美國國土安全部試圖商業(yè)化的八種網(wǎng)絡(luò)安全新技術(shù)

責(zé)任編輯:editor005

作者:Venvoo

2016-04-25 15:01:26

摘自:安全牛

經(jīng)聯(lián)邦政府批準(zhǔn),美國國土安全部(DHS)公開最新開發(fā)的8種網(wǎng)絡(luò)安全技術(shù),并準(zhǔn)備投入10億美金,尋求私營企業(yè)的幫助,以將其轉(zhuǎn)化為實用型的商業(yè)產(chǎn)品。由于這類應(yīng)用屬于閉源,其數(shù)據(jù)和內(nèi)部布局均為靜態(tài)的,威脅源對其的攻擊將產(chǎn)生巨大的影響面。

經(jīng)聯(lián)邦政府批準(zhǔn),美國國土安全部(DHS)公開最新開發(fā)的8種網(wǎng)絡(luò)安全技術(shù),并準(zhǔn)備投入10億美金,尋求私營企業(yè)的幫助,以將其轉(zhuǎn)化為實用型的商業(yè)產(chǎn)品。

在DHS發(fā)布的第四份《網(wǎng)絡(luò)安全部門轉(zhuǎn)為實用技術(shù)指導(dǎo)方案》(http://t.im/13f40)中,國土安全部列出了惡意軟件分析、行為分析、保護(hù)Windows應(yīng)用的隨機(jī)化軟件等8項技術(shù)。

國土安全部的“轉(zhuǎn)為實用技術(shù)”方案主要公布了已經(jīng)能夠參與先導(dǎo)測試或進(jìn)行商業(yè)化開發(fā)的技術(shù)。在項目進(jìn)行的四年時間中,發(fā)布的24項技術(shù)中的4項已經(jīng)獲得商業(yè)機(jī)構(gòu)授權(quán),另外還有一項得到開源。

該方案旨在對非機(jī)密的網(wǎng)絡(luò)安全研究項目進(jìn)行實用化探索。報告中稱:“聯(lián)邦政府在非機(jī)密網(wǎng)絡(luò)安全技術(shù)上的投入每年超過10億美金,然而這些技術(shù)極少進(jìn)入市場。”

下面是報告中這8項新技術(shù)的簡要介紹:

一、REnigma

該軟件的功能是在虛擬機(jī)中運行惡意軟件,觀察其行為,以供后期分析。它可以讓安全研究人員更方便地分析惡意軟件,并詳細(xì)了解其行為方式和原理,而不用親自進(jìn)行逆向工程。

關(guān)鍵的進(jìn)步是約翰霍普金斯大學(xué)應(yīng)用物理實驗室開發(fā)的虛擬機(jī)錄像和回放技術(shù)。通過該技術(shù),研究人員可以在惡意軟件運行過程中對其使用分析工具,同時對惡意軟件的反分析技術(shù)保持隱身。

報告中提到:“舉例而言,如果惡意軟件代碼樣本向網(wǎng)絡(luò)輸出了一串加密數(shù)據(jù),分析師可以使用REnigma回溯到內(nèi)存中的明文信息,并恢復(fù)出數(shù)據(jù)外泄中利用的加密秘鑰。”

二、Socrates

該軟件平臺會在數(shù)據(jù)集里尋找模式,并可以引誘出可能為安全威脅的那些。它能夠同時提供分析和計算機(jī)科學(xué)能力,而這種能力的組合往往是人類所缺失的。

  在200萬個鏈接的網(wǎng)絡(luò)里檢測異?;顒?/p>

該平臺能夠?qū)?shù)據(jù)進(jìn)行無監(jiān)督分析,尋找可能帶來產(chǎn)出的模式。Socreates已經(jīng)被用于學(xué)習(xí)大量人群的出行模式,以發(fā)現(xiàn)與目標(biāo)人物有聯(lián)系的個人。

三、PcapDB

這是一個軟件數(shù)據(jù)庫系統(tǒng),能夠通過將包數(shù)據(jù)組織成數(shù)據(jù)流,抓取并分析網(wǎng)絡(luò)流量。

該技術(shù)的開發(fā)者將其功能比作飛機(jī)上的黑盒子:“Pcap可以重建惡意軟件的傳輸、下載、命令、控制信息,并提取其中數(shù)據(jù)。”

該平臺能夠優(yōu)化抓取到的數(shù)據(jù),減少其存儲空間,加快分析時的讀取速度。通過縮減不必要的功能,PcapPB能夠存儲常見串行SCSI (Serial Attached SCSI, SAS) 硬盤數(shù)個月間產(chǎn)生的流量數(shù)據(jù),這將為調(diào)查入侵事件提供強大的助力。開發(fā)者寫道:“在調(diào)查網(wǎng)絡(luò)安全事件時,最關(guān)鍵的一個指標(biāo)就是能上溯到的最遠(yuǎn)日期。”

四、REDUCE

這是一個軟件分析工具,能夠發(fā)現(xiàn)惡意軟件樣本之間的聯(lián)系,并創(chuàng)建可用于甄別威脅的特征簽名。

該軟件對惡意軟件樣本進(jìn)行靜態(tài)分析,尋找其和歷史樣本之間使用相同代碼的段落。這可以讓研究人員快速推斷出新型惡意軟件的作者,確定其技術(shù)特點。

REDUCE與一些只能同時對比兩種惡意軟件的商業(yè)化工具有所不同,它可以同時比較多種樣本。當(dāng)它發(fā)現(xiàn)代碼段之間的相似之處時,也會與歷史上的所有記錄進(jìn)行比對。

該技術(shù)適用于反向工程背景沒有那么強的網(wǎng)絡(luò)安全人員。

五、動態(tài)流隔離(Dynamic Flow Isolation)

動態(tài)流隔離(DFI) 利用軟件定義網(wǎng)絡(luò),基于企業(yè)所需的運行狀態(tài),按需部署安全策略。

不論過程是手動還是自動,通過啟用、禁用或?qū)€人用戶及網(wǎng)絡(luò)服務(wù)之間的通信進(jìn)行頻率限制,均可以實現(xiàn)其功能。

通過與認(rèn)證服務(wù)器、入侵檢測系統(tǒng)進(jìn)行整合,該軟件能夠?qū)W(wǎng)絡(luò)的運行狀態(tài)產(chǎn)生情景感知。如果網(wǎng)絡(luò)狀態(tài)發(fā)生變化。它也會與軟件定義網(wǎng)絡(luò)控制器進(jìn)行整合,改變目前允許的網(wǎng)絡(luò)連接。這使得隔離特定設(shè)備或組,并攔截試圖訪問關(guān)鍵資產(chǎn)的攻擊者成為可能。

該軟件包括策略強制執(zhí)行內(nèi)核,它與軟件定義網(wǎng)絡(luò)控制器一同部署,可以更新網(wǎng)絡(luò)中交換機(jī)的訪問規(guī)則。該過程可以與企業(yè)現(xiàn)有的軟件定義網(wǎng)絡(luò)硬件設(shè)備整合,在多個軟件定義網(wǎng)絡(luò)控制器之間移動起來也很方便。

六、TRACER

TRACER是“運行時間內(nèi)對常見可執(zhí)行文件應(yīng)用實時隨機(jī)化” (Timely Randomization Applied to Commodity Executables at Runtime) 的簡稱,它可以改變Adobe Reader、IE、Java、Flash等閉源Windows應(yīng)用的內(nèi)部布局和數(shù)據(jù)。

由于這類應(yīng)用屬于閉源,其數(shù)據(jù)和內(nèi)部布局均為靜態(tài)的,威脅源對其的攻擊將產(chǎn)生巨大的影響面。

如果在應(yīng)用每次輸出數(shù)據(jù)時,對其敏感內(nèi)部數(shù)據(jù)及布局進(jìn)行隨機(jī)化,威脅源將無法對其發(fā)動有效的攻擊。即使數(shù)據(jù)和布局的信息在輸出過程中遭到泄露,其結(jié)構(gòu)在應(yīng)用下一次輸出時也將完全不同。

因此,TRACER能夠挫敗針對這些Windows應(yīng)用的控制劫持攻擊 (control-hijacking attack) 。該軟件會被安裝到所有設(shè)備上,不會干預(yù)其日常運行。其缺陷在于將平均增加12%的運行時長。

地址空間布局隨機(jī)化 (Address Space Layout Randomization) 、基于編譯器的代碼隨機(jī)化、入侵集隨機(jī)化等其它隨機(jī)化方案均為一次性的。耐心的攻擊者可以等待更長時間,在獲取應(yīng)用泄露的更多信息后再展開攻擊。

七、FLOWER

網(wǎng)絡(luò)流分析器 (Network FLOW AnalyzER, FLOWER) 可以分析IP包頭,雙向收集數(shù)據(jù)流的信息,并利用信息甄別正常與異常數(shù)據(jù)流,進(jìn)一步尋找潛在的數(shù)據(jù)泄露和內(nèi)部人員威脅。

數(shù)據(jù)是通過部署在整個網(wǎng)絡(luò)外加其邊界上的小裝置收集的,它們也可以用作事件診斷調(diào)查的資源。

自2010年起,F(xiàn)LOWER已經(jīng)被部署到超過100家政府和企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)中。在實戰(zhàn)中,它能夠檢測并消除協(xié)同攻擊,并創(chuàng)建其攻擊特征簽名。

八、SilentAlarm

該平臺分析網(wǎng)絡(luò)行為,甄別可能存在的惡意行為,制止并不存在特征簽名的零日攻擊等威脅。

傳感器會將網(wǎng)絡(luò)事件信息發(fā)送到其分析引擎。該引擎包含知識節(jié)點、針對成功或失敗的SMTP嘗試及失敗的互聯(lián)網(wǎng)連接等不同類型的網(wǎng)絡(luò)行為調(diào)整的分析模塊?;跉v史行為,每個新事件都會被標(biāo)為正常或不正常。

這些特征信息會被傳輸?shù)郊僭O(shè)節(jié)點,它會決定觀察到的行為是否意味著惡意活動。如果發(fā)現(xiàn)惡意活動,SilentAlarm可以發(fā)出警報或直接進(jìn)行干預(yù)。

在這份報告的最后,還分別介紹列出了2013到2015年3個財年的網(wǎng)絡(luò)安全新技術(shù)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號