如何應對全面安全問題（二）

無效防護才是WANNYCRY暴露出的更大問題

之前很多人曾與我交流過一個問題——如何看待WannaCry事件中我們所暴露出的響應問題？但以我的個人觀點來看，在國家網信辦等相關應急機構的統一指導下，廠商針對WannaCry的應急整體上是成功的，我們有效地遏制了它在互聯網側的大規模傳播，也有效地防止了大面積出現周一開機“中毒”的次生災害。

實際上，無效防護才是WannaCry事件所暴露出的更大問題。因為WannaCry本身是一個通過安全的基本動作就應該可以防住的威脅，其本身并非一個新的勒索軟件，實際上在此前已經出現過相應的版本。但之所以產生了如此大的影響，是因為其使用了在2017年4月14日暴露的美方軍火級的漏洞，但早在2017年3月份，微軟就已經針對該漏洞發布了相關補丁。也就是說，在這兩個月的時間內，受感染的機器都沒有打上相應補丁。

我們還需要看到一個問題，勒索軟件本身并不是一種適合以應急響應方式進行處置的威脅，因為勒索軟件造成的事實后果是對文件進行加密，不交付贖金，就不進行解密（但是在這次的WannaCry事件中，一方面，我們發現了其刪除原來未加密文件的方式不像其他勒索軟件一樣非常嚴密，可以恢復；另外一方面，法國的研究者發現Windows加密的API具有一定的漏洞，如果沒有重啟，是可以部分恢復的）。對于大部分的勒索軟件而言，文件恢復的有效性、內存解密的有效性其實都很小。

更有甚者，通過這次針對烏克蘭的冒充為勒索***的“必加”事件可以發現，其本身并不是為了勒索，其作業方式是，生成一個自己也解密不了的隨機密鑰去加密受害者的文件，其目的就是要破壞掉整個系統。這種破壞一旦發生只能通過備份數據進行應急，如果沒有備份數據，且一旦在防護側沒有達成相應的防護效果，整個威脅開始發散，那么整個應急成本將是不可收斂的。

可見，無效防護才是WannaCry事件所暴露出的我們當前的更大問題，一旦大量事件都是因為無效防護而爆發的，那么整個壓力就將轉嫁到態勢感知體系和相應的研判策略上。

有效防護

此前非常流行的“暗云”***的一個非常大的特點是，它是一個擁有Bootkit機制的***家族，通過流氓劫持和DDoS等方式牟利，根據監測，其已經在國內形成百萬量級的節點感染。它不僅僅通過感染MBR的方式實現加載，而且具有一系列非常復雜的驅動機制，可以干擾安全產品對于MBR的讀取和處置。一旦該***寫入MBR，就將形成頑固感染，處置將十分困難。

實際上，任何安全產品都不能保證其能夠絕對地識別出哪個威脅，但是我們可以提煉出相應的威脅行為。在把整個病毒庫關閉之后，如果在終端防護上來執行“暗云”***，它就會攔截掉修改MBR的行為，從而使其引導鏈不能成立。

防護有效性全面降低處置成本

WannaCry勒索病毒并不是一種新的威脅形式，而是一種從歷史上一脈相承的威脅形式，只是隨著近幾年比特幣和暗網的流行，才成為一種典型的方式。因此，既然***者是要進行勒索，就一定要批量地進行文件操作，原則上來看，非受信程序進行批量文件操作就是一種威脅的行為。

終端防護需要內置一整套包括行為分析、誘餌文件的分析機制。如果把WannaCry拿到終端防護產品上執行，并把病毒庫檢測都關閉，則其不能實現有效的加密。

端點有效防護

在此情況下，通過主機加固、主機的邊界防御、未知威脅防御、未知威脅鑒定、APT追溯和定點清除就可以構成端點的有效防護。在一個行業體系內部，當大量的問題可以發現于防御端點時，就使得需要上層態勢感知系統進行作用的相關安全事件發生全面的收斂。因此，把端點安全拋棄在態勢感知之外，是非常不明智的決定，端點既是態勢基礎的采集支撐，同時也是態勢策略有效的落實手段。

從日志留存到全要素采集

過去以SIEM和SOC為基礎的系統，所依賴的其實是日志留存。這種日志留存的本質，無論相應對象是一個載荷，還是一個數據包，除了應用層的系統日志之外，更多的是基于檢測引擎和規則庫的匹配結果。我們曾多次介紹過，惡意代碼的檢測其實是由歸一化檢測、精確檢測、未知檢測多個分支共同維護的體系。從流量上來看，其實是圍繞著五元組和檢測名稱形成的結果，這就意味著對所有檢測不出來的對象全部放行。但在如此復雜的***條件下，我們必須假定第一***波是檢測不出來的，就像在軍事斗爭中，敵人的F-22隱形飛機飛來了，而我們是發現不了的，那么我們能否實現后續的有效攔截和有效止損？

流量可靠采集

這時就產生了我們如何在流量側進行可靠采集的問題，它不僅是傳統的單包檢測，其實是對IP、域名、URL、文件、會話、賬戶信息等形成全面的采集能力，包括流檢測、包檢測、信標檢測、文件檢測、深度檢測和行為分析等，最后從態勢的角度來看，形成支撐威脅信息、威脅行為和威脅分布的價值。

整個流量采集主要分成三個步驟：

第一，實現相應的全要素采集，即從傳統的五元組采集能力擴展到如今美國人所講的十三元組采集能力；

第二，要對大量的應用側信息進行提取，之后進行多維度的對相應采集對象的檢測；

第三，在檢測本身之上還要實現基于場景賦能的深度能力賦予。

可靠采集——全要素采集

傳統的協議解析實際上是基于對所有不識別的惡意代碼一律放行而形成簡單的日志；而從全要素采集來看，我們實際上要實現對檢測對象的膨脹化，如對http流量要從相關的主機信息、域名信息、agent等方面對大量信息進行留存，如果其中有Payload，那么要對這個Payload進行進一步相應的解析，無論該文件是否是惡意的。