經(jīng)聯(lián)邦政府批準(zhǔn),美國國土安全部(DHS)公開最新開發(fā)的8種網(wǎng)絡(luò)安全技術(shù),并準(zhǔn)備投入10億美金,尋求私營企業(yè)的幫助,以將其轉(zhuǎn)化為實用型的商業(yè)產(chǎn)品。
在DHS發(fā)布的第四份《網(wǎng)絡(luò)安全部門轉(zhuǎn)為實用技術(shù)指導(dǎo)方案》(http://t.im/13f40)中,國土安全部列出了惡意軟件分析、行為分析、保護(hù)Windows應(yīng)用的隨機(jī)化軟件等8項技術(shù)。
國土安全部的“轉(zhuǎn)為實用技術(shù)”方案主要公布了已經(jīng)能夠參與先導(dǎo)測試或進(jìn)行商業(yè)化開發(fā)的技術(shù)。在項目進(jìn)行的四年時間中,發(fā)布的24項技術(shù)中的4項已經(jīng)獲得商業(yè)機(jī)構(gòu)授權(quán),另外還有一項得到開源。
該方案旨在對非機(jī)密的網(wǎng)絡(luò)安全研究項目進(jìn)行實用化探索。報告中稱:“聯(lián)邦政府在非機(jī)密網(wǎng)絡(luò)安全技術(shù)上的投入每年超過10億美金,然而這些技術(shù)極少進(jìn)入市場。”
下面是報告中這8項新技術(shù)的簡要介紹:
一、REnigma
該軟件的功能是在虛擬機(jī)中運行惡意軟件,觀察其行為,以供后期分析。它可以讓安全研究人員更方便地分析惡意軟件,并詳細(xì)了解其行為方式和原理,而不用親自進(jìn)行逆向工程。
關(guān)鍵的進(jìn)步是約翰霍普金斯大學(xué)應(yīng)用物理實驗室開發(fā)的虛擬機(jī)錄像和回放技術(shù)。通過該技術(shù),研究人員可以在惡意軟件運行過程中對其使用分析工具,同時對惡意軟件的反分析技術(shù)保持隱身。
報告中提到:“舉例而言,如果惡意軟件代碼樣本向網(wǎng)絡(luò)輸出了一串加密數(shù)據(jù),分析師可以使用REnigma回溯到內(nèi)存中的明文信息,并恢復(fù)出數(shù)據(jù)外泄中利用的加密秘鑰。”
二、Socrates
該軟件平臺會在數(shù)據(jù)集里尋找模式,并可以引誘出可能為安全威脅的那些。它能夠同時提供分析和計算機(jī)科學(xué)能力,而這種能力的組合往往是人類所缺失的。
在200萬個鏈接的網(wǎng)絡(luò)里檢測異?;顒?/p>
該平臺能夠?qū)?shù)據(jù)進(jìn)行無監(jiān)督分析,尋找可能帶來產(chǎn)出的模式。Socreates已經(jīng)被用于學(xué)習(xí)大量人群的出行模式,以發(fā)現(xiàn)與目標(biāo)人物有聯(lián)系的個人。
三、PcapDB
這是一個軟件數(shù)據(jù)庫系統(tǒng),能夠通過將包數(shù)據(jù)組織成數(shù)據(jù)流,抓取并分析網(wǎng)絡(luò)流量。
該技術(shù)的開發(fā)者將其功能比作飛機(jī)上的黑盒子:“Pcap可以重建惡意軟件的傳輸、下載、命令、控制信息,并提取其中數(shù)據(jù)。”
該平臺能夠優(yōu)化抓取到的數(shù)據(jù),減少其存儲空間,加快分析時的讀取速度。通過縮減不必要的功能,PcapPB能夠存儲常見串行SCSI (Serial Attached SCSI, SAS) 硬盤數(shù)個月間產(chǎn)生的流量數(shù)據(jù),這將為調(diào)查入侵事件提供強大的助力。開發(fā)者寫道:“在調(diào)查網(wǎng)絡(luò)安全事件時,最關(guān)鍵的一個指標(biāo)就是能上溯到的最遠(yuǎn)日期。”
四、REDUCE
這是一個軟件分析工具,能夠發(fā)現(xiàn)惡意軟件樣本之間的聯(lián)系,并創(chuàng)建可用于甄別威脅的特征簽名。
該軟件對惡意軟件樣本進(jìn)行靜態(tài)分析,尋找其和歷史樣本之間使用相同代碼的段落。這可以讓研究人員快速推斷出新型惡意軟件的作者,確定其技術(shù)特點。
REDUCE與一些只能同時對比兩種惡意軟件的商業(yè)化工具有所不同,它可以同時比較多種樣本。當(dāng)它發(fā)現(xiàn)代碼段之間的相似之處時,也會與歷史上的所有記錄進(jìn)行比對。
該技術(shù)適用于反向工程背景沒有那么強的網(wǎng)絡(luò)安全人員。
五、動態(tài)流隔離(Dynamic Flow Isolation)
動態(tài)流隔離(DFI) 利用軟件定義網(wǎng)絡(luò),基于企業(yè)所需的運行狀態(tài),按需部署安全策略。
不論過程是手動還是自動,通過啟用、禁用或?qū)€人用戶及網(wǎng)絡(luò)服務(wù)之間的通信進(jìn)行頻率限制,均可以實現(xiàn)其功能。
通過與認(rèn)證服務(wù)器、入侵檢測系統(tǒng)進(jìn)行整合,該軟件能夠?qū)W(wǎng)絡(luò)的運行狀態(tài)產(chǎn)生情景感知。如果網(wǎng)絡(luò)狀態(tài)發(fā)生變化。它也會與軟件定義網(wǎng)絡(luò)控制器進(jìn)行整合,改變目前允許的網(wǎng)絡(luò)連接。這使得隔離特定設(shè)備或組,并攔截試圖訪問關(guān)鍵資產(chǎn)的攻擊者成為可能。
該軟件包括策略強制執(zhí)行內(nèi)核,它與軟件定義網(wǎng)絡(luò)控制器一同部署,可以更新網(wǎng)絡(luò)中交換機(jī)的訪問規(guī)則。該過程可以與企業(yè)現(xiàn)有的軟件定義網(wǎng)絡(luò)硬件設(shè)備整合,在多個軟件定義網(wǎng)絡(luò)控制器之間移動起來也很方便。
六、TRACER
TRACER是“運行時間內(nèi)對常見可執(zhí)行文件應(yīng)用實時隨機(jī)化” (Timely Randomization Applied to Commodity Executables at Runtime) 的簡稱,它可以改變Adobe Reader、IE、Java、Flash等閉源Windows應(yīng)用的內(nèi)部布局和數(shù)據(jù)。
由于這類應(yīng)用屬于閉源,其數(shù)據(jù)和內(nèi)部布局均為靜態(tài)的,威脅源對其的攻擊將產(chǎn)生巨大的影響面。
如果在應(yīng)用每次輸出數(shù)據(jù)時,對其敏感內(nèi)部數(shù)據(jù)及布局進(jìn)行隨機(jī)化,威脅源將無法對其發(fā)動有效的攻擊。即使數(shù)據(jù)和布局的信息在輸出過程中遭到泄露,其結(jié)構(gòu)在應(yīng)用下一次輸出時也將完全不同。
因此,TRACER能夠挫敗針對這些Windows應(yīng)用的控制劫持攻擊 (control-hijacking attack) 。該軟件會被安裝到所有設(shè)備上,不會干預(yù)其日常運行。其缺陷在于將平均增加12%的運行時長。
地址空間布局隨機(jī)化 (Address Space Layout Randomization) 、基于編譯器的代碼隨機(jī)化、入侵集隨機(jī)化等其它隨機(jī)化方案均為一次性的。耐心的攻擊者可以等待更長時間,在獲取應(yīng)用泄露的更多信息后再展開攻擊。
七、FLOWER
網(wǎng)絡(luò)流分析器 (Network FLOW AnalyzER, FLOWER) 可以分析IP包頭,雙向收集數(shù)據(jù)流的信息,并利用信息甄別正常與異常數(shù)據(jù)流,進(jìn)一步尋找潛在的數(shù)據(jù)泄露和內(nèi)部人員威脅。
數(shù)據(jù)是通過部署在整個網(wǎng)絡(luò)外加其邊界上的小裝置收集的,它們也可以用作事件診斷調(diào)查的資源。
自2010年起,F(xiàn)LOWER已經(jīng)被部署到超過100家政府和企業(yè)機(jī)構(gòu)的網(wǎng)絡(luò)中。在實戰(zhàn)中,它能夠檢測并消除協(xié)同攻擊,并創(chuàng)建其攻擊特征簽名。
八、SilentAlarm
該平臺分析網(wǎng)絡(luò)行為,甄別可能存在的惡意行為,制止并不存在特征簽名的零日攻擊等威脅。
傳感器會將網(wǎng)絡(luò)事件信息發(fā)送到其分析引擎。該引擎包含知識節(jié)點、針對成功或失敗的SMTP嘗試及失敗的互聯(lián)網(wǎng)連接等不同類型的網(wǎng)絡(luò)行為調(diào)整的分析模塊?;跉v史行為,每個新事件都會被標(biāo)為正常或不正常。
這些特征信息會被傳輸?shù)郊僭O(shè)節(jié)點,它會決定觀察到的行為是否意味著惡意活動。如果發(fā)現(xiàn)惡意活動,SilentAlarm可以發(fā)出警報或直接進(jìn)行干預(yù)。
在這份報告的最后,還分別介紹列出了2013到2015年3個財年的網(wǎng)絡(luò)安全新技術(shù)。