李栋 椒图科技副总裁 主机的未知安全 威胁检测与防御 目录主机安全现状 主机端的未知安全检测与防御技术 内网主机的零信任安全模型目录严峻的网络安全形势 勒索病毒 一句话木马 0DAY攻击 …针对主机的黑客攻击日益增多 传统基于安全规则的防护手段效果有限 依赖于安全规则，可以抵御已知攻击，但对未知威胁防护效果滞后，无法应对 0DAY和新型恶意代码 病毒库、规则库的堆集只会让系统变得愈发臃肿牺牲业务保安全？ 案例：WEBLOGIC 反序列化漏洞 （CNVD -C-2019 -48814） 漏洞披露时间 2019 -04-17 漏洞详情 WebLogic Server提供异步通讯服务的 wls9_async_response WAR 包，在反序列化处理输入信息时存在缺陷，攻击者可以通过 恶意 HTTP 请求，获得目标服务器权限，在未授权的情况下远程执行命令，漏洞评级为高危。 漏洞披露方处理方案 1、删除该 WAR包并重启 webLogic ； 2、通过访问策略控制禁止 /_async /* 路径的 URL访问。 处理方式分析 牺牲业务保安全，通过删除 WAR包的方式不但会导致部分服务失效而且治标不治本。有补丁≠安全 案例：STRUTS2 漏洞CVE编号CVE-2017 -5638 3月7日漏洞爆出，厂商当那天给出修复方案，但截止 3月9日，仍有部分用户没有检测或者修复漏洞。 根据TCELL发布《2018年第二季度生产环境 Web应用程序安全报告 》，漏洞修复平均时长为 38天！ 给攻击者留下足够的 attack free 时间窗 如何在主机端检测与防御未知安全威胁 漏洞永远补不完，但黑客入侵服务器后的行为却有迹可循 黑客在入侵产生的多种异常行为：提权、端口扫描、反连 shell、进程自我复制、监听原始套接字、执行一句话木马、 应用执行 cmd、创建可执行文件、创建克隆账户 …… 在了解黑客入侵行为轨迹后，在系统和应用两个层面监控和拦截，用安全机制补充安全规则，以有限的行为防御无限的漏洞。 内核探针RASP 探针应用探针WAF 探针云中心沙盒内核探针监控系统层异常行为 内核加固 通过构建内核探针对端口扫描、反连 shell、进程自我复制、监听原始套接字等黑客在入侵产生的多种异常行为进行监控及防护，同 时会对系统中的二进制文件创建、进程创建、进程外连、 linux shell操作命令等行为进行监控和防护，实现主机内核加固。 应用权限控制 从内核层实现应用权限控制，限制应用过高权限，防止提权、创建可执行文件等操作。 自适应 WAF探针拦截已知 WEB攻击 WAF探针 工作于 IIS、Apache、Nginx等web中间件内部，基于防护规则（数字签名）对 WEB流量进行监控及过滤，具备所有硬件 WAF的防 护能力及功能。 防护能力 ✓常见网络攻击（ SQL注入、 XSS、溢出攻击等） ✓CC攻击(独创session验证模式，高效验证正常访问 /机器攻击 ) 大数据安全分析 ✓每天1500W+ 攻击记录 ✓4000W+ IP 信誉库 ✓海量 webshell 样本，动态结合 RASP、沙箱技术，识别未知攻击 支持web中间件 ✓IIS 、Apache 、Nginx 、kangle、Tomcat、Weblogic 、 ✓WebSphere 、TongWeb 、Jboss、Glassfish 、Jetty等