NGAF防扫描功能帮你向黑客潜在攻击 Say No!
  

深信服安全产品研发 5107

{{ttag.title}}
说起网络安全问题,很多人都会联想到黑客。黑客是一个特殊的社会群体,原本“黑客”一词没有丝毫贬义的成分,但是后来成为了那些怀有不良企图、为了一己私利制造麻烦的人的代名词。带有恶意目的的黑客利用自己掌握的技能与工具,通过各种攻击手段对网络进行攻击,恶化了网络安全环境。

在现在这个信息化时代,看似正常的网络里,其实安全威胁无处不在,网络安全和黑客攻击一直在一场道与魔的对抗中此消彼长着。未知威胁、新型威胁攻击面前,传统的安全防御体系已渐渐失效。通过身份认证的用户不一定合法,经过防火墙的流量也不一定安全。总之,仅仅看到IP/端口/特征已经无法区分是否安全。企业要看得见威胁,才能更准确的检测和防御,从而实现更高效的安全运维和风险处置。正如某公司践行的安全理念所指出的那样:可视化是安全的基础,在看见威胁的同时,企业也应加大持续检测和快速响应的投入。

为了把损失降至最低,我们必须了解黑客攻击,做到知己知彼,然后采取准确的对策加以对抗。黑客常用的攻击步骤可以说是变幻莫测,不过细细分析,我们也会发现整个攻击的过程还是有规律可循的。除了偶然性的攻击,一般的黑客攻击过程大致如下:



QQ图片20161207170447.jpg


如图所示,黑客的入侵过程概括起来主要包含两部分:一是,突破企业安全防御前,即是探测和边界突破两个环节;二是,防御失效黑客成功进入企业内网后,通过持续的渗透,安装工具,横向移动,最终实施数据窃取或破坏等攻击。显然,黑客开启入侵的第一步即是“探测”,也可理解为踩点扫描。黑客需要通过各种途径对攻击目标进行多方了解,利用扫描工具进行端口及漏洞扫描,查看服务器的运行状态等基本信息。一旦发现漏洞就会利用其实施攻击,随后进入以后的各个入侵环节,最终达到窃取或破坏数据的目的。

由此可见,要想阻止黑客攻击,对黑客潜在攻击行为Say No,我们必须从源头阻止!通过防扫描的方式阻止“探测”,让企业在第一时间发现威胁,阻断黑客扫描,从而提升黑客攻击的门槛,提高攻击成本,大幅度降低黑客侵入企业内网的风险。

目前,虽然市场上大多数的防火墙产品都具有防扫描功能,企业用户可以通过在服务器和扫描器之间部署防火墙来有效阻止扫描软件的肆意窥探。但是很多防火墙的防扫描功能仅仅是基于对数据包中规则进行提取的一种单一的强规则判断方式。

所谓强规则是指扫描器的强特征,例如扫描器可能携带其特定的UA,这个特定的UA就是强特征。强特征的优点是误判率低,识别速度快。但是它也有个很大的缺点,就是随着扫描器版本的升级,强特征会越来越少,后续可能根本就无法识别扫描器,随之产品的防扫描功能效果也将大打折扣。

这种通过强规则判断的防御手段往往是被动的,存在着很多行为疏漏的可能。而现在,众多的防火墙产品也都忽视了这种问题。基于此,某公司NGAF的防扫描功能在设置了强规则判断的基础上,还加入了弱规则判断。实现了在基于数据包分析的同时,也会基于行为予以联合判决。

为何加入弱规则判断呢?弱特征就是所有扫描器都会具有的流量行为特征,包含:不常见的方法、扫描目录频率、http请求频率、被拦截的sid频率等扫描行为。某公司NGAF的防扫描功能通过制定强特征和弱特征进行有效识别,如果某些特征匹配强特征就直接予以阻止,对SIP+DIP+DPORT进行封锁;若属于弱特征,就会考察其他弱特征与之的关联性程度,如果关联性高就会形成强规则予以阻止。并且弱特征通过流量加权运算,最终保证识别效果并且降低误判。
那么,某公司NGAF的防扫描功能整体工作流程是怎样的呢?我们一起来看看下面这张流程图:

QQ图片20161207170441.jpg



如图中所示,通过强规则和弱规则的匹配判断后,进入封锁阶段。即:如果最终确认为扫描器,需要进行封锁,为了防止http代理带来的误判,需要从代理头部字段获取源IP,日志记录那里有这样的配置,默认没有开启。

某公司NGAF的防扫描功能还能够有效防止WVS、Appscan、w3af、Hp Web Inspect等主流扫描器的扫描,并在扫描器刚开始爬取网站的时候就识别到扫描行为,进行阻断,大大降低了扫描器扫描到漏洞的概率。并且,通过对流量进行综合分析,识别出扫描行为,可对未知的扫描器进行拦截。当发现某公司NGAF日志存在黑客扫描的风险日志后,便将这个源添加到永久封堵名单,阻断该源IP后续对服务器的所有访问,这也在一定程度上阻止了未知威胁的攻击。

如今,传统安全防御模式已经不能适应新型安全需求,安全威胁形势变幻莫测。唯有加强预防黑客攻击的第一防线,提高黑客攻击门槛,提升攻击成本与时间,做好防扫描与持续检测才是上上之策。某公司NGAF除了针对防扫描功能的创新外,还做了其他诸多功能上的创新,包括:提供主动漏洞扫描、对已发生的事件进行持续检测、对未知威胁进行持续检测、对业务系统的漏洞进行持续检测、WAF、云沙盒、自动化威胁情报等功能。





写在最后


基于IT发展趋势,从SSL VPN到上网行为管理设备,再到下一代防火墙,为了让用户的IT业务更简单,更安全,更有价值,某公司在持续稳定发展的同时坚持安全产品和方案持续创新,并邀请用户通过在线社区参与某公司的产品改进,及时采纳建议。

作为在安全领域深耕多年的创新IT解决方案服务商,某公司获得了OWASP 4星评价、NSS Labs最高评价“推荐级”等国内外众多顶级机构的专业认可。未来,围绕"安全的基础是可视、安全的技术转向持续检测和快速响应、安全的交付应该简单易用"的新安全理念,某公司必将针对其产品和解决方案推出更多创新的功能和技术,满足新IT时代不同场景下的安全需求,再创佳绩!

打赏鼓励作者,期待更多好文!

打赏
暂无人打赏

无花果 发表于 2016-12-7 17:10
  
支持信息安全,支持某公司AF
Sangfor_闪电回_朱丽 发表于 2016-12-7 17:12
  
某公司NGAF的防扫描功能通过制定强特征和弱特征进行有效识别,如果某些特征匹配强特征就直接予以阻止,对SIP+DIP+DPORT进行封锁;若属于弱特征,就会考察其他弱特征与之的关联性程度,如果关联性高就会形成强规则予以阻止。并且弱特征通过流量加权运算,最终保证识别效果并且降低误判。

AF 防扫描功能棒棒哒!点赞支持!
王老师 发表于 2017-4-12 15:37
  
防不胜防也得防
18612439903 发表于 2017-9-16 22:00
  
这个要不断更新的,对于技术不断更新,
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
安装部署配置
功能体验
秒懂零信任
自助服务平台操作指引
GIF动图学习
玩转零信任
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人