|
AETs(高级逃逸技术)
Stonesoft 漏洞专家一直在 StoneLab 内对最新的、最先进的网络安全威胁进行各种测试,这是他们日常研发的一部分。测试的威胁之一就是逃避技术。如今,深度包检测、流量合法校验和逃避检测已成为网络安全系统和测试过程的标准配置。现有的逃避技术研究和测试方法都是以公众所熟知的逃避工具如 Metasploit、CORE IM-PACT 和 CANVAS 为基础开发的。逃避技术已被公认为是研发过程中耗时且比较艰难的部分。由于现实生活中缺少清晰、确凿的证据来证明逃避技术的真实存在,因此,要用很有说服力的方式来解释逃避威胁也是非常具有挑战性的。而造成这种困难的原因在于现有的安全技术的检测能力和透明性不够强大。
正是由于这些挑战,Stonesoft 下定决心对逃避技术进行深入研究。Stonesoft 的专家对所有主流规则、原理和见解发起了挑战,以获得更先进的、独特的逃避知识。许多公司可能会选择对逃避技术视而不见,称这种威胁只是理论上的,并未实际存在。但选择这样做的公司很可能会成为逃避技术的攻击目标,有些公司或许已经遭受攻击。
逃避技术
逃避技术是一种通过伪装和 / 或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。利用逃避技术,高级的、怀有恶意目的的罪犯对具有漏洞的系统进行攻击。通常这些带有恶意内容的攻击会被检测出并被阻止,而高级的逃避技术则不会被检测到。目前的安全系统对这些逃避技术束手无策,就像隐形战斗机可在雷达和其它防御系统检测不到的情况下发起攻击。
逃避技术的使用
如果有人意图对安全防护措施非常到位的网络发起有目的性的网络攻击,则需要使用逃避技术来提高成功率。逃避技术就像是一把万能钥匙,可随意出入任何地方,并为发起更具杀伤力的攻击争取了时间。逃避技术为高度先进的攻击上了保险,可有效确保不会被检测和抓到。因此,如果赌注够大,如涉及到金融或商业数据、战争、恐怖主义或政治攻击,逃避技术成为有效地手段。那些安全设备未能检测到的任何攻击或未能作任何解释的攻击,如所出现的不明原因的、神秘的数据丢失、系统崩溃和财务数据被盗都是对逃避技术的最佳证明。因为无法检测,所以无法防御,这使得逃避技术成为最严重的威胁。了解使用逃避技术的所有好处后,如果您还寄希望于高级的网络罪犯和黑客不使用逃避技术或只使用已知的技术或工具,那岂不是太幼稚了。
反逃避
研究突破
我们决定投入更多的时间、财力和精力来研究逃避技术。我们采取了一种非常激进的方法,挑战了:
- 操作系统的 TCP/IP 栈的使用
- 保守的发送规则和自由的接收规则(RFC 791)
- 一次只使用一种逃避技术
- 考虑到静态 TCP/IP 栈的级别较低,因此可以有效地保护、抵御逃避技术
搭建好测试环境并开发出所需的研究工具后,我们取得了重大突破。Stonesoft 漏洞专家发现了一种新型高级逃避技术(AET)。这些 AET 技术是真实存在的,并且独立的安全专家和测试实验室均认为这些技术的破坏性极强。Stonesoft 已将这一发现上报给安全权威机构(CERT 芬兰、CERT 美国和 CERT 协调中心),希望通过他们的协调机制,告知所有将受此影响的技术提供商。我们准备了确凿的证据、实时演示和实验研究数据,可充分证明 AET 的真实存在性,并且 AET 可不留痕迹地避开现有99% 的安全设备。这让 AET 成为众人关注的焦点。
高级逃避技术(AET)
有何新发现?高级逃避技术可按任何顺序改变或重新组合,从而避开安全系统的检测。从本质上讲,AET 是动态的、不合常规的,没有数量限制,传统检测手段无法检测。AET 可在任何级别的 TCP/IP 栈上运行,可穿越多种协议或协议组合。新型 AET 的数量将呈爆炸式增长,将对信息安全行业和全球企业构成无止境的、充满变数的挑战。
后果
- 数字资产失去保护。
- 日常运营和业务随时都处于危险状态,而企业却不得而知。
- “我们是安全的”这种错觉让企业很容易受到攻击。
- 大多数(99%)现有安全设备没有准备好或不能提供恰当的安全防护。
有没有应对措施?
当务之急是增强有关 AET 的知识,登录www.antievasion.com,可了解有关 AET 的信息。然后,对所有关键数字资产(包括数据和操作系统)以及托管这些资产的服务器进行评估和检查。最后,企业必须使用全新设计的、开发的、经过验证的具有反逃避功能的动态安全解决方案来保护关键的服务器,抵御传统的和高级的逃避技术。由于针对 AET 的更新需求和速度将是迅猛的,因此,升级到动态安全解决方案变得十分重要。
反逃避就绪
反逃避就绪解决方案是基于软件开发的,可通过集中管理中心自动、远程更新,非常简单。反逃避就绪设备必须能不断接收最新的 AET 补丁和安全更新程序。这类解决方案必须具备通过集中管理客户端检测、标记和报告逃避技术这一核心功能。
|
