2016.09 Vol. 46 AhnLab 端点保护平台战略
AhnLab Endpoint Protection Platform Strategy AhnLab 提出 自适应安全架构 来应对勒索软件 数字商业时代的网络安全 当今已是数字商业时代 数字商业的发展使数字和物理世界之间的界限逐渐变得模糊, 并且正在创造一个全新的商业模式, 而不仅仅是 IT 技术集成到业务 另外, 利用 云计算 (Cloud) 社交媒体 (Social Media) 人工智能 (Artificial Intelligence) 物联网 (IoT) 和 大数据 (Big Data) 等 IT 技术的数字化转型 (Digital Transformation) 成为了当前的一大课题 数字化转型不仅包括了 技术 (Technology) 的转型, 还包括 人 (People) 和 进程 (Process) 的转型, 这是需要企业全面业务转变的又长又艰辛的一个过程 尽管如此, 很多企业比以往任何时期都更迅速和积极地采纳数字化转型, 并在各自的商业生态系统中生存的同时寻找新的市场机会 在安全方面, 数字商业的扩大需要以全新的角度来接近 数字业务的扩大, 不仅扩大了现有的风险 (Risk), 同时也产生了意想不到的新的数字风险 (Digital Risk) 对这些未知的 难以预测的威胁, 主动防御更是不容易 对此, 世界著名的分析机构 Gartner 强调, 在新的安全威胁不断出现的当今时代, 安全公司需要建立一个集中于恢复力 (Resilience) 的安全战略, 即使发生安全事故也可以灵活 及时响应 即, 企业需要具备吸收这些数字化业务带来的变化的能力, 同时还要具备在适应变化的过程中, 即使发生事故也能够快速恢复的能力 图 1 安全模式的转变 (* 来源 :Gartner) 2
当前客户端面临的安全威胁 - 勒索软件 正如上面所述, 安全厂商不可避免地需要对当今数字商业时代的新的威胁做好准备 然而, 应对客户目前面临的安全威胁也不容忽视, 这是安全厂商优先解决的一大问题 当前, 全世界很多企业被勒索软件 (Ransomware) 威胁着, 为摆脱勒索软件的威胁, 都在积极选择解决方案 最近, 随着勒索软件的急剧增加, 陆续发生了企业重要系统被勒索软件感染事件 勒索软件已成为全世界最为严重的安全威胁 据 2015 年 10 月发行的赛博威胁联盟 (Cyber Threat Alliance) 的 有利可图的勒索软件攻击 :CryptoWall 3.0 的威胁分析 (Lucrative Ransomware Attacks: Analysis of the CryptoWall Version 3 Threat) 介绍,CryptoWall 3.0 的制作者在全世界范围内估计掠夺了 3.25 亿美金 不到一年的时间, CryptoWall 3.0 就发生了如此多的犯罪收益 勒索软件不只 CryptoWall 一个种类, 包括其他的勒索软件, 勒索软件的收益可能会达到数万亿美元 如同一般的软件, 勒索软件持续推出功能升级的版本 而且呈现类似于高级持续性威胁 (APT), 使用各种攻击技术来绕过防病毒软件的检测 但不同于长时间潜伏在计算机系统的 高级恶意软件, 勒索软件在加密文件后即刻暴露自己, 随后迅速要求支付赎金 由于这些原因, 现有的安全解决方案无法完全检测和提前阻止勒索软件 AhnLab 的勒索软件解决方案 V3+MDS AhnLab 通过端点安全解决方案 - V3 Internet Security( 以下简称为 V3) 和 APT 响应解决方案 MDS 的互动, 有效应对勒索软件 V3 基于特征码和基于云的威胁情报, 利用基于信誉和行为的诊断技术来检测和拦截勒索软件 尤其, 基于行为的诊断技术可以防御勒索软件的渗透 执行 文件加密等全过程的行为 APT 响应解决方案 - MDS 可以在网络层收集和检测渗透到企业内部的文件, 并基于沙箱对新型恶意软件和 Exploit 执行静态和动态分析 另外,MDS 在端点层利用 运行保留 (Execution Holding) 功能来主动响应恶意软件 运行保留 是指可疑文件在 MDS 进行分析的期间阻止该文件的运行, 使可疑文件无法在用户计算机执行恶意行为 即, 运行保留功能可以提前防止可疑的新型勒索软件加密保存在计算机的文档 图片 视屏文件等, 并通过综合分析, 准确判断恶意与否, 最大限度减少勒索软件的威胁 当 MDS 的分析结果判定为勒索软件时, 继续保留运行的状态下通知用户分析结果 如果分析结果为正常文件, 则解除运行保留后允许用户正常使用该文件 图 2 AhnLab 勒索软件响应战略 : 网络沙箱和端点安全的互动 3
最近的勒索软件攻击事例表明, 攻击者最终攻击目标是端点 为防止这种针对端点的攻击,AhnLab 提供了 端点安全加固 (EndpointSecurity Hardening) 解决方案, 最大限度地减少零日漏洞攻击和恶意软件的停留期间 代表性的解决方案有防病毒解决方案 - V3 Internet Security 9.0, 操作系统和主要应用程序漏洞的自动补丁管理解决方案 - AhnLab Patch Management, APM, 计算机漏洞自动检验解决方案 - AhnLab My PC Inspector 等 图 3 AhnLab 的勒索软件响应战略 : 连续端点加固 客户案例 :A 公司的 APT 攻击和勒索软件响应战略 A 公司为了防御 APT 攻击和勒索软件, 引进了 AhnLab MDS 和 V3 Internet Security 9.0 先是在 2015 年引进了 AhnLab MDS, 之后在 2016 年引进了 V3 Internet Security 9.0 通过 MDS, 提前预测可疑文件, 并确认渗透路径 利用防病毒软件 V3 快速检查遗留的恶意软件, 完全除去系统残留的安全威胁 A 公司的安全负责人说道 : 自引进 AhnLab 公司的 MDS 和 V3 后, 我们从勒索软件的威胁获得了自由 网络沙箱设备 -MDS 和防病毒解决方案 -V3 的互动效果出色 尤其是,AhnLab 持续添加最新的基于行为的诊断技术, 如 Decoy 诊断技术等 因此, 我们更是信赖 AhnLab 的技术和服务 在问候引进 MDS 和 V3 后的变化, 他进一步指出 : 我们可以立刻检出恶意软件的来源和存放的位置, 并能迅速采取措施 尤其是, 通过防火墙拦截渗透路径, 这减少了为解决安全威胁所投入的时间 AhnLab 的端点保护平台 (Endpoint Protection Platform) 战略 很多安全专家都说, 对于几何式增长的新种和变种恶意软件和使用多样且高级的攻击技巧的安全威胁, 很难百分之百预防或防 御 Gartner 也强调, 限定在特定领域的安全技术无法完全防御当前的安全威胁, 必须构筑 自适应安全架构 (Adaptive Security Architecture), 以持续改善不足的部分 4
图 4 AhnLab 的自适应安全架构 AhnLab 力求从端点安全 (Endpoint Security) 产品提供商 (Product provider) 演变为面向威胁情报 (Threat Intelligence) 的平台提供商 (Platform provider) 在自适应安全架构方面,AhnLab 正计划整合其安全解决方案, 并不断发展分析 (Analytics) 和监控 (monitoring) 技术 特别是, 将 实现安全 定为 AhnLab 的首要任务, 给客户提供业务的连续性 AhnLab 的目标是将响应安全威胁的提前期 (Lead time) 降到最低, 实现端点检测和响应 (EDR,Endpoint Detection & Response) 体系来迅速恢复正常业务 5
http:// cn.ahnlab.com http://global.ahnlab.com http://www.ahnlab.com 关于 AhnLab Ahnlab 的尖端技术和服务不断满足当今世界日新月异的安全需求, 确保我们客户的业务连续性, 并致力于为所有客户打造一个安全的计算环境 我们提供全方位的安全阵容, 包括经过证实的适用于桌面和服务器的世界级防病毒产品 移动安全产品 网上交易安全产品 网络安全设备以及咨询服务 AhnLab 已经牢固地确立了其市场地位, 其销售伙伴遍布全球许多国家和地区 北京市朝阳区望京阜通东大街 1 号望京 SOHO 塔 2 B 座 220502 室 上海市闵行区万源路 2158 号 18 幢泓毅大厦 1201 室 电话 : +86 10 8260 0932( 北京 ) / +86 21 6095 6780( 上海 ) cn.sales@ahnlab.com 2016 AhnLab, Inc. All rights reserved.