Firehunter APT沙箱安全技术方案

1、华为Firehunter APT沙箱安全技术解决方案123FireHunter产品介绍成功案例APT攻击趋势及挑战目录APT攻击趋势及挑战数据来源：华为安全威胁情报中心2019年APT攻击有增无减；大部分APT组织有政府背景；2019年国内受攻击行业主要分布在政府、央企国企、科研单位、金融和高校；从受攻击地域上看主要集中在北京、广西、江浙地区、四川等。文件载体的APT攻击占据主流0Day漏洞正在商品化APT/未知威胁防御面临的挑战有95% 的网络攻击基于文件发起；其中40%利用钓鱼邮件、55%利用钓鱼邮件的恶意链接；0Day的恶意文件检测迫在眉睫。0Day在黑市的标价40%利用钓鱼邮件附件55

2、%利用钓鱼邮件Web链接0Day漏洞一直是APT组织实施攻击的技术制高点。商品化的0Day让APT攻击变得更容易。未知威胁防御已在法规标准中明确提出网络安全法强调对高级持续性威胁的检测国家电子政务外网标准-政务云安全要求明确提出对未知威胁的防御和态势感知要求网络安全等级保护APT/未知威胁检测写入等保标准2.0网络安全等级保护基本要求第1部分：安全通用要求网络安全等级保护测评要求 第1部分：安全通用要求123FireHunter产品介绍成功案例APT攻击趋势及挑战目录为什么需要FireHunter？FireHunter检测机制传统安全设备检测机制80%20%传统安全设备基于签名检测针对未知恶意

3、文件无检测能力基于已知样本代码签名匹配具备检测滞后性未知恶意文件样本未知、无法生成签名FireHunter基于行为特征检测具备未知恶意文件检测能力检测代码调用的API、组件等信息检测软件本地的行为（文件、注册表等）检测软件的网络行为（上传下载外联等）检测软件代码的结构基于签名威胁检测机制仍然扮演着重要的角色，实际使用中可检测出60%-70%威胁事件，且检测效率较高。FireHunter不仅具备动态虚拟执行环境模拟，同样支持基于信誉、签名的检测机制检测能力覆盖已知威胁和未知威胁沙箱是未知威胁检测最为有效的手段FireHunter6000防火墙、IPS 、IDS、WAF等4%19%40%有效报警有

4、效处理未报警Source:Ponemon report误报的平均损失：每年130万美元40%减少支出迟钝响应的损失：增加40%的支出在威胁事件发生后60秒内采取行动可以将解决违规问题的成本平均降低40应对APT攻击，快速、准确的检测就是降低支出沙箱的选择标准是什么？是否能准确检测恶意文件，少误报。目前安全产品误报率惊人，真正有效的告警只占19%，准确率越高越好。准确沙箱作为目前最为有效的未知威胁检测手段，其检测结果能否共享至其他安全设备联动阻断至关重要。共享性是否能全面检测恶意文件？包括PE、office 、PDF、WPS、压缩文件、web文件等等，越多越好。全面检测是否能快速的完成检测，在安

5、全事件发生后60秒里采取有效行动，可以相比减少40%的支出。高效性对APT攻击中恶意文件深度检测价值：检测APT攻击的渗透阶段和控制建立阶段沙箱主要原理动态和静态检测相结合，并利用机器学习，发现威胁虚拟环境运行可疑文件, 天然解决恶意文件的分片分段、加壳等逃逸手段。检测文件类型Windows 可执行文件，EXE、dllWEB网页，如检测Javascript、Flash、JavaApplet等各种办公文档，如Office、PDF、WPS等各种图片文件，如JPEG、PNP、JPG等各种压缩文件、加壳文件华为沙箱领先的未知文件检测机制?VM安全文件恶意文件安全文件华为FireHunter6000系列

6、沙箱未知文件未知文件未知文件智能行为综合分析Office PDF WEB PE EXE JS 静态分析动态分析文件附加数据识别代码片段分析变形代码识别API调用异常分析-指令流监控识别文件操作识别注册表操作识别服务调用-50+文件类型检测，全面识别未知恶意软件File InformationSHA-256 307960772bb54ae42d87e7ad8b1c600ded893fa5Verdict MalwareSession InformationSource 00:32854Destination 2:80Application web-browsingURL /newcos102.pd

7、fBehavior SequenceTimeType Behavior0:00:19Request /international/loadpdf.php0:00:21Process Creation AcroRd32.exe Created C:WINDOWSsystem32ntvdm.exe0:00:24File Create ntvdm.exe Created C:WINDOWSTempscs1.tmp0:00:26File Write ntvdm.exe Wrote To C:WINDOWSTempscs1.tmp0:00:33File Transfer ntvdm.exe Transf

8、er C:WINDOWSTempscs1.tmp关键技术：操作系统监控：文件操作、注册表操作、服务、进程操作、内存、模块加载、网络操作多种抗逃逸躲避检测技术：环境检测、延时对抗、内部混淆、交互逃逸多层次化的防御体系，实现检测性能和保护效果最佳平衡，在满载场景依然秒级响应1信誉体系2轻量级沙箱3虚拟机执行WinE4综合威胁分析PE 启发式检测WEB 启发式检测PDF启发式检测Linux启发式检测M4重纵深检测，检出率达99%以上静态检测（病毒/文件漏洞）华为ADE（Advance Detect Engine）高级威胁检测引擎静态机器学习动态机器学习第一步：NGFW 还原文件并发送给沙箱检测第二步

9、：NGFW 查询沙箱检测结果并同步检测信息同步信息包括：恶意标签、文件MD5、URL 链接等第三步：NGFW根据同步信息生成策略第四步：NGFW 依据检测结果及预置条件确定是否进行拦截如果配置为是：则根据MD5或者URL开启拦截如果配置为否：则放行FireHunterNGFW秒级联动响应，实时驱动防火墙快速拦截防火墙沙箱联动流程文件下载文件下载请求Internet文件还原检测结果基于指令集的第三代沙箱技术宏病毒脚本病毒系统漏洞威胁类型硬件漏洞应用漏洞华为FireHunter6000 第三代沙箱指令集监控内存分析信誉及规则库检测全API调用检测深度学习动态行为检测信誉及规则库检测基于VM内部的H

10、ook有限的API调用检测基于CPU IPT指令流层级监控基于指令集的全API监控业界水平：VM内部的Hook监控看不到指令安全硬件：CPU、内存、硬盘Hypervisor层OSAPPOSAPPOSAPPOSAPPOSAPPMeltdown&Spectre情报和API层级函数级指令块级无法避免逃逸指令流实时监控能检出指令层攻击细颗粒度监控：全部API调用防止沙箱躲避：恶意软件无法探测虚拟化环境深度指令集监控：可检测“熔断”、“幽灵”等硬件级漏洞利用沙箱典型部署场景多防火墙恶意文件检测结果共享FireHunter与多台防火墙互联，并使能联动一台沙箱发现威胁，多台防火墙同时进行威胁阻断，从而提升整

11、个网络的安全性。减少安全投资，互联网出口发现威胁，全局管控部门A部门B部门C数据中心服务器区FireHunter部门A部门B部门C数据中心服务器区FireHunter旁挂交换机独立部署部门A部门B部门C数据中心服务器区FireHunter沙箱与单防火墙联动部署FireHunter旁路部署在企业网络汇聚处交换机，独立接收交换机镜像的网络流量进行还原，提取其中的文件进行未知威胁检测。网络管理员通过查看FireHunter提供的威胁分析报告，制定相应的安全策略，从而进一步提升整个网络的安全性。FireHunter与防火墙联动，使网络具备防御恶意文件和网站等未知威胁的能力，从而提升整个网络的安全性。防

12、火墙与沙箱联动，实现未知威胁在线阻断防火墙可对加密流量进行检测分支1分支3分支2核心部门 部门A部门B数据中心服务器区沙箱全场景部署方案互联网边界出口：重点防范来自互联网的恶意邮件、恶意web流量等分支接入边界：避免外联接入区域恶意文件、未知威胁扩散，分支总部之间任意扩散数据中心边界：重点保护服务器核心资产，发现内网潜伏的攻击、恶意扫描，渗透等核心部门边界：防范内网可疑文件传播，横向感染核心部门典型应用FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000流量/ECA探针流量/EC

13、A探针流量/ECA探针流量/ECA探针流量/ECA探针E沙箱全场景部署方案5GPSTNVPDNSSL VPN网关管理区AIFW上网行为管理边界AIFWInternet运维审计系统WAFFireHunter终端安全准入系统互联网区IPSDDoS防御FireHunter接入用户FireHunter核心交换区核心IPSFireHunter漏洞扫描安全事件管理中心服务器区IPS数据库审计ATIC骨干节点AIFW检测清洗EDR控制中心CIS大数据安全分析Web服务器邮件服务器应用服务器EEEEEDMZ区服务器区广域网区接入用户接入用户EEEE接入用户管理区互联网接入区安全策略管理平台网络控制器核心AIF

14、WEAI防火墙大型分支机构流量探针 AIFWAIFW办公网交换机核心AIFW流量探针FireHunterFireHunter流量探针FireHunterFireHunterFireHunterFireHunterFireHunterFireHunter123FireHunter产品介绍成功案例APT攻击趋势及挑战目录华为FireHunter助力北京大学校园出口安全 华为公司为北京大学设计部署了包括高端防火墙、IPS、DDoS、沙箱和大数据安全分析平台在内的完善的出口安全防御方案。有效保障了校内用户的安全。同时，北大与华为在威胁情报领域展开了深入的合作。3万台峰值接入终端380Gbps专业IPS入侵防御最大吞吐量1 Tbps周昌令计算中心网络室高级工程师”“20部署首月即发现发