NGAF防扫描功能帮你向黑客潜在攻击 Say No!
  

深信服安全产品研发 Lv4发表于 2016-12-7 17:05

说起网络安全问题,很多人都会联想到黑客。黑客是一个特殊的社会群体,原本“黑客”一词没有丝毫贬义的成分,但是后来成为了那些怀有不良企图、为了一己私利制造麻烦的人的代名词。带有恶意目的的黑客利用自己掌握的技能与工具,通过各种攻击手段对网络进行攻击,恶化了网络安全环境。

在现在这个信息化时代,看似正常的网络里,其实安全威胁无处不在,网络安全和黑客攻击一直在一场道与魔的对抗中此消彼长着。未知威胁、新型威胁攻击面前,传统的安全防御体系已渐渐失效。通过身份认证的用户不一定合法,经过防火墙的流量也不一定安全。总之,仅仅看到IP/端口/特征已经无法区分是否安全。企业要看得见威胁,才能更准确的检测和防御,从而实现更高效的安全运维和风险处置。正如深信服践行的安全理念所指出的那样:可视化是安全的基础,在看见威胁的同时,企业也应加大持续检测和快速响应的投入。

为了把损失降至最低,我们必须了解黑客攻击,做到知己知彼,然后采取准确的对策加以对抗。黑客常用的攻击步骤可以说是变幻莫测,不过细细分析,我们也会发现整个攻击的过程还是有规律可循的。除了偶然性的攻击,一般的黑客攻击过程大致如下:



QQ图片20161207170447.jpg


如图所示,黑客的入侵过程概括起来主要包含两部分:一是,突破企业安全防御前,即是探测和边界突破两个环节;二是,防御失效黑客成功进入企业内网后,通过持续的渗透,安装工具,横向移动,最终实施数据窃取或破坏等攻击。显然,黑客开启入侵的第一步即是“探测”,也可理解为踩点扫描。黑客需要通过各种途径对攻击目标进行多方了解,利用扫描工具进行端口及漏洞扫描,查看服务器的运行状态等基本信息。一旦发现漏洞就会利用其实施攻击,随后进入以后的各个入侵环节,最终达到窃取或破坏数据的目的。

由此可见,要想阻止黑客攻击,对黑客潜在攻击行为Say No,我们必须从源头阻止!通过防扫描的方式阻止“探测”,让企业在第一时间发现威胁,阻断黑客扫描,从而提升黑客攻击的门槛,提高攻击成本,大幅度降低黑客侵入企业内网的风险。

目前,虽然市场上大多数的防火墙产品都具有防扫描功能,企业用户可以通过在服务器和扫描器之间部署防火墙来有效阻止扫描软件的肆意窥探。但是很多防火墙的防扫描功能仅仅是基于对数据包中规则进行提取的一种单一的强规则判断方式。

所谓强规则是指扫描器的强特征,例如扫描器可能携带其特定的UA,这个特定的UA就是强特征。强特征的优点是误判率低,识别速度快。但是它也有个很大的缺点,就是随着扫描器版本的升级,强特征会越来越少,后续可能根本就无法识别扫描器,随之产品的防扫描功能效果也将大打折扣。

这种通过强规则判断的防御手段往往是被动的,存在着很多行为疏漏的可能。而现在,众多的防火墙产品也都忽视了这种问题。基于此,深信服NGAF的防扫描功能在设置了强规则判断的基础上,还加入了弱规则判断。实现了在基于数据包分析的同时,也会基于行为予以联合判决。

为何加入弱规则判断呢?弱特征就是所有扫描器都会具有的流量行为特征,包含:不常见的方法、扫描目录频率、http请求频率、被拦截的sid频率等扫描行为。深信服NGAF的防扫描功能通过制定强特征和弱特征进行有效识别,如果某些特征匹配强特征就直接予以阻止,对SIP+DIP+DPORT进行封锁;若属于弱特征,就会考察其他弱特征与之的关联性程度,如果关联性高就会形成强规则予以阻止。并且弱特征通过流量加权运算,最终保证识别效果并且降低误判。
那么,深信服NGAF的防扫描功能整体工作流程是怎样的呢?我们一起来看看下面这张流程图:

QQ图片20161207170441.jpg



如图中所示,通过强规则和弱规则的匹配判断后,进入封锁阶段。即:如果最终确认为扫描器,需要进行封锁,为了防止http代理带来的误判,需要从代理头部字段获取源IP,日志记录那里有这样的配置,默认没有开启。

深信服NGAF的防扫描功能还能够有效防止WVS、Appscan、w3af、Hp Web Inspect等主流扫描器的扫描,并在扫描器刚开始爬取网站的时候就识别到扫描行为,进行阻断,大大降低了扫描器扫描到漏洞的概率。并且,通过对流量进行综合分析,识别出扫描行为,可对未知的扫描器进行拦截。当发现深信服NGAF日志存在黑客扫描的风险日志后,便将这个源添加到永久封堵名单,阻断该源IP后续对服务器的所有访问,这也在一定程度上阻止了未知威胁的攻击。

如今,传统安全防御模式已经不能适应新型安全需求,安全威胁形势变幻莫测。唯有加强预防黑客攻击的第一防线,提高黑客攻击门槛,提升攻击成本与时间,做好防扫描与持续检测才是上上之策。深信服NGAF除了针对防扫描功能的创新外,还做了其他诸多功能上的创新,包括:提供主动漏洞扫描、对已发生的事件进行持续检测、对未知威胁进行持续检测、对业务系统的漏洞进行持续检测、WAF、云沙盒、自动化威胁情报等功能。





写在最后


基于IT发展趋势,从SSL VPN到上网行为管理设备,再到下一代防火墙,为了让用户的IT业务更简单,更安全,更有价值,深信服在持续稳定发展的同时坚持安全产品和方案持续创新,并邀请用户通过在线社区参与深信服的产品改进,及时采纳建议。

作为在安全领域深耕多年的创新IT解决方案服务商,深信服获得了OWASP 4星评价、NSS Labs最高评价“推荐级”等国内外众多顶级机构的专业认可。未来,围绕"安全的基础是可视、安全的技术转向持续检测和快速响应、安全的交付应该简单易用"的新安全理念,深信服必将针对其产品和解决方案推出更多创新的功能和技术,满足新IT时代不同场景下的安全需求,再创佳绩!

喜欢这篇分享吗?喜欢就给楼主打点赏吧!点个赞也是极大的鼓励!

发帖可获得5S豆;若您的分享被加精或推荐优秀等,将获得更多S豆奖励,了解更多S豆奖励信息

完善手机号和公司名称,让服务更省心更便捷!立即完善

无花果 Lv4发表于 2016-12-7 17:10
  
支持信息安全,支持深信服AF
Sangfor_闪电回_朱丽 发表于 2016-12-7 17:12
  
深信服NGAF的防扫描功能通过制定强特征和弱特征进行有效识别,如果某些特征匹配强特征就直接予以阻止,对SIP+DIP+DPORT进行封锁;若属于弱特征,就会考察其他弱特征与之的关联性程度,如果关联性高就会形成强规则予以阻止。并且弱特征通过流量加权运算,最终保证识别效果并且降低误判。

AF 防扫描功能棒棒哒!点赞支持!
王老师 Lv7发表于 2017-4-12 15:37
  
防不胜防也得防
18612439903 Lv1发表于 2017-9-16 22:00
  
这个要不断更新的,对于技术不断更新,
×
有话想说?点这里!
可评论、可发帖

本版热帖

本版达人