NSC2014安博士融合產品開發室室長Kiyoung Kim
責編:rhliu |2014-10-23 14:46:38大家好,我來自韓國,我叫Kiyoung Kim,我愛中國。今天為各位介紹一下我們6年多以來對公共基礎設施以及工業系統終端安全方面的研究以及研究成果。
現在日常生活當中周邊都有很多用來處理單一以及反復操作的終端設備,這些設備會給我們帶來很多生活上的便利。現在隨著計算機的普及,裝完一個普通的PC系統之后,只作單一用途的計算機也可以看作是一種專用的終端機,現在的問題就是,這些使用為我們帶來便利的專用終端機也存在一個很大的威脅。在現實生活當中,也因為終端設備無法正常運行,會給我們帶來莫大的損失。因為終端機的特殊性,系統的升級可能會有困難,這樣會暴露出很多系統的漏洞,而且這些設備沒法帶動更好更強大的殺毒軟件,設備的維護人員很多,所以他們使用的時候各自的習慣不同,有可能會設立很多共享文件夾,這樣的話,就會受到很普通的蠕蟲攻擊。再有就是網絡不暢,這些設備無法承擔停機維護的時間。雖然現在APT是一個熱門話題,但是實際上我們對于出了安全問題的終端機實際查看問題的時候會發現,很多的問題都是因為普通的病毒感染,導致這個系統無法正常運行。
現在我們列的是幾個錯誤的觀點,但不是說這幾個觀點就是錯誤的。如果按照這上面顯示的幾種觀點來實際應用,而且管理得當的話,這也不失為一種降低系統安全威脅的好方法,但是現在有很多案例都是通過我們無法預測的途徑來感染系統,聽說上一屆的大會主席就是關于APT的。近期有很多病毒通常使用的方式是在用戶毫無察覺的情況下,通過瀏覽器或者是Java或者是Flash還有辦公軟件,通過他們的產品漏洞來達到感染以及擴散的目的。也時常會有一些病毒,實際上在被感染的機器里面沒有什么用作攻擊的ESC或者是類似的PU文件,但是能夠達到它攻擊的目的,這些病毒類型是屬于典型的APT的技法。
APT攻擊里面最有名的就是震網病毒,同時它利用了多種漏洞,而且是使用好幾種編碼做編寫,也利用了很多種智能的攻擊技巧。震網病毒通過這些特點,把存在于內網之中的伊朗核設施也攻破了。更大的問題在于,震網病毒問題出現之后,有更多類似的病毒出現。韓國有一句俗話說,壞的東西學得快。想必各位也看過《虎膽龍威4》,可能大家都會看著電影就想,這只是一個電影的表現激發,不會有這種事情發生。但是列出來的這些常見的公共基礎設施如果也會成為一個攻擊的目標,那它會帶來的后果可能比電影上表現出來的還會嚴重。最幾年韓國也預感到會有這種安全威脅,所以對整個公共基礎設施都進行了安全威脅性的檢查,但是它的結果令人很震驚。所以韓國也開始對公共基礎設施做一個安全的防護,我們公司也會對這些基礎設施做一個安全防護的協助。
APT攻擊發生在普通的計算機上會發生什么樣的事?近期我們公司受邀到一家游戲公司,為他們公司整體的計算機安全環境做一個檢測。但是我們到客戶那邊檢查之后發現,我們最難的不是找一個被感染的機器,而是找一臺完好的計算機。通過分析發現,攻擊者是對目標有一個預先的計劃,會熟知他的工作模式、環境、習慣,對他的工作環境做一個針對性的病毒,然后進行感染。這種APT攻擊技法也不是說沒有方法可以攔截,但是為了攔截這種越來越復雜的APT的攻擊,需要更加強悍的技術,但是這些防御技術添加到一般的PC上的話就會拖慢計算機運行的速度。
一般的計算機防御起來可能會有難度,之前提到的工業系統及公共基礎設施防御會怎么樣?上面我們提到過,這種專用系統有很多特別明顯的系統漏洞,但是我們要對它做一個防護的話,反而會更容易。我們可以通過最普通的USB攔截以及網絡攔截,然后再加之防護系統的漏洞,以及經常使用的軟件的產品漏洞。這樣的話,我們就可以發現防御APT攻擊是有一個很大的幾率的。
但是這也不是百分之百都能防御下來的,我們也發現,不是終端機無法使用殺毒軟件導致的漏洞實現到我們的產品上就可以有效防護這一部分病毒。同時再加以對專用機上面使用的程序加以控制,比如限制它可以運行的程序,對它最主要的程序進行一個保護。這些方案是我們對于專用機的解決方案,但是這種方案拿到現實之后,我們就會發現有很多實施上的困難。現實實際的使用環境當中,很多終端機都是已經被感染的。所以我們發現,在試用我們這一套解決方案之前,可以先對終端機做一個病毒的徹底清理,以及對于這種終端設備使用的規律做一個分析,來給它做一套合適的策略,讓它來運行。通過研究和對這些問題的分析,我們最終做出了一個AhnLab EPS的產品。
這是我們AhnLab EPS實際的業務流程。下面介紹一下EPS整體的運行結構,是以群組化的方式對整體的終端做一個管理,通過服務器的管理端,可以對他們做一個整體的策略以及實時的監控。為了維持它實時最安全的狀態,所以會從我們AhnLab安全中心實時更新最新的引擎庫,對它們加以防護。我們這款產品不給終端設備增加負荷,但是會保證它的安全。我們的目的就是讓工廠的終端設備在不停機維護的情況下能維持它的穩定運行,而且防護它的安全。各種終端里面會存儲著這種終端需要運行的策略以及設置,但是這些設置都是非常重要的信息。所以我們知道這種信息的重要性之后,也對這些信息進行加以保護和防護的手段,所以我們的職責就是維護終端設備持續穩定的運行。
大家能看出這幅圖(PPT)是說的什么故事嗎?這是我非常喜歡的韓非子的矛與盾,但是突然有一天,打破了我以前對矛與盾的觀點。我從事的是安全領域,而我做的事情就是做一個防護,讓想從外面攻進來的人永遠都攻不進來。所以這幅圖的意義,從以前的矛盾變成了一個現實。而且我深刻的意識到,如果不用一種攻擊盾可能就會被沖破這種心態的話,我無法達到我現在做的職責,而且不能防護黑客的攻擊。所以我也會以這種心態對AhnLab EPS產品傾注下去,對它一直做維護,對最新的攻擊技巧做最新的防護。
我就演講到這里,謝謝大家!
