分層防禦:為何需要靜態分析、動態分析和機器學習

Dec 26, 2018
1 minutes
... views

安全方面的單點解決方案可達到的效果:專注於單點干預整個攻擊生命週期。即使安全解決方案的成功率達到 90%,仍然有十分之一的可能性無法阻止攻擊繼續跨越該點。為了提高阻止網路攻擊成功的機率,各組織不能依賴單點解決方案。必須有多層防禦措施,藉以涵蓋多個攔截點。組合運用多種有效的技術可提高安全解決方案的整體有效性,藉以提供在多點處中斷攻擊生命週期的機會。

以下是可協同防範網路攻擊成功的三種威脅識別方法:

 

動態分析

唯一能夠偵測零時差威脅的工具

透過動態分析,可以在虛擬機器 (例如惡意軟體分析環境) 中觸發可疑的檔案,並對其進行分析以查看其行為。根據執行時的操作對檔案進行分級,而不需要倚靠特徵碼來識別威脅。動態分析因此能夠識別與以往不同的威脅。

為了獲得最準確的結果,樣本應該擁有網際網路的完全存取權限,就像企業網路上的一般端點一樣,因為威脅通常需要命令與控制才能完全發動。作為一種防禦機制,惡意軟體分析可禁止連線到網際網路,並會偽造回應呼叫來嘗試欺騙威脅揭露自身,但是這樣做可能不可靠,而且不是網際網路存取的真正替代做法。

惡意軟體分析環境是可識別的,而且過程相當費時

為了逃避偵測,攻擊者會嘗試分析網路,確定攻擊是否正在惡意軟體分析環境中執行。攻擊者會搜尋惡意軟體在虛擬環境中的指標,例如在相似時間或被相同 IP 位址觸發、缺乏有效的使用者活動 (例如鍵盤敲擊或滑鼠移動),或虛擬化技術 (例如異常大量的磁碟空間)。如果確定正在惡意軟體分析環境中執行,攻擊者將停止執行攻擊。這表示結果容易受到分析中的任何失敗所影響。例如,如果樣本在觸發過程中回撥,但是由於攻擊者發現惡意軟體分析而導致操作失敗,則樣本不會做出任何惡意行為,而且分析不會識別任何威脅。同樣,如果威脅要求執行特定軟體的特定版本,則不會在惡意軟體分析環境中做出任何可識別的惡意行為。

啟動虛擬機器、將檔案放入其中、查看其行為、卸除機器並分析結果可能需要數分鐘的時間。雖然動態分析是最昂貴且最費時的方法,不過也是唯一能夠有效偵測未知或零時差威脅的工具。

 

靜態分析

快速產生結果且無分析要求

與動態分析不同,靜態分析會查看存在於磁碟上的特定檔案的內容,而不是觸發時出現的特定檔案。靜態分析會剖析數據,擷取模式、屬性和構件,並標記異常。

靜態分析可以因應動態分析所帶來的問題。這相當有效率,只需要幾分之一秒的時間,而且更具成本效益。靜態分析也可適用於任何檔案,因為沒有特定要求、不需要量身打造環境或在檔案中使用傳出通訊,即可進行分析。

壓縮檔案導致可視性降低

但是,如果檔案經過壓縮,則很容易就能避開靜態分析。雖然壓縮檔案在動態分析中相當正常,但是在靜態分析期間則會失去實際檔案的可視性,因為重新壓縮樣本會將整個檔案轉換為雜訊。能夠靜態擷取的檔案幾乎沒有。

 

機器學習

新版本威脅與基於行為的已知威脅相結合

機器學習不是進行特定的模式比對或觸發檔案,而是剖析檔案並擷取數千個特徵。這些特徵會透過分類程式 (也稱為特徵向量) 執行,以便根據已知識別碼識別檔案是否安全。如果檔案的某個特徵與先前評估的任何檔案叢集一樣,則機器不會尋找特定內容,而是會將該檔案標記為叢集的一部份。為了進行良好的機器學習,需要訓練對於安全與否的判斷,並且加入新數據或特徵來改善流程並降低誤判率。

機器學習會補足動態和靜態分析的欠缺。無效、未觸發、因壓縮工具而精簡、命令與控制已關閉或不可靠的樣本仍然可以透過機器學習識別為惡意。如果已發現特定威脅的許多版本聚集在一起,而且樣本具有與叢集中特徵類似的特徵,則機器將假定該樣本屬於該叢集,並在幾秒鐘內將其標記為惡意。

只能發現更多的已知威脅

與其他兩種方法一樣,機器學習應該被視為一種有許多優點,但也有一些缺點的工具。也就是說,機器學習僅依據已知識別碼訓練模型。與動態分析不同,機器學習永遠無法發現真正原始或未知的威脅。如果遭遇前所未見的威脅,則機器不會標記該威脅,因為僅訓練機器用於發現更多已知的威脅。

平台中的分層技術

為了阻止進階攻擊者對您發動的攻擊,您需要運用多種防護方法。因此,您需要利用分層技術 - 這曾是多供應商解決方案使用的概念。雖然深度防禦仍然適用且相關,但是需要超越多供應商單點解決方案,轉變為一個整合靜態分析、動態分析和機器學習的平台。這三者搭配運作可以透過整合解決方案的多層實現深度防禦。

 

Palo Alto Networks Security Operating Platform 與 WildFire 雲端式威脅分析服務相整合,用於為各部份提供可化為行動的脈絡威脅情報,藉以提供跨網路、端點和雲端的安全支援。WildFire 結合量身打造的動態分析引擎、靜態分析、機器學習和裸機分析,形成進階的威脅防禦技術。雖然許多惡意軟體分析環境都運用開放原始碼技術,但是 WildFire 已經去除動態分析引擎中的所有開放原始碼虛擬化,而改用從基礎即開始建構的虛擬環境。攻擊者必須建立完全獨特的威脅,才能避開 WildFire 中的偵測,這與其他網路安全供應商所使用的技術不同。對於可以避開 WildFire 前三層防禦 (動態分析、靜態分析和機器學習) 的小部份攻擊,呈現迴避行為的檔案會被動態引導到裸機環境中進行完整的硬體執行。

在平台內,這些技術會以非線性的方式協同運作。如果一種技術將檔案識別為惡意檔案,則多層方法會在整個平台上將該檔案標記為惡意,藉以提高其他所有功能的安全性。


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.