導入免特徵碼式網路安全技術，提升零時差威脅防護

 作者  Intel Security台灣及香港區域解決方案架構師沈志明  

資訊安全就是軍備競賽，沒有廣告時間與中場休息，更沒有終點線。組織化的網路罪犯不停創新，不斷向前推進並定期突破第一線的防禦策略，如特徵碼式的安全性，以及現今的進階型惡意軟體之間的競爭發展，就是實際案例。

多年來，光靠以特徵碼為基礎的安全技術，就能快速、可靠地防禦大多數已知的攻擊，因此，更有能力的駭客已經學到經驗，往往會避免發動能被輕鬆辨識出的攻擊。

他們的戰術變得更隱匿、難以捉摸、具防禦意識，並會聰明地自我調適。因此，像是零時差攻擊與其他目標式進階型惡意軟體，經常成為特徵碼式入侵防禦系統（IPS）的難題。而且，儘管IPS特徵碼經過完整更新，仍會遭到攻擊。

因此，雖然特徵碼式偵測仍舊是入侵偵測的重要基礎，但要對抗這些新一代的惡意攻擊，顯然是不足的。

入侵防禦設備（IPS）本身會先進行雲端與本地情報比對、檔案深層分析與行為式線上模擬作業，以期在最短時間找出可能的進階威脅，若仍無法判斷有威脅，再將檔a案送交具有進階威脅防禦能力的Advanced Threat Defense（ATD）系統，進行沙箱分析，如此不僅可以節省沙箱資源，亦可將即時阻擋零時差威脅的機會，予以最大化。

三個防護關鍵：程式碼行為、流量行為及信譽

如何阻止這類攻擊？

若單憑特徵式安全性防護，只會捕捉過去已識別與分析的攻擊，無法辨識第一次出現的新變種。

或者，我們如果封鎖所有含內嵌指令碼的檔案，當然會變得更安全，但這會妨礙一些常見與實用的溝通工具。

我們也可將所有含內嵌指令碼的檔案，傳送到離線沙箱進執行動態分析，但這種作法會延遲傳遞內容，並為密集運算的資源增加大量的工作負載。

我們需要更先進的方法來有效判定，在缺乏特徵碼確認的情況下，判斷不明執行檔的安全性。

為了達成這個目的，進階作法是透過模擬分析與行為預測來探索新的威脅，不需求助於已知入侵程式與事件的歷史記錄，在多層堆疊中應用多個偵測方法，透過從網路活動的一般雜訊中有智慧地擷取微弱的威脅訊號，並可以減少誤判率。

將傳統的特徵式防禦技術改造，導入以下三個關鍵分析技術，便能以更高的精確性與可靠性，識別與封鎖不明的惡意攻擊。

1.程式碼行為分析：使用輕量級模擬、沙箱與進階靜態分析，透過直接檢查或執行程式碼，來評估與預測檔案與執行檔的行為。

2.流量行為分析：透過所造成流量中的異常行為，識別網路內的惡意攻擊。這些技術會與大量的網路和端點事件產生關聯，以便從一般網路活動的背景雜訊中，擷取微弱的威脅訊號。

3.全域信譽分析：將外部內容與情報新增至本機檢查與評估。

這些偵測分析，會依照運算密集程度遞增的情形排序，透過網路入侵防禦系統解決方案，可運用到不明的威脅上，其中包括：

● 整合式IPS網路防禦裝置：可發現與封鎖網路中的精密威脅，包括進階型惡意軟體、零時差威脅、阻斷服務攻擊與殭屍網路等，並能深度檢查網路流量。

● 進階的惡意防禦解決方案：利用動態沙箱分析及靜態程式碼分析，以逐步縮小的方式排序，使效能最佳化以找出進階威脅，此裝置能輕鬆地部署在網路中，作為網路與端點安全的中央惡意軟體檢查點。

● 端點智慧型代理程式：透過佔用空間小、隨插即用的軟體模組，部署在端點代理程式上。它提供即時的各連線流量情報，可將每個工作階段與原始主機系統、使用者及應用程式產生關聯。

● 威脅行為關聯分析裝置：使用行為式演算法來對網路作業產生基準線，以便快速找出和風險與威脅的異常，能夠將端點執行檔的活動對應到網路連線與流量，延伸該產品的流量行為檢查功能。

● 直覺式的網路安全管理平臺：以政策集中控制上述元件，幫助系統管理員透過進階關聯工作流程，將多個警示組織成一個事件，以便縮短調查警示所需的時間。

動態分析雖然能精準地指出惡意程式的行為，但是面對具有沙箱迴避能力的進階威脅則無法判斷，因此需要靜態程式碼分析，以反向工程取得原始程式碼，並進一步比對惡意程式家族相似度比對。

實施免特徵碼式網路防護的10種做法

建立行為式、亦即免特徵式的偵測機制，已刻不容緩，目前的網路安全系統已經開始會應用下列技術，來達到更進階、深入的防護目的。

1.程式碼行為分析

免特徵碼式檢查引擎，會利用模擬與沙箱技術檢查檔案或執行檔，並預測或觀察其在執行階段中的行為。

有些引擎能夠節省資源，因此會以幾乎即時的方式運作；有些引擎則需要密集運算，造成延遲。

因此，若能用資源密集度遞增的順序，將這些引擎結合在一起，就能以符合成本效益的方式，最大化處理效能與成效。

2.即時深層檔案檢查

這是多層的非特徵碼式惡意分析中的第一線防禦，此功能會尋找與阻止隱藏在內嵌指令碼中的威脅，如上述的 PDF 範本。

其中的深層檔案分析，主要使用簡化的 JavaScript 環境，來模擬指令碼執行與預測執行時期行為，一旦發現有異狀，系統會立即阻擋被查出是惡意指令碼的檔案，並依政策回應。

3.即時模擬（閘道式的防惡意程式引擎）

即時模擬會模擬工作中的環境來研究整個檔案的行為，有多個輕量型的執行環境可供各種瀏覽器、檔案類型與指令碼語言使用，提供一個精簡版的CPU、記憶體執行環境，以及作業系統應用程式設計介面（API）資源。

這些模擬器會模擬程式碼執行、為惡意程式碼提供勾點，並預測產生的行為。即時模擬會快速識別 rootkit、零時差威脅、進階持續威脅，及其他的進階型惡意軟體。

4.動態程式碼分析

當模擬發現未知檔案中沒有威脅後，下一步就是進行動態程式碼分析，在安全的虛擬機器沙箱中，完整執行程式碼。

此分析與模擬不同，因為它會實作出一個完整作業的執行階段環境，此環境是隔離的，以便安全地執行可能有惡意的程式碼，系統會將所有觀察到的行為，加以記錄與分類，包括作業系統、檔案與登錄項目的變更。

5.靜態程式碼分析

其實，靜態程式碼分析的應用，也是動態分析過程中不可或缺的一面。

由於沙箱分析能夠根據直接觀察的行為，因此找出惡意軟體的信賴度極高，它會在複雜的執行檔中可靠地找出隱藏的威脅，但很容易就會被各種策略躲過。

例如，一個檔案可能只要靜待超過觀察期，拖過預定的時間，讓這段時間內查無異狀，就會使沙箱檢查失效。或者，可以用程式撰寫一個檔案，來識別某些資源存在或不存在，判斷環境是否安全，並只執行一組看似無害且有限制的作業。

基於上述這些理由，動態分析的執行，應與真正的靜態程式碼分析一起，共同搭配才行。

而且，靜態檢查過程中，會有一段潛伏（未執行）程式碼性質的潛伏時段，這在動態分析中是完全看不到的。

同時，真正的靜態分析，會識別潛伏程式碼與已知惡意軟體樣本之間的結構相似之處，量化沙箱評估期間執行程式碼的百分比，並將複雜檔案的所有邏輯執行路徑對應出來。

執行靜態程式碼分析期間，會和動態分析同時啟動，並納入一些可用的輸出結果。有別於許多靜態惡意軟體分析技術，此檢查會完全解除封鎖隱匿的程式碼，並進行反向工程，以反組譯碼還原成原本的版本，然後剖析組譯碼，並進行統計分析，以便做到下列幾件事：

● 評估與已知惡意軟體系列的相似性

● 測量動態分析期間未執行的潛伏程式碼

● 提供檔案完整執行路徑的邏輯地圖

上述這些發現，都會納入動態分析的觀察中，提供整體威脅分數，以便表現樣本檔或執行檔為惡意的確定性。

6.流量行為分析

通常，這些免特徵碼式檢查方法會檢查流量中的行為模式，以尋找隱藏在正常活動背景雜訊中的異常訊號，無論訊號有多微弱。

7.端點情報分析

端點代理程式會將每個網路工作階段，與原始主機系統、使用者及應用程式處理序之間，產生關聯，以提供即時端點流量關聯性。它會利用主機端收集到的情報，展現端點執行檔與網路流量之間的關係，以便能夠進行下列動作：

● 近乎即時地找出惡意網路連線與執行檔

● 檢視每個攻擊的詳細處理序內容

● 封鎖惡意通訊並防止進階軟體散佈

● 隔離並修補遭入侵的主機系統

一旦代理程式安裝與設定後，它會盤點主機上的所有應用程式處理程序，並監視其通訊活動。

這時，網路中控臺會將此端點和工作階段資料，以及來源和目的地端點的信譽情報，相互結合，因此，我們對於擱置中的通訊，以及內部端點安全狀態的威脅評估結果，可以高度信任。

而且，系統會嘗試隔離遭入侵主機的通訊，藉此控制網路內的惡意流量。透過隔離遭感染的主機，並將認出的惡意軟體加入黑名單，可防止重要資料外洩，並局限其對網路的影響。

8.進階型殭屍網路偵測

透過流量與網路事件關聯性，將多個個別網路警示或異常產生關聯，並套用啟發式技術，以顯示出殭屍網路感染的真實蹤跡，此關聯能識別威脅，而其信賴度，遠高於單一、個別特徵碼所能提供的保護。

例如，在進階型殭屍網路分析下，會將看來明顯無關的DNS 網站查詢，和各種行為，例如PDF下載、內部端點與高風險Web網域間的流量突然增加等等，建立關聯。

這些事件個別來看，都不足以判斷內部端點是否有問題，但總體而言，該證據的發現，就足以證明進行隔離、調查和補救的正當性。

此外，進階的殭屍網路防禦技術會將各種事件與活動排序、建立關聯，並予以加權，以指出其他防禦技術所看不到的入侵行為。

9.網路威脅行為分析

藉由網路威脅行為分析，它會將網路交換器、路由器與其他裝置的網路流量資料彙整起來，並與入侵防禦系統的第7層應用程式流量資料結合在一起，依照每個應用程式，自動建立一般頻寬使用、主機對主機流量，以及加密使用情形的模型，並套用這些模型來進行識別，找出細微的異常狀況，以便發現入侵行為。

在這樣的網路威脅行為分析系統當中，會深入分析複雜、多媒介的攻擊，以及混合式威脅。

實際上，它會整體評估網路層級威脅、識別每個網路元素的整體行為，並立即找出明顯的異常，以識別：阻斷服務（DDoS）攻擊、零時差威脅、殭屍網路、蠕蟲及偵查型攻擊——即時且完全不需要特徵碼。

10.全球信譽分析

這些信譽分析服務，主要提供網路威脅識別所需的重要內容：外部網域、主機及訊息負載的信譽評估。

在資安廠商建置的全方位雲端威脅服務上，可使用對檔案、網站、訊息與網路連線的即時信譽評估，保護網路存取免於遭受來自所有媒介的攻擊，現今已可做到下列功能：

● 協助端點防範DDoS分散式阻斷服務攻擊、殭屍網路、命令與控制活動、進階持續攻擊，以及有危險性的網頁連線

● 縮短停機時間與網路型攻擊所造成的修補成本

● 在網路邊緣阻擋威脅，降低系統和網路的負擔

當發生如前述的惡意PDF攻擊時，來自雲端威脅服務的信譽情報，將提供多個機會來封鎖或防禦攻擊。而對於傳遞給IPS的檔案信譽情報，也能允許在威脅傳遞前，就予以封鎖。

負責惡意端點處理程序的信譽情報，則能通知端點代理程式，封鎖傳出連線要求，並找出遭入侵的主機。

由於雲端威脅服務會通知每一層防惡意軟體防禦，因此可創造多個機會攔截與限制攻擊，並且全都無須耗用到特徵碼式偵測的資源。

若從實際的企業級產品來看，就以Intel Security自身的McAfee TIE為例，它是本地化威脅情報交換平臺，我們可藉由此威脅交換平臺的建立，讓網路、端點、資料、應用程式，以及其他第三方安全性解決方案，即時共享安全情報，而能進一步落實安全性的自動調適，以及立即聯防。

這將如何運作？在前述提到的案例中，網路端截取到的可疑樣本，送到進階的惡意防禦解決方案進行沙箱分析後，確認是惡意後，即可回覆給網路安全系統進行阻擋。

如果先前就有其他的端點接收到相同的檔案，而透過威脅交換平臺的情報資料分享，所有的安全解決方案，如：端點與網路安全等防護系統，都能在第一時間就被告知該檔案是惡意的，他們就能立即聯防、避免受駭了，藉此發揮安全智慧連結的效益。

網路流量與用戶端代理程式的資訊，都會集中到Network Threat Behavior Analysis（NTBA）進行流量行為分析，並向中控臺匯報可疑的流量。

免特徵碼惡意軟體偵測技術的重要性

惡意軟體威脅狀況不斷改變，網路安全實務也緊隨其後發展。目前而言，基於特徵碼式的防禦技術，仍是阻止數百萬已知攻擊最重要的方法，但是，只有特徵碼，是無法阻止現今先進、有規避能力的惡意軟體。

今日，要實現有效的安全性，同樣也需要免特徵碼惡意軟體偵測技術，此技術會利用多個偵測階段，並部署在多個彼此重疊的保護層中，才能提升零時差進階威脅的防禦能力。