IPS的引擎设计的好坏是决定IPS入侵防御效果的核心,误报和漏洞是检验IPS引擎的两个关键指标。通常的IPS引擎和签名的设计和发布是慢于威胁和漏洞被发现的速度,有两大原因:
原因一:当前厂商的IPS引擎和签名主要还是基于攻击来设计;
原因二:漏洞的披露速度大幅提升,很多漏洞因此被称之为“零日漏洞”,“零时漏洞”,基于同一漏洞的攻击种类和攻击工具也各不相同。
因此通过发现攻击的特征来设计引擎和签名,往往让IPS的误报和漏报率明显较高,UTM中的IPS功能经常应为性能等其他的因素,检测略往往不被重视。
基于攻击的引擎 VS基于漏洞的引擎
所谓漏洞是指软件中的缺陷,这些缺陷可被恶意人员利用,形成攻击。一般漏洞被发现以后,会有一些组织如CVE和Bugtraq对这些漏洞进行编号跟踪。而签名则用于描述检测威胁所需要的特征。当一种攻击被发现以后,签名研究人员会对这个攻击进行特征的提取,一般有两种方法:基于具体攻击的 (exploit-based)和基于漏洞(vulnerability-based)的。
所谓基于具体攻击,就是指一个攻击出现后,研究人员专门针对这个攻击的特征来编写签名,这类签名能够防御的范围非常狭窄,往往只能防御一种特定的攻击。要躲开这样的签名非常容易,只要把攻击中的特定字符串修改掉就行了。举一个简单的例子来说:如果有一个签名寻找“FUBAR123”这个特定字符串,那么只要修改一些大小写或者数字,比如“fUBAR124”,原先的签名就失效了。如果签名是基于某一种特定的攻击方法,那么攻击者只要稍微修改一下这个模式,就能完全躲开检测了。基于具体攻击的签名开发周期非常短,对研究人员的技能要求也相对较低,这使得很多厂商能够在很短时间内响应突发的新型攻击。
华为赛门铁克UTM+产品采用的是基于漏洞的签名技术。在这种方式下,研究人员同样也需要提取特征来编写签名,但是和基于具体攻击不一样的是 ——研究人员需要充分理解和掌握对应的漏洞的各种技术信息,并分析对应的已知和未知的攻击方式,然后才能提取出具备普遍性的特征。通过这种方式开发的签名,能够防御针对该漏洞的未知攻击,真正做到零日攻击防御。采用这种方式开发的签名还有一个优点,即可以让签名库整体规模在不损失检测能力的情况下保持在一个非常小的水平,从而降低引擎工作压力。基于漏洞的签名开发需要厂商具备非常资深的漏洞分析能力,目前只有少数厂商才具备该能力。
如何保护那些没有打过补丁的漏洞呢?主要思路其实很简单:就像一把钥匙开一把锁一样,只有特定特征的蠕虫才能攻陷一个漏洞。通过对攻击特征的分析提取出漏洞的特征,把这个特征作为标准模式对网络流量进行扫描,一旦发现网络流量中的攻击符合这个特征的内容,就对这个攻击进行拦截。基于漏洞的攻击关注的是漏洞的特征而不是蠕虫本身的特征,所以当一个新的蠕虫出现的时候,只要它是攻击某个漏洞的,我们就能够立刻阻挡它而不需要关注蠕虫的特征,因此基于漏洞的特征能有效抵御已知和未知的攻击。
通常情况下基于攻击的引擎,往往衡量IPS的核心指标是签名的数量,那么在基于漏洞引擎的设计下,它还是否是一个决定性的指标呢?
签名数量VS签名质量
签名数量一直以来被认为是判断IPS能力的重要指标。签名的数量越多,表明能覆盖的攻击越多,也表示厂商在该领域拥有更多的积累和研究。其实,夸大入侵防护(IPS)功能里的签名数量是太容易的事,很多厂商就在玩以这些数字为中心的市场宣传游戏;但实际上,和生活中的很多事情一样,IPS签名的质量远远比数量要重要得多。在某些场合下,一个可以支持签名数量最少的厂商恰恰是最好的选择。而那些使用基于具体攻击的、容易出误报的签名的IPS方案往往在签名整体数量上很好看,但是性能和有效性却不高。换句话说,IPS签名数量并不是衡量IPS产品好坏的有效指标。
华为赛门铁克深知IPS签名质量和相应速度的重要性,因此以更加全面和宽阔的视角来开发IPS签名。华赛的目标是通过关注和研究每个漏洞的潜在演进,坚持开发基于漏洞的签名,以让用户最少操心的方式,最迅速地将最新的保护能力提供给用户。编写签名采用的方法越是具备通用性,编写出来的签名越有可能不仅能保护现存的攻击,而且能保护未来新出现的针对已知漏洞或类似漏洞的变种攻击。
当应对一种新型威胁的响应时间非常重要的时候,我们也会选择编写一些基于攻击的签名。因为这确实是一个最容易的方法:既能快速推出对应的签名,又具备较低的现网误报风险。但是一旦有时间,这些基于具体攻击的签名就会被重新审视提炼,来确认是否能够优化,即以更加通用的方法来重写,使其能够防御更加广泛的攻击。
即使某些签名原本已经是基于漏洞的签名,华赛也会重新审视,看是否可以再次优化和合并,使其覆盖更多的漏洞。
华为赛门铁克UTM+提升业务价值
华为赛门铁克联合赛门铁克,一方面在全球范围内关注最新的病毒和威胁的发展动态,以保证拥有最快速的特征更新能力,及时防护已知的攻击;另一方面采用基于漏洞的攻击和威胁的检测技术,保证了不仅能够识别已知的攻击类型,也能对未知的攻击做出及时有效的响应;高质量的签名则保证了IPS的低误报。对于客户而言,在降低安全风险的同时,也因较低的误报率带来了良好的业务体验。
华为赛门铁克UTM+中的网络威胁防护技术,与传统IPS相比具有主动防御的能力:不仅能发现已知的威胁,也能发现未知的威胁,且在这些威胁进入网络之前就能有效拦截。
与反病毒被动响应保护机制不同的是,华为赛门铁克UTM+的网络威胁防护能够提供真正的主动防御保护,主要拥有以下四大特性:
第一,通过有效检测网络流量识别与基于漏洞特征的攻击,能抵御未修补的和零日漏洞。
第二,能有效防御基于Web 2.0和浏览器插件类型的攻击,还能拦击偷渡式下载,也能保护通用的Web应用程序的漏洞,如PDF reader。
第三,通过网络流量分析,能识别社会工程学型的攻击,如仿冒的恶意软件扫描页面、伪造的影视频解码组件和安装包,或者隐藏的执行文件等。
第四,可帮助识别并隔离已经受感染的系统,通过分析主机与网络中的僵尸网络的活动性,拦截主机到外部未知的恶意网站。