最新网络安全威胁对金融体系的危害及应对方案（PPT97页).pptx

最新网络安全威胁对金融体系的影响及应对方案;目录;目录;每天平均都有新的漏洞被发现;当前网络安全现状--漏洞没有补丁或没有及时打补丁;当前网络安全现状--排名前十的关键漏洞没有PATCH厂商;如何解决?;各个厂商提供虚拟补丁;目录;最新网络安全威胁是什么？;;DataLossDB.orgIncidentsOverTime;目录;什么是“逃避技术”？

什么是“高级逃避技术”？

“高级逃避技术”是如何实现的？

为什么大多数安全产品无法检测并防护“高级逃避技术”？

“高级逃避技术”的应对策略及防范建议

“高级逃避技术”测试方法;什么是逃避技术？

;16;逃避技术的发现;;;混淆攻击有效载荷-Obfuscatingattackpayload

通过不同编码编译攻击的有效载荷，目标系统能够解码但是IPS/IDS无法解码这些编译过的有效载荷，例如：使用Unicode来编译攻击包，但是IDS/IPS无法识别，可是IISWEBSERVER可以解码，遭受攻击

;23;24;25;26;协议中不常用属性的使用例如:TCPUrgentPointer

;

分片逃避技术

数据包分片是正常的网络行为，将恶意的数据包分割成多个分片的数据包进行传递就可以欺骗IPS检测，这就需要IPS能够重组数据包检测出恶意攻击包，如果分片加入重叠技术将使重组过程更加复杂，

;正常的HTTPREQUEST在会话建立后只是在一个数据包传递;3部分8字节的分段数据包;7字节的分段数据包攻击同时也包括1个字节的重叠部分，每一个分段的最后一个字节也是下一个分段第一个字节，由于每一个数据包的序列号是正确的，因此目标系统可以正确的重组数据包，从而会遭到攻击;存在4字节的自由字符在数据包头前，这些无效的字符通常会被目标系统丢掉，但是却可以混淆IDS/IPS。;

普通的逃避在TCP/IP的不同协议栈同时进行加载组合形成了高级逃避.

可穿越多种协议或协议组合,黑客通常是利用高级逃避技术作为高级不间断攻击(APT)的重要部分.

;;逃避技术对各厂商设备检测技术的影响;恶意攻击选择;HPTippingPointIPS;应用简单分片逃避技术;应用2种组合的逃避技术—分片+混淆;Wireshark显示攻击成功;逃避技术-封装序列号码

TCPsequencenumberisa32-bitnumber

最大值为4,294,967,295(0XFFFFFFFF);47;48;49;50;51;52;53;54;55;56;57;58;59;60;61;asinglebyteof0X00isaddedasthe

‘urgent’data.;高级逃避技术;

从这些研究测试得出的结论：

不要期望您的安全设备是坚不可摧的

不要依赖安全设备的默认策略配置，要充分了解自己的业务系统，订制针对性的策略

要使用反逃避的解决方案

;高级逃避攻击技术的危害;

品牌信任

用户数据

借贷信息

行业信誉

合规遵从性

敏感信息

关键网络架构

业务连续性

电子银行

交易平台

支付平台;目录;为什么99%的安全厂商

下一代防火墙

下一代入侵防御系统

WEB防火墙

等产品无法检测并防护AET？

;传统方式采用垂直检测数据流-基于数据包，数据分段的检测

;一大部分的逃避技术仅仅基于协议的正常功能，而且这些功能在正常的通信中被广泛的使用着。;使用静态特征库进行防护的?;测试工具受限

;高级逃避技术隐藏的攻击可以逃避IPS/IDS的检测

–JackWalsh,ProgramManager

;《CybercrimeKillChainvs.DefenseEffectiveness》Nov,2012

StefanFrei,Ph.DfromNSSLAB;高级逃避的存在促使了下一代IPS出现;“高级逃避技术”已经引起国内安全专家和厂商的重视

国内安全厂商纷纷投入力量进行研发，目前对“普通逃避技术”已经取得了较好的防御效果

国内部分安全产品已经能够防御部分或大部分的“高级逃避技术”的入侵，但是仍存在较大的技术差距

进一步加强对“高级逃避技术”最新威胁的研究，成为国内安全行业的首要课题;CNGate反“高级逃避技术”防范策略

;1、安全设备规范要求

安全硬件和软件系统需要合乎以下标准

分层的标准化检测

基于RFC标准的协议解码是在所有的协议层进行标准化检测

合规标准化检查是目前防御逃避攻击的一种最可行的方式

具备逃避防护技术就绪的系统取决于它有能力和有效率在所有层面实现合规标准化检查。

合规化检查的原理就是利用TCP/IP协议的堆栈，打开堆栈发现异常数据字节然后清洗干净，再根据协议类型编写真正数据