最新网络安全威胁对金融体系的危害及应对方案2

最新网络安全威胁对金融体系的影响及应对方案北京科能腾达信息技术股份有限公司目录目录当前网络安全现状最新网络安全威胁解析高级逃避技术介绍及其危害CNGate反高级逃避技术介绍金融体系客户案例CNGate公司简介目录当前网络安全现状每天平均都有新的漏洞被发现当前网络安全现状--漏洞越来越多数据来源：国家信息安全漏洞共享平台当前网络安全现状--漏洞没有补丁或没有及时打补丁当前网络安全现状--排名前十的关键漏洞没有PATCH厂商IBM漏洞分析小组的报告，很多系统其实是存在一些漏洞但是厂家短时间内没有任何解决方案IBM-X-Force-Vulnerability-Threats如何解决?安装补丁?Yourcomputermayfreezeorrestarttoablackscreenthathasa"0xc0000034"errormessageafteryouinstallWindows7ServicePack12010.04用户更新某厂商的防病毒补丁后出现大量机器被锁住无法登陆现象，厂商紧急发布新的补丁。

2009.01

Conflicker蠕虫病毒爆发受感染的服务器达到几百万台，因为许多公司的Windows服务器没有安装早在2008年10月发布的补丁Administratorsdonotinstallpatches!BecauseImportantservercancrash!Weneedupto30daystoinstallpatchesforour113

Servers!!!!

(USAirForce

)各个厂商提供虚拟补丁VirtualpatchIPSjustrecognizeattackandclosemaliciousconnectionsforvulnerableservices目录最新网络安全威胁解析最新网络安全威胁是什么？DataLossDB.orgIncidentsOverTime来自于全全球专业业性数据据泄漏事事件分析析网站:/statistics近几年数数据泄露露事件统统计目录高级逃避避技术介介绍及测测试什么是““逃避技技术”？？什么是““高级逃逃避技术术”？“高级逃逃避技术术”是如如何实现现的？为什么大大多数安安全产品品无法检检测并防防护“高高级逃避避技术””？“高级逃逃避技术术”的应应对策略略及防范范建议“高级逃逃避技术术”测试试方法高级逃避避技术介介绍及测测试什么是逃逃避技术术？一种通过过伪装和/或修饰饰网络攻击击以躲避信息安全全系统的的检测和和阻止的的手段利用逃避避技术，高级黑黑客和和怀有有恶意的的的网络络犯罪分分子可以以对具有有漏洞的的系统进进行悄无声息息的攻击击，破坏坏目标系系统或者者获取重重要数据据信息。。目前的安安全系统统对这些些逃避技技术束手手无策，，就像隐隐形战斗斗机可在在雷达和和其它防防御系统统检测不不到的情情况下发发起攻击击。16通常IDS/IPS工作模型型会分为为3个层次信息资源源层（InformationSource）分析层(Analysis)响应层(Response)逃避技术术的发现现1990年逃逃避攻击击技术出出现1997-1998年年才出现现了有真真正文字字记载的的逃避攻攻击技术术，这种种技术可可以避开开网络入入侵检测测系统的的检测测参考考：Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection--January,1998逃避技术术是一种种通过伪伪装和/或修改改网络攻攻击以逃逃避信息息安全系系统的检检测和阻阻止的手手段。逃避技术术最大的的危害是是可以携携带恶意意攻击软软件和病病毒避开开信息安安全系统统的检测测进入到到信息系系统内部部。但是是安全系系统不会会存在任任何拦截截和告警警信息。。逃避技术术的发展展历程字符串混淆（Obfuscation）碎片（Fragmentation）协议违规（Protocolviolations）通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段；利用协议中不常用的属性，伪装攻击流量躲避安全系统检测。逃避手段逃避技术术混淆攻击击有效载载荷-Obfuscatingattackpayload通过不同同编码编编译攻击击的有效效载荷，，目标系系统能够够解码但但是IPS/IDS无无法解码码这些编编译过的的有效载载荷，例例如：使使用Unicode来编译攻攻击包，，但是IDS/IPS无法识识别，可可是IISWEBSERVER可以解码码，遭受受攻击字符串混混淆MSRPCBig-endianencoding23OverlappingFragments数据包分分段重叠叠技术是是通过修修改数据据包的TCP序列号来来实现重重叠，例例如第一一个数据据包90个字节，，第二个个数据包包序列号号是从第第80个字节开开始的，，当目标标系统重重组TCP流的时候候就需要要决定如如何去处处理8个字节重重叠。这这就需需要IPS/IDS能够处理理重叠部部分的数数据包.24TCPTimeWait打开然后后关闭TCP连接，再再使用同同一协议议和端口口打开一一个新的的TCP连接.根据TCPRFC标准,TCPclient重新使用用同一端端口之前前必须等等待一段段时间如果黑客客使用自自己的TCP/IP协议集,他可以打打开然后后关闭TCP连接,然后使用用同一个个端口快快速建立立一个新新的TCP连接,新的连接接会被传传统的IPS/IDS放行，这这就要求求IPS需要能够够熟练控控制新的的连接举例:参考数据据包截图图Frame3——Frame5TCP连接建立立,使用29522端口连接接445端口Frame6––Frame7发送一些些自由的的字节信信息Frame8-Frame10TCP连接关闭闭,此时目标标系统端端口进入入TIMEWait状态,Frame11-Frame13新的TCP连接使用用相同的的29522端口连接接目标系系统，攻攻击继续续执行，，有可能能不被检检测到2526InsertingTrafficattheIDS通过一些些手段使使IDS/IPS可以看到到一些数数据包，，但是目目标系统统确没有有收到数数据包，，例如可可以修改改数据包包的TTL，使一部部分数据据包到达达IDS/IPS时候丢弃弃。从而而导致IDS/IPS和目标标系统统的状状态不不一致致，我我们称称之为为状态态同步步破坏坏TCPUrgentPointer利用目目标系系统和和IPS/IDS对于TCPUrgentPointer不同的的理解解。目目标系系统可可以忽忽略添添加的的TCPUrgentPointer字节，，但是是却可可以混混淆IPS/IDS的检测测例如：：TCPStream:\xffPSMB(P是urgentdata)IPS看到的的结果果:\xffPSMB(不是协协议SMB)Windows看到的的结果果:\xffSMB(但是windows忽略urg位)协议中中不常常用属属性的的使用用例例如如:TCPUrgentPointer分片逃逃避技技术数据包包分片片是正正常的的网络络行为为，将将恶意意的数数据包包分割割成多多个分分片的的数据据包进进行行传递递就可可以欺欺骗IPS检检测，，这这就需需要IPS能能够重重组数数据包包检测测出恶恶意攻攻击包包，如如果分分片加加入重重叠技技术将将使重重组过过程更更加复复杂，，正常的的HTTPREQUEST在会话话建立立后只只是在在一个个数据据包传传递逃避技技术举举例:HTTPRequest3部分8字节的的分段段数据据包7字节的的分段段数据据包攻攻击同同时也也包括括1个字节节的重重叠部部分，，每一一个分分段的的最后后一个个字节节也是是下一一个分分段第第一个个字节节，由由于每每一个个数据据包的的序列列号是是正确确的，，因此此目标标系统统可以以正确确的重重组数数据包包，从从而会会遭到到攻击击存在4字节的的自由由字符符在数数据包包头前前，这这些无无效的的字符符通常常会被被目标标系统统丢掉掉，但但是却却可以以混淆淆IDS/IPS。普通的的逃避避在TCP/IP的不同同协议议栈同同时进进行加加载组合形形成了了高级级逃避避.可穿越越多种种协议议或协协议组组合,黑客通通常是是利用用高级级逃避避技术术作为为高级级不间间断攻攻击(APT)的重要要部分分.高级逃逃避技技术的的出现现EthernetVLANTagsSMB2SMBTCPUDPApplicationMSRPCApplication高高级逃逃避技技术举举例逃避技技术对对各厂厂商设设备检检测技技术的的影响响•HPTippingPointIPS•PaloAltoNetworksFirewall•FortinetFortiGate•Snort(in-linemodeusingSecurityOnion)恶意意攻攻击击选选择择为了了能能正正确确的的测测试试逃逃避避技技术术对对不不同同厂厂商商检检测测技技术术的的影影响响，，所所选选择择的的攻攻击击要要能能够够被被所所有有厂厂商商能能够够检检测测到到并并且且可可以以进进行行阻阻断断，，我我们们选选择择是是2008年年的的Conficker蠕蠕虫虫病病毒毒攻攻击击针针对对Windows以以下下弱弱点点CVE-2008-4250MS08-067HPTippingPointIPS应用用简简单单分分片片逃逃避避技技术术总共共858bytes简简单单分分成成2个个分分片片432bytes和和426bytes应用用2种种组组合合的的逃逃避避技技术术——分分片片+混混淆淆Wireshark显显示示攻攻击击成成功功逃避技术-封装序列列号码TCPsequencenumberisa32-bitnumber最大值为4,294,967,295(0XFFFFFFFF)47CISCOASA4849Decoytrees5051SMBfragmenting5253545556Snort57IPC$share不是恶意的内内容，是用在在Windows远程服务，因因此不需要设设定阻断策略略以下三个策略略是标识数据据包中的shellcode,利用MS08-067弱点来进行攻攻击，需要进进行阻断58596061asinglebyteof0X00isaddedasthe‘urgent’data.高级逃避技术术工作在TCP/IP不同层次的逃逃避技术是可可以同时加载载的。利用协议中不不常用的属性性或者是不遵遵守协议规范范，伪装攻击击流量躲避安安全系统检检测。黑客通常是利利用高级逃避避技术作为高高级不间断攻攻击（APT）的重要部分分。PAIPS：TCPSegment:Segmentsize:20TCPSegmentOverlap:Overlapamount:1CISCOIPS：TCPSegment:Segmentsize:1从这些研究测测试得出的结结论：不要期望您的的安全设备是是坚不可摧的的不要依赖安全全设备的默认认策略配置，，要充分了解解自己的业务务系统，订制制针对性的策策略要使用反逃避避的解决方案案高级逃避攻击击技术的危害害金融系统对外外业务系统失失去保护。金融系统用户户数据存在严严重的泄露风风险。“我们是安全全的”这种错错觉让金融体体系很容易受受到攻击。大多数（99%）现有安安全设备对高高级逃避攻击击不能够拦截截和告警在高级逃避技技术下，系统统和数据随时时都处于危险险状态，而用用户却不得而而知。品牌信任用户数据借贷信息行业信誉合规遵从性敏感信息关键网络架构构业务连续性电子银行交易平台支付平台反高级逃避对对于金融体系系用户安全防防护的重要意意义高级逃避技术术都可以破破坏它们!目录CNGate反高级逃避避技术介绍为什么99%的安全厂商商

下一代防防火墙

下一一代入侵防御御系统

WEB防火墙等等产品无法法检测并防护护AET？传统方式采用用垂直检测数数据流-基于数据包，，数据分段的的检测一大部分的逃逃避技术仅仅仅基于协议的的正常功能，，而且这些功功能在正常的的通信中被广广泛的使用着着。IPfragmentationTCPsegmentationMSRPCfragmentationIPrandomoptionsTCPTIME_WAITTCPurgentpointer一般的，，这些逃逃避不会会和任何何RFC冲突，这这是为什什么协议议检查也也无法发发现这些些逃避技技术。SMBfragmentationMSRPCaltercontext使用静态态特征库库进行防防护的?Http:///CVE列列出了了多余45,000CVE标识………IPS一一般覆盖盖了–3000––4000fingerprints…..大多数IPS产产品默认认仅有1000signatures被检检查……..(考虑性性能原因因)如果只有有1%的的高级级逃避技技术被利利用-这这个数数字将是是多于100万万种！测试工具具受限目前有一一些工具具，集成成了一些些逃避的的技术但是，这这些工具具是基于于不同的的漏洞风风险的，，并不是是基于不不同的逃逃避技术术的所以，就就无法深深入的研研究高级级逃避技技术，及及无法提提供验证证防护效效率的工工具。高级逃避避技术隐隐藏的攻攻击可以以逃避IPS/IDS的检测测–JackWalsh,ProgramManager如果你的的网络系系统不能能够发现现拦截高高级逃避避，你将将面临巨巨大损失失–RickMoy,President进来的研研究发现现AET是真真是存在在的而且且成爆发发时增长长。–BobWalder,ResearchDirector高级逃避避技术被被证实ICSA/NSS/Gartner证明这一一系列新新型逃避避技术确确实不能能被主流流IPS设备备所所检检测测出出来来高级级逃逃避避技技术术的的特特性性《CybercrimeKillChainvs.DefenseEffectiveness》》Nov,2012StefanFrei,Ph.DfromNSSLAB高级级逃逃避避技技术术在在APT攻击击中中被被广广泛泛使使用用对于于Oracle数数据据库库，，一一个个RPC碎碎片片逃逃避避就就可可以以导导致致30多多种种不不同同远远程程攻攻击击高级级逃逃避避技技术术的的特特性性高级级逃逃避避的的存存在在促促使使了了下下一一代代IPS出现现Gartner制定定了了描描述述了了下下一一代代IPS的蓝蓝图图其中中一一个个重重要要的的原原因因就就是是高高级级逃逃避避逃逃避避了了IPS的检检查查《DefiningNextIPS》利用逃避技技术和其它它新的传递递手段高级逃避技技术的特性性“高级逃避避技术”已已经引起国国内安全专专家和厂商商的重视国内安全厂厂商纷纷投投入力量进进行研发，，目前对““普通逃避避技术”已已经取得了了较好的防防御效果国内部分安安全产品已已经能够防防御部分或或大部分的的“高级逃逃避技术””的入侵，，但是仍存存在较大的的技术差距距进一步加强强对“高高级逃避技技术”最新新威胁的研研究，成为为国内安全全行业的首首要课题国内针对高高级逃避技技术的研究究近况CNGate反“高高级逃避技技术”防范范策略1、安全设设备规范要要求安全硬件和和软件系统统需要合乎乎以下标准准分层的标准准化检测基于RFC标准的协协议解码是是在所有的的协议层进进行标准化化检测合规标准化化检查是目目前防御逃逃避攻击的的一种最可可行的方式式具备逃避防防护技术就就绪的系统统取决于它它有能力和和有效率在在所有层面面实现合规规标准化检检查。合规化检查查的原理就就是利用TCP/IP协议的的堆栈，打打开堆栈发发现异常数数据字节然然后清洗干干净，再根根据协议类类型编写真真正数据流流的特征。。这就是说说,所有协议需需要准确解解码并进行行标准化检检查之后根根据已经具具备的指纹纹特征准确确匹配风险险独立的特征征匹配指纹识别不不需要去担担心逃避，，因为标准准化检测就就已经可以以对付它们们了。动态化保护护高级逃避技技术特征动动态升级，，需要集中中管理平台台对设备和和特征库统统一升级和和配置管理理安全引擎在在每一层执执行完整的的协议栈检检测，基于于应用层数数据流的检检测过程网络防御分析器EPS-1EPS-2EPS-3EPS-4EPS业务系统1分布式部署署—将安全全防护由““点”升升成“面””业务系统2业务系统4业务系统32、管理要要求—维护护管理定期审计关关键资产，，关键数据据和应用系系统是否遭遭受过入侵侵（高级逃逃避技术的的出现导致致目前的任任何系统都都是受到威威胁的）应该考虑长长期的计划划和策略来来迁移到动动态的，可可以有效拦拦截逃避攻攻击的解决决方案，通通过集中管管理方式快快速更新系系统的补丁丁，实现实实时监控系系统和应用用状态，对于不能及及时更新补补丁的关键键资产，要要执行风险险分析，可可以防御逃逃避/高级级逃避技术术的动态的的解决方案案可以作为为关键资产产系统的虚虚拟补丁3、取证，，事后跟跟踪取证，事后后跟踪系统统分析器IPS/IDS感应应器IPS/IDS感应应器集群IPS/IDS感应应器/分析析器集中管理中中心LogeventsAlerts网络监视总结逃避技术/高级逃避避技术是一一种通过伪伪装和/或或修改网络络攻击以逃逃避安全系系统的检测测和阻止的的手段。逃避技术/高级逃避避技术最大大的危害是是网络犯罪罪分子可以以携带恶意意攻击软件件和漏洞利利用攻击程程序避开安安全系统的的检测入侵侵到系统内内部。但是是安全系统统不会存在在任何拦截截和告警信信息传统的IPS/IDS只是是可以拦截截和告警简简单的逃避避技术，这这些简单的的逃避技术术通常出现现在TCP/IP协议栈栈某一层，，是独立的的逃避攻击击。但是对于应应用层的逃逃避已经跨跨协议或多多种协议组组合的高级级逃避技术术则没有任任何办法安全是一个个过程我们相信AET的出出现将冲击击整个IPS/IDS/NGFW行业业测试结果可可以证明高高级逃避技技术是存在在的仍然有很多多未知的AET需需要去发现现和研究。。目录录金融体体系客客户案案例目录录银行、、证券券、保保险中国银银行交通银银行中国建建设银银行浙浙江分分行中国建建设银银行河河南分分行中国建建设银银行陕陕西分分行中国建建设银银行j江西西分行行宁夏银银行青海银银行西安银银行廊坊银银行莱芜银银行大新银银行中国建建设银银行合合肥信信用卡卡中心心国泰君君安证证券申银万万国证证券银河证证券东海证证券中国人人寿保保险公公司华夏人人寿保保险公公司天安人人寿保保险公公司信达澳澳银基基金管管理有有限公公司北京现现代汽汽车金金融有有限公公司云南乐乐富支支付有有限公公司英国巴巴克莱莱银行行上海海分行行CNGate公公司简简介关于我我们2012年9月成功功登陆陆”新三板板”（中国国创业业板）），股票票代码码：430148成立于于2000年，14年专注注于网网络安安全领领域北京（（总部部），，产品研研发中中心（（北京京、深深圳））2014年7月，迁迁入位位于北北京第第二金金融区区的办办公新新址，，1500平米+华北电电力大大学50多人的的VAG小组分支机机构：：上海海、西西安、、广州州、成成都、、郑州州、青青岛主要业业务区区域：：华北北、东东北、、华东东、西西北、、西南南、华华南主要客客户：：政府府、公公安、、教育育、金金融、、医疗疗、能能源、、社保保/医保保、、互互联联网网业业务务平平台台，，客客户户总总数数超超过过4000家大大型型和和中中型型机机构构CNGate产品品均均已已获获得得政府府、、军军队队的的销销售售许许可可证证CNGate全线线产产品品进进入入中央央政政府府采采购购平平台台CNGate硬件件平平台台生产产基基地地：：深深圳圳公司司发发展展历历程程推出CNGate-AGWEB应用安全网关推出CNGate-ITM网络监控管理可视化系统2008-201120142012CNGate-AET-NGIPS下一代高智能入侵防御系统CNGate-NGFW下一代防火墙CNGate-WAFWEB应用防火墙成功登陆新三板

简称：科能腾达代码：430148专注网络安全领域，提供网络安全解决方案和服务2000-20082013推出CNGate-BAS运维管理审计系统推出“货架式”安全等级保护解决方案20002014-2015推出“安全管家”安全服务解决方案推出“网络威胁入侵监测及全网应急响应中心”方案推出TES（高级逃避技术测试工具）SIEM–安全事件管理平台EPS-反高级逃避攻击专用产品CNGate全全线线产产品品CNGate荣荣誉誉CNGate荣荣誉誉公司司优优势势CNGate系系列安安全全产产品品，，严严格格按按照照国国家家四四部部委委颁颁布布的的《《信信息息安安全全等等级级保保护护标标准准》》的的要要求求，，进进行行规规划划和和研研发发“抗抗高高级级逃逃避避技技术术””是是公公司司的的核核心心技技术术，，独独有有的的深深度度检检测测技技