电信主机安全检测技术
内容分析
1. 安全政策趋势:聚焦无线防御和网络韧性
2. 安全攻防趋势:极限安全防护的不确定性
3. CT网络的安全挑战与启示
4. CT内生安全1.0方案概览
5. CT内生安全1.0架构与功能
6. CT内生安全1.0的局限性
7. CT内生安全2.0-首创确定性安全架构实现可预期防护
8. CT内生安全2.0-基于IPDRR模型进行顶层安全设计
9. CT内生安全v2.0-基于白名单的主动防御技术
10.CT内生安全v2.0-高位命令主动阻断技术
11. CT内生安全v2.0-虚机逃逸主动阻断技术
12. CT内生安全v2.0-集中式杀毒服务技术
13. CT内生安全v2.0-AI智能检测技术
14. 总结-基于确定性安全架构的CT内生安全
团队在电信主机安全的探索和实践。所谓的电信的内生安全主要是系统本身基于电信系统,包括 5G 网源、5G 系统内生部分的安全加固。为什么是确定性安全下面再介绍。
01. 安全政策趋势:聚焦无线防御和网络韧性
首先是大趋势,目前国内外都是对防控目标的要求不断提升,国内2021年主要是国家颁布的关键技术设施保护条例,最近是今年6月份发布了一个能力体系的标准框架。从最早的比较上位的目标到现在可能可以推进类似于本保的可落地的条目的要求。国际上可以看到美国也在提韧性网络,在2023年的报告中频繁的多次提到韧性网络部分。其实这两个法案都有一个非常大的相似点,无限防御目标。所以无限防御目标就是原来做的等保的,比如三重防护一个中心,实际上是只要部署了这个设备就认为是合格的。但是所谓无线防控目标就是光达到60分是不够的,要保证只要被定义成关键技术设施,那不容许出现被攻破的情况,如果出现,理论上是要问责的。当然这个要求比较高,所以现在也在逐步推进。在新的国际形势下,第五空间的网络安全要求越来越高,关机的能力框架中首次提到了主动防御的能力体系,这也是现在对规范部分的引导。
02. 安全攻防趋势:极限安全防护的不确定性
结合电信业界频出安全事件,右下角列了一部分,之前可能大家碰到的电信安全事件相对比较少,大部分主要还是以运维的故障为主,但是近期两年的网络安全事件非常明显。包括前面2022年有一些 ,今年乌克兰其实出了好几起比较重大安全事件,包括首都在内的多个城市基本上全线瘫痪。这些攻击有一些明确的特征,首先是国家在作战,后面有国际级黑客在进行 IT 长期攻击。典型的攻击是 事件,前期有一些社会工程学的攻破,先把相关的管理人员做一些身份的假冒,甚至可能是身体上胁迫,他会获取到一些超级权限或者是假冒的基本权限,拿到东西之后,会去登录电信的办公网络,再去做渗透,最后到生产网络。到生产网络中,最近几次都基本上通过虚拟化层直接删除主机,大面积格式化类似于这些操作。所以中国和美国现在都在提相关无限防护目标,也有这样一个大背景。原来我们认为的 都是所谓的边际防护,计算环境即使部署下来仍然有一定问题。面对极限攻防时,到底能不能防住实际上存在不确定性,这也是安全一直存在的一个很大的问题,它的效果不可评估。
03. CT网络的安全挑战与启示
基于以上两点,可以分析,单纯技术层面电信网络除了原有的业务层面信令攻击,控制面、转发面的业务流量中,还有很大一部分是来自管理面的攻击。典型的乌克兰、 的例子都是从管理面横向渗透的,再操作虚拟设备。还有一个层面是通过虚拟化逃逸的方式从底层渗透,虽然现在从架构设计和防控能力上都做了防控,但是攻击人员是防不胜防的。原有的边界防护本质上防君子不防小人,真正的防护还是需要落实到系统本身。
04. CT内生安全1.0方案概览
基于这个部分,团队做的事情就是把计算系统的能力增强。业界这几年做的相对比较成熟了,区别就是放在武器系统中,相对更体系化。原来的同业界通常说的 EDR 之类的,更多的属于PC机上面安装。团队做实际上是在电信系统中,包括了底下的云化的 IssA,CaaS 系统,上面的主机系统,电信系统相关的特征,类似于全生命周期的自启动能力。那不是后期安装,它可能是内生,具备一些防杀,防篡的基本内置能力,还有一些像轻量化的可靠能力,不会像桌面杀毒一样,突然会影响工作。电信系统要保证实时性,对资源的消耗有严格要求,杀毒、入侵需要安装在基栈的嵌入系统中做。和原有的能力有一些差别,这部分目前在国内和三大运营商已经基本上已经完成了外商测试,有部分的商用点。
05. CT内生安全1.0架构与功能
整体功能上是和1.2的功能基本上可以理解成大部分是重叠的,包括从下到上资产的采集,关键信息可能更多包括了电信系统的资产的一些定义,元素上会有差别,包括资产的风险管理以及上面的入侵检测,类似于带有期权,恶意贷款的检测和非法账号的检测。
06. CT内生安全1.0的局限性
它是否能满足前面提到的宏观目标,包括满足国家的关机的要求以及抵御外部无限防护的目标。评估下来,不管是杀毒还是入侵检查,整体还是一个被动防御,出现了之后,事后处置,这是一个典型特征。另外一个是出现了病毒对应更新病毒库,出现漏洞对应更新漏洞补丁。这两种方式都无法做到关基主动防御的能力,第二个在实际检测中,对于 0-Day 攻击无效,很难做到提前预防的能力。最终效果是防护能力不可预期。这是目前主机安全存在的问题。
07. CT内生安全2.0-首创确定性安全架构实现可预期防护
确定性安全的架构就是可预期。在6G的网络中提到的相关技术,比如可信计算、区块链、相关的技术都能看到它的主体目标是可信。 对可信的定义很明确。所谓的可行就是可预期,防护效果要做到可预期。结合6G的可信+智能提出的确定性安全架构,这个架构主体是分上下两部分,下面是做主动防御的部分,基于现在要防护的目标对象,通常一个电信系统是一个半封闭、封闭状态,比如有哪些进程文件,进程文件的调度,对外开放的端口,进程、服务、微服务之间的访问关系和系统和子系统之间的访问关系都是程序员设计出来的。基于设计出来的东西可以判断哪些行为本身是合法的,比如原来检测的挖矿病毒,传统的检测可能是基于挖矿进程的特征、运行规律、CPU检测,但是放到封闭系统中就很简单,运行的系统哪些是合法的,哪些是非法的就很清楚。这就是团队的主要思想。通过黑名单的检测,把黑名单列出来。现在反过来,哪些是白名单,系统运行的关键资产和行为列成白名单。这就是现在主动防御的基本核心思想,通过这个应该可以解决系统中80%的问题;还有一部分是动态的行为,比如一些临时的运维或者是一些不确定的动态创造的情况,这部分可能基于AI做识别提升检测率。大体上是做一个通过确定性的主动防御来实现二八防御,达到系统到底安全不安全做一个可预期评估,这就是所谓的确定性安全的架构。基于这部分,实际上要做一个大前提是所谓的产品安全设计。
08. CT内生安全2.0-基于IPDRR模型进行顶层安全设计
公司通信中心从2015年开始已经相关的长期建设,而且是在全公司范围推行这样的能力。比如基于业界参考了几十份相应安全规范沉淀成公司二十多份相应的安全规范,涵盖了通用的、主机的、网络的、数据库的,各个方方面面的。在此过程中进行研发层面的安全治理,所有的模块平台基于这条规范做设计、威胁建模、产品安全设计、安全的渗透、治理。在研发态部分,公司做了很长期的全面的工作。现在考虑右边部分,把研发态的部分规则转到运行态,哪些行为是合法的,哪些是公司设计出来的,打通一个全生命周期的工作。
09. CT内生安全v2.0-基于白名单的主动防御技术
这里展示了一个具体的技术脉络。与上半部分的黑名单方式,更多是基于病毒库和漏洞库生成前台 扫描的规则,发现是否有病毒或漏洞。现在换成下面通过规范形成研发的基本的基线,包括运行的进程,文件的白名单基线,防控制的基线能检查哪一些是正常业务,哪一些是恶意程序。
10.CT内生安全v2.0-高位命令主动阻断技术
下面简单介绍几个关键技术。第一个是高危指令的阻断,基于apt攻击实现极限防护的目标。首先要在攻击链上面做一些相关工作,这部分考虑最后一步,通常要实现大面积破坏,最后一个目标是要做一些额外操作,这也是基于最近的电信攻击识别出来的一些专家指令,包括类似于强制的文件删除和文件格式化,只在开局才做这部分工作,真实的运行运维的状态不会做。这也是刚才的基本思想的一个具体体现。
11.CT内生安全v2.0-虚机逃逸主动阻断技术
第二个是虚机逃逸主动阻断,包括qml的qm的逃逸的一些检测。
12.CT内生安全v2.0-集中式杀毒服务技术
第三个是对于集中式杀毒服务的例子。所谓的确定性安全最后运行的机制或者达成的效果是怎么样的。以传统杀毒为例,原来如果要杀毒是放在每一个主机上,相当于每一个单板或者每个设备上都要装一个杀毒副本。现在杀毒首先用白名单技术识别正常文件,只有非正常名单变成灰名单或者可疑文件才会送到管理中心杀毒,这样底层就不用驻留杀毒副本,在管理中心还可以用多样本的杀毒影像。通过这种方式,原来很大规模,1个点可能有10万个虚机或者12个基建原理上变成管理中心的2份杀毒,无论从成本上还是从检测效率上还是系统的 现象都得到很大提升。
13. CT内生安全v2.0-AI智能检测技术
最后一个是可能还有剩下20%需要借助原有的威胁检测,AI能力在其中的应用。从安全规范和研发态的基建提取也需要用到大量AI技术。简单举例,公司在滨江网络做资产的准确率识别和异常行为的检测,目前效果还可以,能检测到90%的准确率。因为工厂管理的设备有上百种,数量也非常庞大。如果是资产类型,按人工配可能会出错,通过流量的指纹或者行为指纹做行为和打标,能够提高能力。横向的威胁攻击也是类似的行为。
14. 总结-基于确定性安全架构的CT内生安全
最后是基于升级版的电信系统的内生安全的三个目标,第一个目标是主动防御。对于威胁出现问题,系统一开始出现了可疑的文件、进程、行为,在没有落盘之前做主动预警和防御删除等。第二个跨系统的攻击链的各个阶段做实时的阻断,而不是完全依赖于边界的防护能力。第三个是在防护效果上,性能、能力、安全性比以前更清楚。如果定量地说安全性能是多少百分比,需要再一起探讨定义一下。从防护能力和效果上,相比以前黑名单方式多了一个更可预期的能力的定义。这就是我们大体的对内生安全的一个结果汇报,谢谢大家。
