狙击病毒，收藏这一篇干货就够了

自 “WannaCry”勒索病毒爆发以来，慢慢淡出视线的病毒问题又开始在各企事业单位大面积肆虐，据国家互联网应急中心发布的2018年度安全态势报告统计，CNCERT 捕获勒索软件近 14 万个，全年总体呈现增长趋势，重要行业关键信息基础设施逐渐成为勒索软件的重点攻击目标，其中，政府、医疗、教育、研究机构、制造业等行业成为重灾区。如何有效进行防范病毒成为网络安全工作中亟待解决的难题。本文旨在通过对病毒关键问题的分析，帮助用户更全面梳理病毒防御体系的建设思路，同时提出锐捷网络病毒定位防护全流程解决方案。

问题一：为什么这两年病毒在各重点行业大面积爆发？

对于病毒攻击者来说，核心诉求是利益获取。以往的病毒攻击事件，大部分以数据盗取为主，同时通过数据倒卖等手段进行变现。受限于数据精准获取及变现渠道限制，更多以单点安全事件为主，很难形成规模爆发效应。而近几年随着虚拟货币的兴起，病毒攻击变现变得非常简单和隐蔽，攻击者只要掌握了资源的可用性，就可以借助网络货币快速变现，巨大利益驱使下导致以“勒索病毒”、“挖矿病毒”为代表的病毒不断蔓延。

问题二：为什么有杀毒软件、IPS、防火墙等安全防护措施，病毒依然泛滥？

杀毒软件、IPS、防火墙等传统防护手段，虽然必不可少，但均属于以特征库为核心的被动防护方案，在病毒防护的实际应用场景中，面临“时效、单点、溯源”三大核心问题。

1、防护时效的滞后

基于特征库的防御手段，对于病毒的防御均会经历：① 新病毒出现② 样本采集 ③ 厂商解读④特征提取⑤ 特征库更新⑥ 用户端更新 ⑦ 病毒检测与查杀，七个步骤。这个周期一般在数小时至数天之间。时效的天然滞后性，在应对频繁变种病毒时效果往往不尽如人意。据CNCERT统计，2018年全年勒索软件 GandCrab 更新了19 个版本，且由于勒索病毒性质的特殊性，一旦被感染，即使后续特征库更新，也可能造成无法弥补的损失。

另外受限于用户网络环境中，各厂商特征库差异、设备无法联网、更新授权过期等各种因素限制，即使是已知病毒也会造成严重伤害。以爆发两年多的WannaCry首个版本病毒为例，在2019年很多的用户网络中依然被发现，这让人们意识到仅仅依靠传统被动防御方案已经无法满足日益突出的病毒防护需求。

2、单点防护，体系薄弱

在多数的用户网络中，常常以部署杀毒软件为唯一的病毒方案措施。锐捷认为，杀毒软件作为病毒入侵的最后一道屏障，必不可少，但却远远不够，一旦杀毒软件被突破，特别是新型的病毒，则会直接碰触到业务系统及数据。病毒防护必须依赖于全面的防护思路，通过多层、多维的防护措施，构建完整的病毒防护体系。

3、入侵难以溯源

溯源问题一直是安全防护中非常关键的一环，找到安全问题的源头，从根本上予以解决，才能避免陷入救火式的工作模式中。而传统的以查杀为主的防范方案，并无法找到病毒入侵的源头，网络和系统的脆弱点依然存在，常常被重复利用，造成病毒问题周而复始。如何进行溯源体系建设是病毒防护中非常重要的一环。

问题三：如何建立合理、有效的病毒防御的体系，实现病毒问题可管可控。

在病毒防护体系建设时，我们需要分析病毒入侵的本质。虽病毒类型各异，但从病毒入侵的过程是存在共性的，这与洛克希德-马丁公司提出的“网络杀伤链”理论非常契合。即整个入侵过程，一般会经历侦查跟踪、武器构建、载荷投诉、漏洞利用、安装植入、命令与控制、目标达成七个阶段，每个阶段均会有对应的行为或特征，可用于进行检测防护。当然对应的最有效检测防护技术手段也不一致，在越早的杀伤链环节发现和阻止攻击，病毒防护效果就越好，修复和时间成本就越低，而绝非只有到安装植入后，才进行介入检测防护，否则所做的防护工作往往事倍功半。

问题四：依据网络杀伤链为指导，每个阶段应具备什么样病毒防护能力，锐捷可以提供什么样的方案？

从每个阶段所带来的影响分析，在网络杀伤链的前三个阶段进行有效监测防护，是病毒防护的最佳阶段，此时病毒还未对业务造成实质的影响，监测防护工作所带来的价值最为明显，下面我们通过不同阶段的分析，提供合理的防护方案建议。

1、侦查跟踪阶段

主要目标：攻击者搜寻目标主机的弱点

常用手段：高危端口探测、恶意漏洞扫描、身份凭证尝试等

关键问题：如何对可疑的探测行为快速的捕获和判断？

锐捷解决之道：

① RG-DDP 动态防御：通过虚拟大量虚假主机，快速诱导捕获探测行为，构建病毒入侵的快速监测机制，同时扩大攻击面、延长被入侵时长，降低攻击成功概率。由于不采用特征库，天然解决了特征库模式时效问题。

② RG-BDS 分析平台+ 流量探针：除了基于“安全特征”，还可依靠“行为模型”去发现未知威胁和攻击，摆脱特征库时效的束缚。

2、载荷投送阶段

主要目标：制作一个恶意程序工具，并投送到目标主机

常用手段：恶意邮件链接、网站页面钓鱼、远程登录等

关键问题：如何对网络传输文件进行快速深度检测。

锐捷解决之道：

① RG-Sandbox 沙箱：支持在各类虚拟环境模拟运行文件和URL，根据运行结果而非特征去判断威胁，对可疑文件进行模拟运行检测，所以不仅能检测到已知威胁，还可以检测到未知威胁。

② 流量探针：文件还原检测，结合威胁情报辅助，实现对文件的还原、检测、存储，帮助用户进行威胁溯源。

③ RG-WALL 1600系列下一代防火墙：基于CPU+ASIC 架构设计，结合本地库和云端库，提供及时更新的强大 AV病毒检测能力。

3、漏洞利用及安装植入阶段

主要目标：利用主机存在的漏洞，运行植入恶意程序

常用手段：恶意漏洞扫描利用

关键问题：如何精准评估漏洞风险，让安全加固更具备针对性

锐捷解决之道：

① RG-BDS安全大数据分析平台+ RG-SCAN漏洞评估系统，实现攻击与漏洞的自动关联，让漏洞不仅仅是孤立的存在，与实际现网情况动态调整风险，让安全加固更具备针对性。

② 锐捷网络与火绒安全等终端杀毒软件厂商建立合作生态，实现整体病毒防护方案能力整合，让网络监测与终端检测有效融合。

4、命令与控制阶段

主要目标：攻击者建立控制系统的路径

常用手段：C&C 回连、僵尸网络

关键问题：如何在网络流量中发现异常的命令控制链接

锐捷解决之道：

RG-BDS+探针+威胁情报协同，实现对C&C 回连通信、僵尸网络等威胁的检测，发现病毒威胁。

通过以上整体病毒防护体系的建设，让病毒防护形成整体防护效应，通过各阶段多层、多维的监测防护技术，实现从病毒入侵开始到结束整体过程的监测防护，解决时效、单点、溯源的三大难题。

需要强调的是，以上各阶段的组件可通过RG-BDS大数据安全平台协同联动，实现病毒整体阶段定位分析， 也可单独工作，实现各阶段病毒定位防护，锐捷提供的是一种整体方案，更是一种病毒防护的建设思路，让安全建设不只是安全设备的盲目垒砌，帮助用户构建整体安全防护体系。