查看: 12378|回复: 24
收起左侧

[技术原创] 将生物免疫系统概念应用于网络安全 —— Intezer Protect 产品体验报告(多图)

  [复制链接]
zwl2828
发表于 2021-6-6 20:51:27 | 显示全部楼层 |阅读模式
本帖最后由 zwl2828 于 2021-6-8 05:58 编辑

Hi,

Intezer 家的云沙盘(分析)大家应是非常熟悉了,近期收到他们家邮件邀请试用 Intezer Protect 社区版,刚好自己也有 Linux 分析环境,下面与大家分享 Intezer Protect 这款产品的体验报告:

零、写在前面的话

检测云环境中的攻击对我来说是一个挑战。组织运行不同的工作负载,以不同的方式部署在多个计算服务和云供应商。工作负载是动态的,新技术不断被采用,个人和自动化系统也会做出改变。攻击面的增加和不断变化,使得我们不可能监控每一个攻击载体。

一、Intezer 运用的技术

他们家主要利用了遗传软件映射的力量。Intezer 家的遗传软件映射技术是行业中首个(官方声称)将生物免疫系统概念应用于网络安全的。无论是合法的还是恶意的软件,都是由以前编写的代码组成并进化的,Intezer 通过比较代码和以前识别到的威胁来识别新形式的恶意软件。

即使是最小的代码相似片段,安全团队也能识别到其中的恶意代码,将威胁分类到相关的恶意软件系列中,并根据风险和严重程度优先处理告警。有兴趣了解更多的,可以访问:Genetic Malware Analysis Technology - Intezer

二、Intezer Protect 是什么?

Intezer Protect 是一个云工作负载保护平台(CWPP),它可以保护云基础设施免受未经授权和恶意代码的侵害。Intezer 旨在保护所有类型的云计算资源、虚拟机、容器、Kubernetes、CaaS 和 FaaS 且无需配置任何策略

Intezer 通过揭示所有运行进程和应用程序的 "基因 "来源,确保我们能够验证在任何时候都在运行可信的代码。Intezer Protect 提供了五个主要功能:可见性、威胁检测、响应、减少攻击面和云原生支持。具体为大家介绍如下:

1、可见性
- 监控、记录任何正在运行的应用程序或代码
- 可视化仪表盘显示所有计算资源的安全状态

2、威胁检测
- 在运行时检测恶意代码或恶意软件,包括内存中的威胁
- 检测未被识别的或未经授权的代码
- 检测对已知和未知漏洞的利用
- 检测可疑的 shell 命令和 LotL(Living off the Land)攻击

3、响应
- 迅速终止任何未经授权的代码
- 语境警报,包括代码的来源和恶意软件家族(有兴趣了解更多的,可以访问:Intezer - Revealing the Origins of Software Code
- 事件原因分析;确定危害点,以迅速修复原始漏洞
- 与 SIEM、SOAR、Slack 等工具无缝集成

4、减少攻击面
- 识别并停用不需要的或风险的应用程序
- 识别运行时漏洞
- 识别错误的配置
- 与安全基线(CIS、NIST)保持一致

5、云原生支持
- 为所有类型的计算资源提供整体安全
- 专注于 Linux 威胁的集成威胁情报
- 与开发工具集成,包括 Chef、Puppet、Ansible
- 识别并禁用不需要的或有风险的应用程序
- 识别运行时漏洞
- 识别错误配置
- 与安全基线(CIS、NIST)保持一致

三、Intezer 的威胁检测策略

Intezer Protect 的检测策略较为独特,旨在解决动态云环境的安全挑战。Intezer 不寻找行为遥测中的异常情况,也不需要配置、维护策略。相反,它着眼于在运行时实际执行的内容,确保我们在任何时候都在运行可信代码。

检查运行中的代码是一个较为有效的策略,因为无论攻击载体是什么,所有攻击都需要在环境中的某个地方运行恶意代码或命令。它也是通用的,适用于所有类型的工作负载和计算资源。当一个新的代码被引入到环境中时,Intezer 会对软件进行 "基因 "分类。

Intezer 从两个不同角度看待运行中的代码,即威胁的角度和信任的角度。将引入环境的新代码与威胁数据库进行基因比较,以检测恶意代码和新变种。威胁的基因分析与寻找签名、文件 IoCs(如哈希值、路径等)或网络 IoCs(如不良 IP、URL 或域)有很大不同。它分析代码本身,即使是小的恶意代码的使用也会被发现。与恶意代码库和 IoCs 不同,代码本身不容易被攻击者操纵(Intezer Analyze 往往也从该角度进行分析)。从受信任的角度来看,将引入环境的新代码与组织和全球受信任的软件数据库进行基因比较,只有全新的软件才会被标记。与标准的应用控制(黑、白名单)不同,该方法对任何小的变化都会进行标记,而通过基因分析,批准新的软件是可能的,使我们能够实现高安全级别,而避免产生巨大的维护开销。

四、它是如何工作的?

简单来说,即:建立基线——监控——核查——告警——终止——执行清理

有兴趣了解更多的,可以访问:Protect your cloud workloads against unauthorized code – Intezer(有各个步骤的详细介绍和插图)

五、费用

目前,Intezer Protect 社区版(单用户,10 个 hosts)不收取费用。



六、部署与使用

1、传感器部署

和其他端点防护解决方案一样(也不一样),我们首先需要安装传感器(类似于端点防护的 agent),传感器是一个轻量级的代{过}{滤}理,可以监控它所安装的计算资源中的软件和活动。该传感器支持 Linux 虚拟机、容器和Kubernetes,具体如下:
Ubuntu 16.04 LTS (Xenial Xerus) +
Debian 9 (stretch) +
RHEL 7.2 +
CentOS 7 +
Amazon Linux 2

有兴趣了解更多的,可以访问:Sensor Installation Prerequisites – Intezer

2、仪表盘

又是一个酷酷的仪表盘,在这里我们可以一览各类事件,在此就不再过多介绍。



3、代码检查
Intezer Protect 对代码进行了检查,大家可以看到,在我的环境中有 96.3 %的代码是可信的,而有 3.7% 的代码是未知的。



这是该未知代码的详情,Intezer Protect 很快将其送到了自家的 Intezer Analyze 中进行了分析。





在很短的时间后,该未知代码被标记为信任,并取消了告警。

4、行为核查

我运行了一条调取 hosts 文件信息的命令,Intezer Protect 提醒我这个命令涉及敏感信息获取,并呈现了该条命令的运行时间、路径、PID、以什么身份运行及该进程目前是否存活等讯息,同时还提供了 MITRE 信息,对于我判断安全风险有很大帮助。

因为这条命令是我自己运行的,所以我将该条低危提醒标记为可信(已解决)。



当我使用 lynis 检测操作系统安全基线时,Intezer Protect 进行了中危告警。我估计是它不认识 lynis 这款软件,所以进行了告警。以之前使用的情况来看,Intezer 会很快进行分析,随后自动将该条告警标记为可信(已解决)。



以下是该进程(命令)的进一步情报:



5、配置脆弱性检查

Intezer Protect 会对主机进行配置检查,以确定可能危及资产的错误配置。配置检查包括 CIS(互联网安全中心)的最佳实践和对 Linux、Docker 和 Kubernetes 的检查。传感器每 24 小时检查一次主机上的配置。



每个检查都有一个脆弱性状态,状态标志着检查结果。配置检查的脆弱性状态会影响主机的脆弱性状态。Intezer Protect 对于每个检查都提醒了解决或缓释方案,这点对我非常友好。一旦错误(脆弱)配置得到修复或缓释,下一次传感器扫描将会识别新的配置并刷新脆弱性状态。

6、漏洞检查

Intezer Protect 会扫描已安装的包,以便在运行时识别漏洞。传感器每 24 小时扫描由软件包管理器 DEB 和 RPM 安装的包。这些包的扫描与 CVEs(常见漏洞和暴露)相匹配。



针对每个发现的包漏洞,Intezer Protect 提供了相匹配的 CVE 链接,以便于我获取更多信息和补救措施。每个包都有一个经过计算的脆弱性状态。包的脆弱性状态会影响主机的脆弱性状态。一旦漏洞得到了修复,下一次传感器扫描将会识别被修复的包并刷新包的漏洞状态。

七、一些体验和想法

运行时保护是重要的最后防线。检测未经授权的代码、可疑活动和 Living-off-the-Land 攻击非常重要。生产云环境是多样化的(虚拟机、容器、k8s、CaaS、FaaS 等),而 Intezer Protect 能保护所有的计算资源(平台),且不需要手动配置、维护策略(太好啦)

APT 等高级的攻击往往会绕过传统的基于库的异常监测手段。而 Intezer Protect 运用了另一种思路来进行异常检测:分析代码本身,而不考虑它的行为方式,从而对威胁进行更准确的检测。

Intezer Protect 传感器非常轻量。从目前的使用情况来看,对性能的影响基本为零,我不必支付更多的资源租赁费用了(划掉)。

感兴趣的朋友可以免费体验一下,没有 Linux 环境的朋友则可以向 Intezer 申请一个实验室环境(通过 SSH 访问),Intezer 也提供了恶意软件测试的方式(Threat Detection Testing – Intezer),我这边是正式环境,就不实机测试了。

对于上述内容有想了解更多的可以在回帖中告诉我,我会补充更多内容或技术细节。

Thanks.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8分享 +3 魅力 +1 人气 +27 收起 理由
sevenday + 1 版区有你更精彩: )
屁颠屁颠 + 3 + 1 + 3 版区有你更精彩: )
蝉鸣时 + 3 版区有你更精彩: )
愤怒の葡萄 + 1 版区有你更精彩: )
KevinYu0504 + 3 版区有你更精彩: )

查看全部评分

bbs2811125
发表于 2021-6-7 12:31:13 | 显示全部楼层
居然是免费的,挺有意思
tulei
发表于 2021-6-7 13:47:55 | 显示全部楼层
估计以后发展的好了,用户多了之后就会收费,长期的话没有经济收入谁也支撑不下去。
a27573
发表于 2021-6-7 15:36:16 | 显示全部楼层
ESET不是很早就有高级启发式扫描/DNA签名吗?
它怎么就成了“首个将生物免疫系统概念应用于网络安全的”呢?

而且免疫系统识别的抗原大部分情况下也不是DNA啊,常见的是蛋白质、大分子多糖、黏多糖等(小声)
dg1vg4
发表于 2021-6-7 16:45:25 | 显示全部楼层
想看看这东西对威胁的命名法有什么特点
而且前文还说:
这是该未知代码的详情,Intezer Protect 很快将其送到了自家的沙盘环境中进行了分析。

后文却说:
APT 等高级的攻击往往会绕过传统的基于库的异常监测手段。而 Intezer Protect 运用了另一种思路来进行异常检测:分析代码本身,而不考虑它的行为方式,从而对威胁进行更准确的检测。

姑且不谈这听起来高大上的说法,前文提到了沙盒了吧?后文却说自己用了另一种思路:分析代码本身,而不考虑行为方式,所以沙盒里到底跑没跑行为?这是不是自相矛盾?
yiohar
发表于 2021-6-7 17:15:13 来自手机 | 显示全部楼层
总感觉和cylance差不多,不会也是pe扫描吧
ericfang
发表于 2021-6-7 17:18:32 | 显示全部楼层
居然免费,有意思,路过围观一下
a27573
发表于 2021-6-7 17:20:12 | 显示全部楼层
yiohar 发表于 2021-6-7 17:15
总感觉和cylance差不多,不会也是pe扫描吧

楼主列的4-6就不是
zwl2828
 楼主| 发表于 2021-6-7 20:36:27 | 显示全部楼层
bbs2811125 发表于 2021-6-7 12:31
居然是免费的,挺有意思

社区版免费,企业还是要盈利的。
zwl2828
 楼主| 发表于 2021-6-7 20:37:18 | 显示全部楼层
a27573 发表于 2021-6-7 15:36
ESET不是很早就有高级启发式扫描/DNA签名吗?
它怎么就成了“首个将生物免疫系统概念应用于网络安全的”呢 ...

他们家自己说的(小声)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 19:31 , Processed in 0.137403 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表