协议等,而是应该深入包之中的内容,对包进行解析来发现是否存在威胁。同时,防火墙需要有能够和本身功能之外的能力——比如威胁情报、端点处置等深度结合,以期获得更高效的防御效果,同时满足企业对安全以及一体化解决方案不断上升的需求。在这种情况下,防火墙的功能同质化越来越严重,企业越来越难以通过厂商的功能宣传来判断安全效果的优劣。
这里,我们以深信服的下一代防火墙AF为例,以实际的攻击检测效果来看一款优秀的下一代防火墙及其功能在安全效果上的表现。
应用层的攻击防护
下一代防火墙的一大特点之一,就是应用层攻击检测能力。随着攻击者对应用层的攻击日益增多,防火墙的防护效果有很大程度需要体现在对于应用层攻击的防护上,在这里选取了攻击危害最大的几类攻击进行了防护效果验证,如SQL注入攻击、Webshell/网站后门攻击以及针对漏洞的攻击:
1) SQL注入攻击
SQL注入攻击是最为常见也是危害最严重的一类应用层攻击,数据库几乎是所有网站的必备系统,因此甚至有黑客戏言,对于网站攻击,先使用sqlmap跑一下,基本都会有所收获——可见SQL注入攻击在攻击者来看是必然会尝试的攻击。SQL注入攻击主要源于程序在开发过程中未能严格按照规范书写SQL语句和对特殊字符进行过滤,再加上不同环境下编码的多样性对于防火墙来说,如何识别变化的SQL攻击相当重要。
为了验证防火墙在SQL注入攻击防护方面的效果,从实际环境中捕获的大量攻击样本中挑选了较为典型的2202条对深信服的AF进行测试验证,验证结果是2202条攻击语句全部被有效拦截,拦截率100%。而同样的样本下,对其他同类下一代防火墙产品的测试结果显示,拦截率仅50%左右。
导致拦截率低的主要原因在于其他同类产品采用的传统检测方式只是针对语句进行规则匹配检测,因此对进行了一定变形的攻击语句无法有效匹配到规则,从而绕过了防火墙的相应策略,如通过在语句中加入“%0a”字符,扰乱一般基于字段的语句检测,实现攻击绕过。
另外一个导致其他同类下一代防火墙产品SQL注入拦截率低的原因在于编码还原能力较弱,由于Web应用程序、数据库和防火墙之间数据解释能力的差异,编码往往是绕过防火墙的有效方式,如iis环境下的unicode编码,很多防火墙无法有效还原,因此就无法识别并拦截。
2) Webshell上传
Webshell的初衷是方便网站管理员进行远程的命令执行,管理网站系统。然而,这一功能本身类似于后门,因此也会被攻击者利用,作为进入网站系统并且取得权限的途径。一般的检测方式是直接通过关键字进行检测,对webshell内部的命令以及参数进行关键字查找,发现可疑的攻击行为,进行拦截。然而,一旦webshell以多个动态参数进行构建,从而使得通过关键字检测的防御机制失效。
在针对该项的2395个来自实际环境的webshell样本测试中,深信服下一代防火墙AF成功拦截了2390个,拦截率达99.79%,同样样本测试中其他同类下一代防火墙产品的拦截率均在70%以下,例如下图这种webshell攻击,由于没有任何明显的字符串特征,难以被规则检测到,从而绕开防御:
3) Struts2 攻击
Apache Struts作为世界上最为流行的Web服务器框架之一,其安全性对于Web应用而言尤为重要,一旦框架受到攻击,会给整个应用服务带来很严重的损伤。
在针对Struts2漏洞攻击防护效果的验证中,采用了70条覆盖所有Struts2命令执行漏洞(从S2-001到S2-057的漏洞POC及其相关变形)的攻击样本进行验证,深信服下一代防火墙AF成功拦截64条,拦截率91.42%,其他同类产品的拦截率则不足20%。
针对漏报攻击的分析发现,导致其他同类下一代防火墙产品拦截率低的主要原因,一是由于采用传统正则表达式的检测方式,很容易被八进制编码变形、Unicode编码变形以及关键词拆分变形等攻击变形绕过防火墙策略;二是很多其他同类产品不注重原始框架的漏洞防护,没有及时采取有效措施对漏洞进行防护。
在上述应用层攻击的防护中,深信服下一代防火墙的防御效果,得益于研发团队多年来以攻防对抗方式持续对防御功能进行打磨,不断优化、不断创新,更在今年采用了人工智能算法引擎对应用层防护能力进行升级,在协议解析环节智能匹配业务场景、在编码还原环节具备更完善的攻击编码、双重编码还原能力、在安全检测环节采用语法分析加正则的方式,能够更为用户的业务提供更为高效的应用层防护能力。
文件杀毒测试
除了应用层攻击之外,病毒可以说是对终端以及网络最严重的杀手,除了勒索病毒会直接影响整个企业的关键数据,木马病毒、蠕虫病毒以及广告程序都会对企业日常的运营造成伤害。以常见的勒索病毒、挖矿病毒来看,除了利用漏洞入侵之外和传播之外,还会采用诸如钓鱼、邮件等方式入侵和传播,因此考量下一代防火墙的防御效果,也必须关注其文件杀毒能力。
在文件杀毒测试中,测试主机以web方式经过防火墙进行病毒文件传输,病毒文件采用50个覆盖广告程序、木马病毒、蠕虫病毒、勒索病毒和挖矿病毒的样本文件(所有样本文件在VirusTotal上分析结果均为超过一半引擎报黑)测试结果显示,深信服下一代防火墙AF检测出47个病毒文件,检测率为94%,而其他同类下一代防火墙产品的检测率则不足10%。
导致其他同类产品检测率低的原因主要有这样结果的原因有三点:
1) 测试病毒样本多为近期比较活跃的病毒类型,如6月版本Zenis勒索病毒,其他同类产品病毒库更新滞后,最新的病毒库仍未更新该病毒防御规则,因此无法查杀。
2) 部分病毒样本行为特征与其他同类病毒不同,使得防火墙难以检测发现,如Globelmposter病毒,由于不像其他勒索病毒一样具备勒索付款的比特币钱包地址以及回传信息的“洋葱”网络地址,导致其他产品的对应规则失效无法有效检出。
3) 其他同类产品对部分样本的恶意行为的误判,如某个Adware病毒,起恶意行为是在当前进程中创建响应的恶意文件并获取系统的部分信息,但其他同类产品则将其误判为正常行为。
在针对病毒文件的检测中,深信服下一代防火墙应用了其创新研究院的博士团队研发的SAVE安全智能检测引擎,该引擎应用AI技术,拥有强大的泛化能力,不依赖于病毒库,而能够识别未知病毒或已知病毒的新变种,对当前主流病毒尤其是勒索病毒的检测效果显著。
下一代防火墙不仅内置本地SAVE引擎模块,还可以与云端SAVE联动,对本地无法判定的文件,在符合相关法律法规的前提下,上报到云端进行云查,同时云端也会将演进更新后的算法模型下发到设备本地,不断提升防火墙的本地检测能力。
僵尸网络防御
事实上,为了让下一代防火墙给用户带来更好的安全效果,除了对应用层防护和病毒查杀能力的不断创新和优化之外,深信服安全云脑为下一代防火墙提供持续不断的安全能力更新和威胁情报,让深信服AF在具体的实战案例中获得出色表现。就在不久前,借助云脑和威胁情报能力,深信服下一代防火墙快速帮助客户定位了失陷主机,及时避免了损失。
11月初,上海某集团在深信服AF上线不久,检测到内网存在主机感染病毒,僵尸网络拦截日志显示该主机正在与外网域名baijin.ddoshack.com进行C&C通信。然而,厂商A的终端防护软件并未察觉,同时厂商B的安服人员在现场认为是误报。最终在深信服安全人员的协助下,确认主机感染了zegost病毒,该病毒由深信服云脑在11月初刚刚收录并下发。确认病毒后,深信服安全人员对病毒及时进行了处置,并对病毒入侵进行了溯源,帮助客户对安全脆弱点进行有效防护。
在这起事件中,深信服下一代防火墙AF通过僵尸网络与云脑以及威胁情报的深度结合,最终实现快速响应及时获取新型威胁的检测能力,最终做到对病毒的处置及溯源。
综合而言,我们可以发现,安全能力的更新是一项安全产品能力的重要检验指标。该事件中深信服的AF之所以能够快速发现病毒并进行告警反应,而其他厂商的人员以及产品却会对此不报或者认为是误报,一定程度是因为威胁情报的不及时,缺乏对最新威胁的了解,因此在安全效果上大打折扣。同时,深信服AF强大的攻击链可视化能力也为溯源提供了有力的帮助。体现了下一代防火墙如何在实际安全效果上发挥防火墙本身的功能,同时联动防火墙自身功能以外的能力,更好地进行支持。
从安全效果来看,深信服AF满足了下一代防火墙的实现价值。首先,深信服AF满足了对检测的最低要求——对包进行深度检测,提供应用层进行保护,而不只是网络层(比如在应用层有对SQL注入的防御)。但是,他们基于这一点做了更深的一步——如何对包进行深度检测。不依赖于正则匹配的检测方式,深信服AF对语法语句进行分析,对绝大部分攻击语句的变形也进行了防御。
从安全效果来看,成功并且有效地防御了绝大多数的攻击——包括变形的攻击。同时,深信服AF对于病毒防护方面也有相当显著的成果。不仅仅对于流行的勒索病毒进行了防御,也对蠕虫、木马、广告软件也有持续性的防御能力。深信服AF对于最新病毒的快速反应在于其不依赖于病毒库更新,而是通过AI引擎技术,同时于云端联动进行高效监测,从而不会因病毒库滞后而使形成安全真空期。而另一方面,深信服对僵尸网络与威胁情报的结合,能够更有效地发现异常事件,从而进行响应与溯源,体现了下一代防火墙不拘泥于防火墙自身的安全需求。通过对僵尸网络的发现与响应,以落地的案例证明了下一代防火墙对于额外功能的需求。