NSC2014安博士融合产品开发室室长Kiyoung Kim

大家好,我来自韩国,我叫Kiyoung Kim,我爱中国。今天为各位介绍一下我们6年多以来对公共基础设施以及工业系统终端安全方面的研究以及研究成果。

20141023025011954

现在日常生活当中周边都有很多用来处理单一以及反复操作的终端设备,这些设备会给我们带来很多生活上的便利。现在随着计算机的普及,装完一个普通的PC系统之后,只作单一用途的计算机也可以看作是一种专用的终端机,现在的问题就是,这些使用为我们带来便利的专用终端机也存在一个很大的威胁。在现实生活当中,也因为终端设备无法正常运行,会给我们带来莫大的损失。因为终端机的特殊性,系统的升级可能会有困难,这样会暴露出很多系统的漏洞,而且这些设备没法带动更好更强大的杀毒软件,设备的维护人员很多,所以他们使用的时候各自的习惯不同,有可能会设立很多共享文件夹,这样的话,就会受到很普通的蠕虫攻击。再有就是网络不畅,这些设备无法承担停机维护的时间。虽然现在APT是一个热门话题,但是实际上我们对于出了安全问题的终端机实际查看问题的时候会发现,很多的问题都是因为普通的病毒感染,导致这个系统无法正常运行。

现在我们列的是几个错误的观点,但不是说这几个观点就是错误的。如果按照这上面显示的几种观点来实际应用,而且管理得当的话,这也不失为一种降低系统安全威胁的好方法,但是现在有很多案例都是通过我们无法预测的途径来感染系统,听说上一届的大会主席就是关于APT的。近期有很多病毒通常使用的方式是在用户毫无察觉的情况下,通过浏览器或者是Java或者是Flash还有办公软件,通过他们的产品漏洞来达到感染以及扩散的目的。也时常会有一些病毒,实际上在被感染的机器里面没有什么用作攻击的ESC或者是类似的PU文件,但是能够达到它攻击的目的,这些病毒类型是属于典型的APT的技法。

APT攻击里面最有名的就是震网病毒,同时它利用了多种漏洞,而且是使用好几种编码做编写,也利用了很多种智能的攻击技巧。震网病毒通过这些特点,把存在于内网之中的伊朗核设施也攻破了。更大的问题在于,震网病毒问题出现之后,有更多类似的病毒出现。韩国有一句俗话说,坏的东西学得快。想必各位也看过《虎胆龙威4》,可能大家都会看着电影就想,这只是一个电影的表现激发,不会有这种事情发生。但是列出来的这些常见的公共基础设施如果也会成为一个攻击的目标,那它会带来的后果可能比电影上表现出来的还会严重。最几年韩国也预感到会有这种安全威胁,所以对整个公共基础设施都进行了安全威胁性的检查,但是它的结果令人很震惊。所以韩国也开始对公共基础设施做一个安全的防护,我们公司也会对这些基础设施做一个安全防护的协助。

APT攻击发生在普通的计算机上会发生什么样的事?近期我们公司受邀到一家游戏公司,为他们公司整体的计算机安全环境做一个检测。但是我们到客户那边检查之后发现,我们最难的不是找一个被感染的机器,而是找一台完好的计算机。通过分析发现,攻击者是对目标有一个预先的计划,会熟知他的工作模式、环境、习惯,对他的工作环境做一个针对性的病毒,然后进行感染。这种APT攻击技法也不是说没有方法可以拦截,但是为了拦截这种越来越复杂的APT的攻击,需要更加强悍的技术,但是这些防御技术添加到一般的PC上的话就会拖慢计算机运行的速度。

一般的计算机防御起来可能会有难度,之前提到的工业系统及公共基础设施防御会怎么样?上面我们提到过,这种专用系统有很多特别明显的系统漏洞,但是我们要对它做一个防护的话,反而会更容易。我们可以通过最普通的USB拦截以及网络拦截,然后再加之防护系统的漏洞,以及经常使用的软件的产品漏洞。这样的话,我们就可以发现防御APT攻击是有一个很大的几率的。

但是这也不是百分之百都能防御下来的,我们也发现,不是终端机无法使用杀毒软件导致的漏洞实现到我们的产品上就可以有效防护这一部分病毒。同时再加以对专用机上面使用的程序加以控制,比如限制它可以运行的程序,对它最主要的程序进行一个保护。这些方案是我们对于专用机的解决方案,但是这种方案拿到现实之后,我们就会发现有很多实施上的困难。现实实际的使用环境当中,很多终端机都是已经被感染的。所以我们发现,在试用我们这一套解决方案之前,可以先对终端机做一个病毒的彻底清理,以及对于这种终端设备使用的规律做一个分析,来给它做一套合适的策略,让它来运行。通过研究和对这些问题的分析,我们最终做出了一个AhnLab EPS的产品。

这是我们AhnLab EPS实际的业务流程。下面介绍一下EPS整体的运行结构,是以群组化的方式对整体的终端做一个管理,通过服务器的管理端,可以对他们做一个整体的策略以及实时的监控。为了维持它实时最安全的状态,所以会从我们AhnLab安全中心实时更新最新的引擎库,对它们加以防护。我们这款产品不给终端设备增加负荷,但是会保证它的安全。我们的目的就是让工厂的终端设备在不停机维护的情况下能维持它的稳定运行,而且防护它的安全。各种终端里面会存储着这种终端需要运行的策略以及设置,但是这些设置都是非常重要的信息。所以我们知道这种信息的重要性之后,也对这些信息进行加以保护和防护的手段,所以我们的职责就是维护终端设备持续稳定的运行。

大家能看出这幅图(PPT)是说的什么故事吗?这是我非常喜欢的韩非子的矛与盾,但是突然有一天,打破了我以前对矛与盾的观点。我从事的是安全领域,而我做的事情就是做一个防护,让想从外面攻进来的人永远都攻不进来。所以这幅图的意义,从以前的矛盾变成了一个现实。而且我深刻的意识到,如果不用一种攻击盾可能就会被冲破这种心态的话,我无法达到我现在做的职责,而且不能防护黑客的攻击。所以我也会以这种心态对AhnLab EPS产品倾注下去,对它一直做维护,对最新的攻击技巧做最新的防护。

我就演讲到这里,谢谢大家!

上一篇:NSC2014网康科技创始人CEO袁沈钢

下一篇:沈逸:沉着应对美国网络安全新攻势