最新網絡安全威脅對金融體系的影響及應對方案北京科能騰達信息技術股份有限公司目錄目錄當前網絡安全現狀最新網絡安全威脅解析高級逃避技術介紹及其危害CNGate反高級逃避技術介紹金融體系客戶案例CNGate公司簡介目錄當前網絡安全現狀每天平均都有新的漏洞被發現當前網絡安全現狀--漏洞越來越多數據來源：國家信息安全漏洞共享平臺當前網絡安全現狀--漏洞沒有補丁或沒有及時打補丁當前網絡安全現狀--排名前十的關鍵漏洞沒有PATCH廠商IBM漏洞分析小組的報告，很多系統其實是存在一些漏洞但是廠家短時間內沒有任何解決方案IBM-X-Force-Vulnerability-Threats如何解決?安裝補丁?Yourcomputermayfreezeorrestarttoablackscreenthathasa"0xc0000034"errormessageafteryouinstallWindows7ServicePack12010.04用戶更新某廠商的防病毒補丁后出現大量機器被鎖住無法登陸現象，廠商緊急發布新的補丁。

2009.01

Conflicker蠕蟲病毒爆發受感染的服務器達到幾百萬臺，因為許多公司的Windows服務器沒有安裝早在2008年10月發布的補丁Administratorsdonotinstallpatches!BecauseImportantservercancrash!Weneedupto30daystoinstallpatchesforour113

Servers!!!!

(USAirForce

)各個廠商提供虛擬補丁VirtualpatchIPSjustrecognizeattackandclosemaliciousconnectionsforvulnerableservices目錄最新網絡安全威脅解析最新網絡安全威脅是什么？DataLossDB.orgIncidentsOverTime來自于全全球專業業性數據據泄漏事事件分析析網站:/statistics近幾年數數據泄露露事件統統計目錄高級逃避避技術介介紹及測測試什么是““逃避技技術”？？什么是““高級逃逃避技術術”？“高級逃逃避技術術”是如如何實現現的？為什么大大多數安安全產品品無法檢檢測并防防護“高高級逃避避技術””？“高級逃逃避技術術”的應應對策略略及防范范建議“高級逃逃避技術術”測試試方法高級逃避避技術介介紹及測測試什么是逃逃避技術術？一種通過過偽裝和/或修飾飾網絡攻擊擊以躲避信息安全全系統的的檢測和和阻止的的手段利用逃避避技術，高級黑黑客和和懷有有惡意的的的網絡絡犯罪分分子可以以對具有有漏洞的的系統進進行悄無聲息息的攻擊擊，破壞壞目標系系統或者者獲取重重要數據據信息。。目前的安安全系統統對這些些逃避技技術束手手無策，，就像隱隱形戰斗斗機可在在雷達和和其它防防御系統統檢測不不到的情情況下發發起攻擊擊。16通常IDS/IPS工作模型型會分為為3個層次信息資源源層（InformationSource）分析層(Analysis)響應層(Response)逃避技術術的發現現1990年逃逃避攻擊擊技術出出現1997-1998年年才出現現了有真真正文字字記載的的逃避攻攻擊技術術，這種種技術可可以避開開網絡入入侵檢測測系統的的檢測測參考考：Insertion,Evasion,andDenialofService:EludingNetworkIntrusionDetection--January,1998逃避技術術是一種種通過偽偽裝和/或修改改網絡攻攻擊以逃逃避信息息安全系系統的檢檢測和阻阻止的手手段。逃避技術術最大的的危害是是可以攜攜帶惡意意攻擊軟軟件和病病毒避開開信息安安全系統統的檢測測進入到到信息系系統內部部。但是是安全系系統不會會存在任任何攔截截和告警警信息。。逃避技術術的發展展歷程字符串混淆（Obfuscation）碎片（Fragmentation）協議違規（Protocolviolations）通過偽裝和/或修飾網絡攻擊以躲避信息安全系統的檢測和阻止的手段；利用協議中不常用的屬性，偽裝攻擊流量躲避安全系統檢測。逃避手段逃避技術術混淆攻擊擊有效載載荷-Obfuscatingattackpayload通過不同同編碼編編譯攻擊擊的有效效載荷，，目標系系統能夠夠解碼但但是IPS/IDS無無法解碼碼這些編編譯過的的有效載載荷，例例如：使使用Unicode來編譯攻攻擊包，，但是IDS/IPS無法識識別，可可是IISWEBSERVER可以解碼碼，遭受受攻擊字符串混混淆MSRPCBig-endianencoding23OverlappingFragments數據包分分段重疊疊技術是是通過修修改數據據包的TCP序列號來來實現重重疊，例例如第一一個數據據包90個字節，，第二個個數據包包序列號號是從第第80個字節開開始的，，當目標標系統重重組TCP流的時候候就需要要決定如如何去處處理8個字節重重疊。這這就需需要IPS/IDS能夠處理理重疊部部分的數數據包.24TCPTimeWait打開然后后關閉TCP連接，再再使用同同一協議議和端口口打開一一個新的的TCP連接.根據TCPRFC標準,TCPclient重新使用用同一端端口之前前必須等等待一段段時間如果黑客客使用自自己的TCP/IP協議集,他可以打打開然后后關閉TCP連接,然后使用用同一個個端口快快速建立立一個新新的TCP連接,新的連接接會被傳傳統的IPS/IDS放行，這這就要求求IPS需要能夠夠熟練控控制新的的連接舉例:參考數據據包截圖圖Frame3——Frame5TCP連接建立立,使用29522端口連接接445端口Frame6––Frame7發送一些些自由的的字節信信息Frame8-Frame10TCP連接關閉閉,此時目標標系統端端口進入入TIMEWait狀態,Frame11-Frame13新的TCP連接使用用相同的的29522端口連接接目標系系統，攻攻擊繼續續執行，，有可能能不被檢檢測到2526InsertingTrafficattheIDS通過一些些手段使使IDS/IPS可以看到到一些數數據包，，但是目目標系統統確沒有有收到數數據包，，例如可可以修改改數據包包的TTL，使一部部分數據據包到達達IDS/IPS時候丟棄棄。從而而導致IDS/IPS和目標標系統統的狀狀態不不一致致，我我們稱稱之為為狀態態同步步破壞壞TCPUrgentPointer利用目目標系系統和和IPS/IDS對于TCPUrgentPointer不同的的理解解。目目標系系統可可以忽忽略添添加的的TCPUrgentPointer字節，，但是是卻可可以混混淆IPS/IDS的檢測測例如：：TCPStream:\xffPSMB(P是urgentdata)IPS看到的的結果果:\xffPSMB(不是協協議SMB)Windows看到的的結果果:\xffSMB(但是windows忽略urg位)協議中中不常常用屬屬性的的使用用例例如如:TCPUrgentPointer分片逃逃避技技術數據包包分片片是正正常的的網絡絡行為為，將將惡意意的數數據包包分割割成多多個分分片的的數據據包進進行行傳遞遞就可可以欺欺騙IPS檢檢測，，這這就需需要IPS能能夠重重組數數據包包檢測測出惡惡意攻攻擊包包，如如果分分片加加入重重疊技技術將將使重重組過過程更更加復復雜，，正常的的HTTPREQUEST在會話話建立立后只只是在在一個個數據據包傳傳遞逃避技技術舉舉例:HTTPRequest3部分8字節的的分段段數據據包7字節的的分段段數據據包攻攻擊同同時也也包括括1個字節節的重重疊部部分，，每一一個分分段的的最后后一個個字節節也是是下一一個分分段第第一個個字節節，由由于每每一個個數據據包的的序列列號是是正確確的，，因此此目標標系統統可以以正確確的重重組數數據包包，從從而會會遭到到攻擊擊存在4字節的的自由由字符符在數數據包包頭前前，這這些無無效的的字符符通常常會被被目標標系統統丟掉掉，但但是卻卻可以以混淆淆IDS/IPS。普通的的逃避避在TCP/IP的不同同協議議棧同同時進進行加加載組合形形成了了高級級逃避避.可穿越越多種種協議議或協協議組組合,黑客通通常是是利用用高級級逃避避技術術作為為高級級不間間斷攻攻擊(APT)的重要要部分分.高級逃逃避技技術的的出現現EthernetVLANTagsSMB2SMBTCPUDPApplicationMSRPCApplication高高級逃逃避技技術舉舉例逃避技技術對對各廠廠商設設備檢檢測技技術的的影響響?HPTippingPointIPS?PaloAltoNetworksFirewall?FortinetFortiGate?Snort(in-linemodeusingSecurityOnion)惡意意攻攻擊擊選選擇擇為了了能能正正確確的的測測試試逃逃避避技技術術對對不不同同廠廠商商檢檢測測技技術術的的影影響響，，所所選選擇擇的的攻攻擊擊要要能能夠夠被被所所有有廠廠商商能能夠夠檢檢測測到到并并且且可可以以進進行行阻阻斷斷，，我我們們選選擇擇是是2008年年的的Conficker蠕蠕蟲蟲病病毒毒攻攻擊擊針針對對Windows以以下下弱弱點點CVE-2008-4250MS08-067HPTippingPointIPS應用用簡簡單單分分片片逃逃避避技技術術總共共858bytes簡簡單單分分成成2個個分分片片432bytes和和426bytes應用用2種種組組合合的的逃逃避避技技術術——分分片片+混混淆淆Wireshark顯顯示示攻攻擊擊成成功功逃避技術-封裝序列列號碼TCPsequencenumberisa32-bitnumber最大值為4,294,967,295(0XFFFFFFFF)47CISCOASA4849Decoytrees5051SMBfragmenting5253545556Snort57IPC$share不是惡意的內內容，是用在在Windows遠程服務，因因此不需要設設定阻斷策略略以下三個策略略是標識數據據包中的shellcode,利用MS08-067弱點來進行攻攻擊，需要進進行阻斷58596061asinglebyteof0X00isaddedasthe‘urgent’data.高級逃避技術術工作在TCP/IP不同層次的逃逃避技術是可可以同時加載載的。利用協議中不不常用的屬性性或者是不遵遵守協議規范范，偽裝攻擊擊流量躲避安安全系統檢檢測。黑客通常是利利用高級逃避避技術作為高高級不間斷攻攻擊（APT）的重要部分分。PAIPS：TCPSegment:Segmentsize:20TCPSegmentOverlap:Overlapamount:1CISCOIPS：TCPSegment:Segmentsize:1從這些研究測測試得出的結結論：不要期望您的的安全設備是是堅不可摧的的不要依賴安全全設備的默認認策略配置，，要充分了解解自己的業務務系統，訂制制針對性的策策略要使用反逃避避的解決方案案高級逃避攻擊擊技術的危害害金融系統對外外業務系統失失去保護。金融系統用戶戶數據存在嚴嚴重的泄露風風險。“我們是安全全的”這種錯錯覺讓金融體體系很容易受受到攻擊。大多數（99%）現有安安全設備對高高級逃避攻擊擊不能夠攔截截和告警在高級逃避技技術下，系統統和數據隨時時都處于危險險狀態，而用用戶卻不得而而知。品牌信任用戶數據借貸信息行業信譽合規遵從性敏感信息關鍵網絡架構構業務連續性電子銀行交易平臺支付平臺反高級逃避對對于金融體系系用戶安全防防護的重要意意義高級逃避技術術都可以破破壞它們!目錄CNGate反高級逃避避技術介紹為什么99%的安全廠商商

下一代防防火墻

下一一代入侵防御御系統

WEB防火墻等等產品無法法檢測并防護護AET？傳統方式采用用垂直檢測數數據流-基于數據包，，數據分段的的檢測一大部分的逃逃避技術僅僅僅基于協議的的正常功能，，而且這些功功能在正常的的通信中被廣廣泛的使用著著。IPfragmentationTCPsegmentationMSRPCfragmentationIPrandomoptionsTCPTIME_WAITTCPurgentpointer一般的，，這些逃逃避不會會和任何何RFC沖突，這這是為什什么協議議檢查也也無法發發現這些些逃避技技術。SMBfragmentationMSRPCaltercontext使用靜態態特征庫庫進行防防護的?Http:///CVE列列出了了多余45,000CVE標識………IPS一一般覆蓋蓋了–3000––4000fingerprints…..大多數IPS產產品默認認僅有1000signatures被檢檢查……..(考慮性性能原因因)如果只有有1%的的高級級逃避技技術被利利用-這這個數數字將是是多于100萬萬種！測試工具具受限目前有一一些工具具，集成成了一些些逃避的的技術但是，這這些工具具是基于于不同的的漏洞風風險的，，并不是是基于不不同的逃逃避技術術的所以，就就無法深深入的研研究高級級逃避技技術，及及無法提提供驗證證防護效效率的工工具。高級逃避避技術隱隱藏的攻攻擊可以以逃避IPS/IDS的檢測測–JackWalsh,ProgramManager如果你的的網絡系系統不能能夠發現現攔截高高級逃避避，你將將面臨巨巨大損失失–RickMoy,President進來的研研究發現現AET是真真是存在在的而且且成爆發發時增長長。–BobWalder,ResearchDirector高級逃避避技術被被證實ICSA/NSS/Gartner證明這一一系列新新型逃避避技術確確實不能能被主流流IPS設備備所所檢檢測測出出來來高級級逃逃避避技技術術的的特特性性《CybercrimeKillChainvs.DefenseEffectiveness》》Nov,2012StefanFrei,Ph.DfromNSSLAB高級級逃逃避避技技術術在在APT攻擊擊中中被被廣廣泛泛使使用用對于于Oracle數數據據庫庫，，一一個個RPC碎碎片片逃逃避避就就可可以以導導致致30多多種種不不同同遠遠程程攻攻擊擊高級級逃逃避避技技術術的的特特性性高級級逃逃避避的的存存在在促促使使了了下下一一代代IPS出現現Gartner制定定了了描描述述了了下下一一代代IPS的藍藍圖圖其中中一一個個重重要要的的原原因因就就是是高高級級逃逃避避逃逃避避了了IPS的檢檢查查《DefiningNextIPS》利用逃避技技術和其它它新的傳遞遞手段高級逃避技技術的特性性“高級逃避避技術”已已經引起國國內安全專專家和廠商商的重視國內安全廠廠商紛紛投投入力量進進行研發，，目前對““普通逃避避技術”已已經取得了了較好的防防御效果國內部分安安全產品已已經能夠防防御部分或或大部分的的“高級逃逃避技術””的入侵，，但是仍存存在較大的的技術差距距進一步加強強對“高高級逃避技技術”最新新威脅的研研究，成為為國內安全全行業的首首要課題國內針對高高級逃避技技術的研究究近況CNGate反“高高級逃避技技術”防范范策略1、安全設設備規范要要求安全硬件和和軟件系統統需要合乎乎以下標準準分層的標準準化檢測基于RFC標準的協協議解碼是是在所有的的協議層進進行標準化化檢測合規標準化化檢查是目目前防御逃逃避攻擊的的一種最可可行的方式式具備逃避防防護技術就就緒的系統統取決于它它有能力和和有效率在在所有層面面實現合規規標準化檢檢查。合規化檢查查的原理就就是利用TCP/IP協議的的堆棧，打打開堆棧發發現異常數數據字節然然后清洗干干凈，再根根據協議類類型編寫真真正數據流流的特征。。這就是說說,所有協議需需要準確解解碼并進行行標準化檢檢查之后根根據已經具具備的指紋紋特征準確確匹配風險險獨立的特征征匹配指紋識別不不需要去擔擔心逃避，，因為標準準化檢測就就已經可以以對付它們們了。動態化保護護高級逃避技技術特征動動態升級，，需要集中中管理平臺臺對設備和和特征庫統統一升級和和配置管理理安全引擎在在每一層執執行完整的的協議棧檢檢測，基于于應用層數數據流的檢檢測過程網絡防御分析器EPS-1EPS-2EPS-3EPS-4EPS業務系統1分布式部署署—將安全全防護由““點”升升成“面””業務系統2業務系統4業務系統32、管理要要求—維護護管理定期審計關關鍵資產，，關鍵數據據和應用系系統是否遭遭受過入侵侵（高級逃逃避技術的的出現導致致目前的任任何系統都都是受到威威脅的）應該考慮長長期的計劃劃和策略來來遷移到動動態的，可可以有效攔攔截逃避攻攻擊的解決決方案，通通過集中管管理方式快快速更新系系統的補丁丁，實現實實時監控系系統和應用用狀態，對于不能及及時更新補補丁的關鍵鍵資產，要要執行風險險分析，可可以防御逃逃避/高級級逃避技術術的動態的的解決方案案可以作為為關鍵資產產系統的虛虛擬補丁3、取證，，事后跟跟蹤取證，事后后跟蹤系統統分析器IPS/IDS感應應器IPS/IDS感應應器集群IPS/IDS感應應器/分析析器集中管理中中心LogeventsAlerts網絡監視總結逃避技術/高級逃避避技術是一一種通過偽偽裝和/或或修改網絡絡攻擊以逃逃避安全系系統的檢測測和阻止的的手段。逃避技術/高級逃避避技術最大大的危害是是網絡犯罪罪分子可以以攜帶惡意意攻擊軟件件和漏洞利利用攻擊程程序避開安安全系統的的檢測入侵侵到系統內內部。但是是安全系統統不會存在在任何攔截截和告警信信息傳統的IPS/IDS只是是可以攔截截和告警簡簡單的逃避避技術，這這些簡單的的逃避技術術通常出現現在TCP/IP協議棧棧某一層，，是獨立的的逃避攻擊擊。但是對于應應用層的逃逃避已經跨跨協議或多多種協議組組合的高級級逃避技術術則沒有任任何辦法安全是一個個過程我們相信AET的出出現將沖擊擊整個IPS/IDS/NGFW行業業測試結果可可以證明高高級逃避技技術是存在在的仍然有很多多未知的AET需需要去發現現和研究。。目錄錄金融體體系客客戶案案例目錄錄銀行、、證券券、保保險中國銀銀行交通銀銀行中國建建設銀銀行浙浙江分分行中國建建設銀銀行河河南分分行中國建建設銀銀行陜陜西分分行中國建建設銀銀行j江西西分行行寧夏銀銀行青海銀銀行西安銀銀行廊坊銀銀行萊蕪銀銀行大新銀銀行中國建建設銀銀行合合肥信信用卡卡中心心國泰君君安證證券申銀萬萬國證證券銀河證證券東海證證券中國人人壽保保險公公司華夏人人壽保保險公公司天安人人壽保保險公公司信達澳澳銀基基金管管理有有限公公司北京現現代汽汽車金金融有有限公公司云南樂樂富支支付有有限公公司英國巴巴克萊萊銀行行上海海分行行CNGate公公司簡簡介關于我我們2012年9月成功功登陸陸”新三板板”（中國國創業業板）），股票票代碼碼：430148成立于于2000年，14年專注注于網網絡安安全領領域北京（（總部部），，產品研研發中中心（（北京京、深深圳））2014年7月，遷遷入位位于北北京第第二金金融區區的辦辦公新新址，，1500平米+華北電電力大大學50多人的的VAG小組分支機機構：：上海海、西西安、、廣州州、成成都、、鄭州州、青青島主要業業務區區域：：華北北、東東北、、華東東、西西北、、西南南、華華南主要客客戶：：政府府、公公安、、教育育、金金融、、醫療療、能能源、、社保保/醫保保、、互互聯聯網網業業務務平平臺臺，，客客戶戶總總數數超超過過4000家大大型型和和中中型型機機構構CNGate產品品均均已已獲獲得得政府府、、軍軍隊隊的的銷銷售售許許可可證證CNGate全線線產產品品進進入入中央央政政府府采采購購平平臺臺CNGate硬件件平平臺臺生產產基基地地：：深深圳圳公司司發發展展歷歷程程推出CNGate-AGWEB應用安全網關推出CNGate-ITM網絡監控管理可視化系統2008-201120142012CNGate-AET-NGIPS下一代高智能入侵防御系統CNGate-NGFW下一代防火墻CNGate-WAFWEB應用防火墻成功登陸新三板

簡稱：科能騰達代碼：430148專注網絡安全領域，提供網絡安全解決方案和服務2000-20082013推出CNGate-BAS運維管理審計系統推出“貨架式”安全等級保護解決方案20002014-2015推出“安全管家”安全服務解決方案推出“網絡威脅入侵監測及全網應急響應中心”方案推出TES（高級逃避技術測試工具）SIEM–安全事件管理平臺EPS-反高級逃避攻擊專用產品CNGate全全線線產產品品CNGate榮榮譽譽CNGate榮榮譽譽公司司優優勢勢CNGate系系列安安全全產產品品，，嚴嚴格格按按照照國國家家四四部部委委頒頒布布的的《《信信息息安安全全等等級級保保護護標標準準》》的的要要求求，，進進行行規規劃劃和和研研發發“抗抗高高級級逃逃避避技技術術””是是公公司司的的核核心心技技術術，，獨獨有有的的深深度度檢檢測測技技