如何應(yīng)對未知漏洞的攻擊

周兵峰

安全（查殺）引擎與惡意攻擊的攻防拉鋸戰(zhàn)，從單機時代的惡意軟件加殼VS.靜態(tài)黑特征匹配，發(fā)展到了互聯(lián)網(wǎng)時代基于漏洞的利用VS.基于行為黑、白特征的混用。如今，則是在國家安全這一大背景下的新型攻防對抗。

2020年1月17日，奇安信在京發(fā)布了最新安全引擎“天狗”，并將其歸屬為第三代（安全引擎）。其最為突出的是技術(shù)目的的變化，即以應(yīng)對受信程序作惡、未知漏洞利用為核心目的，而且減少用戶對終端的安全運營能力如補丁管理、權(quán)限控制的依賴。

那么，從能力角度看，“天狗”引擎有哪些重要的不同？

1.受信程序的惡意指令

漏洞攻擊的實質(zhì)，是利用漏洞控制可信程序執(zhí)行惡意指令。對可信程序進行限制也一直是安全工作的重要方向。最有代表性的，就是最小權(quán)限原則。

所以，“天狗”首先要做的，是利用AI能力，批量地以進程、程序和文件為單位，進行權(quán)限收集和設(shè)置。要明確區(qū)分的是，基于角色、對人的行為的訪問控制，是零信任要做的事情。

但是，訪問控制與授權(quán)，是一個長期存在的問題。對權(quán)限的控制，不只是人為來規(guī)定，更需要底層安全技術(shù)的支撐。即使程序的樣子、行為在用戶看來沒有異常，但進入內(nèi)存指令層這樣一個微觀的世界，會有明顯的區(qū)別。這樣做的益處是可以擺脫對文件和行為特征的依賴，大范圍應(yīng)用的阻礙是性能消耗的容忍程度。

除了性能外，內(nèi)存的惡意指令檢測還要重點考慮誤報率和檢出率的平衡。因為客戶環(huán)境中部署的安全軟件經(jīng)常會影響程序指令的執(zhí)行，這對于惡意指令檢測是種干擾，所以現(xiàn)場適配也是現(xiàn)階段必須的。

2.后門發(fā)現(xiàn)

后門發(fā)現(xiàn)是“天狗”在技術(shù)上的一個重要創(chuàng)新點。

后門不像漏洞，它和實現(xiàn)正常功能的代碼段沒什么本質(zhì)區(qū)別。正常情況下，功能的研發(fā)是為了滿足大多數(shù)用戶的需求而設(shè)計的，所以幾乎每個正常功能都有大量群體在使用。而后門是為了應(yīng)對特殊情況，隱藏起來的功能，所以也就只有極少數(shù)人，極少機會去調(diào)用。

而無論是正常功能的使用，還是后門的調(diào)用，都將在內(nèi)存中形成獨特的指令調(diào)用序列，“天狗”利用AI技術(shù)，實現(xiàn)了對多用戶的分布式指令調(diào)用序列的學(xué)習(xí)與計算，從中發(fā)現(xiàn)與正常功能調(diào)用不同的后門調(diào)用。

漏洞是程序的缺陷，后門是不公開的功能；后者具備更強的不確定性，特別是在國家安全時代，有更大的風(fēng)險。當(dāng)然，照此邏輯，如果一個后門到目前為止從來沒有被使用過，也就不會被發(fā)現(xiàn)，在檢出率上一定無法達到100 %，但這樣的后門，到目前為止也沒有產(chǎn)生實質(zhì)性危害。而安全工作要做的，是通過體系化的防護，將風(fēng)險降低到容忍度以下。“天狗”，可以說是基于AI和漏洞視角，強化了對利用漏洞、后門進行攻擊的檢測和發(fā)現(xiàn)能力。

實戰(zhàn)應(yīng)用：應(yīng)對Win7停服后的安全挑戰(zhàn)

奇安信的特點是重視服務(wù)，重視實戰(zhàn)效果，“天狗”也是如此。據(jù)奇安信總裁吳云坤介紹，“天狗”從2018年就開始研發(fā)，2019年已經(jīng)在10萬終端進行部署測試。作為一個底層安全技術(shù)，“天狗”一個重要特點就是不依賴特定操作系統(tǒng)。在政企用戶的不同信息化場景，可以更靈活的提供能力支撐。

目前，微軟已經(jīng)停止對Windows 7，Windows Server 2008提供支持。這與國內(nèi)Win7終端占有率達57 %以上，關(guān)鍵信息基礎(chǔ)設(shè)施Win7終端達60 %的現(xiàn)狀有明顯的沖突。在失去官方補丁支持后，“天狗”引擎從另一維度提供的防護能力，對擁有大量無法遷移Win7和Windows Server 2008主機的客戶而言，就十分關(guān)鍵。

據(jù)奇安信集團副總裁張聰透露，目前集成了“天狗”終端和服務(wù)器安全防護系統(tǒng)，已經(jīng)在多家大中型企業(yè)及機構(gòu)穩(wěn)定運行超過半年，而這些終端的操作系統(tǒng)大量是已經(jīng)停服的Win7和Windows Server 2008。奇安信已經(jīng)針對Win7操作系統(tǒng)的過渡（保留停服系統(tǒng)）、切換（信創(chuàng)系統(tǒng)）和升級（Win10）3個場景提出了系統(tǒng)性的方案。未來，結(jié)合集成“天狗”引擎漏洞防護模塊的奇安信天擎，可以為不同需求的客戶提供長效的安全運營保障。