安全(查杀)引擎与恶意攻击的拉锯战,已经从单机时代的恶意加壳vs静态黑特征匹配,演变为基于漏洞的利用vs基于行为的黑白混合特征在互联网时代。今天,是国家安全背景下的新型攻防对抗。1月17日,奇安信在北京发布了最新的安全引擎“天狗”,并归于第三代(安全引擎)。最突出的是技术目的的改变,即以应对恶意程序和利用未知漏洞为核心目的,降低用户对补丁管理、权限控制等终端安全运营能力的依赖。那么,从能力上看,“天狗”发动机有哪些重要区别呢?下面两段简要介绍了奇安信副总裁、“天狗”发动机研发负责人徐贵斌的部分沿革。1、可信程序恶意指令漏洞攻击的本质是利用漏洞控制可信程序执行恶意指令。对可信程序进行限制一直是安全工作的一个重要方向。最具代表性的是最小权限原则。因此,“天狗”首先要做的就是利用AI能力,以进程、程序、文件为单位,批量收集和设置权限。明显的区别是,基于角色和人类行为的访问控制是零信任需要做的。然而,访问控制和授权是一个长期存在的问题。权限的控制不仅仅是人为规定的,还需要底层安全技术的支持。即使程序的表象和行为在用户看来没有异常,进入内存指令层这个相对微观的世界也会有明显的差异。这样做的好处是可以摆脱对文件和行为特征的依赖。大规模应用的可能障碍是性能消耗的容忍度。除了性能之外,内存恶意指令检测的关键考虑因素是误报率和检测率之间的平衡。而且,由于客户环境中部署的安全软件往往会影响程序指令的执行,从而干扰恶意指令的检测,因此现阶段的现场适配过程也是必不可少的。2、后门的发现后门的发现是“天狗号”的一项重要技术创新。后门不像漏洞,与实现正常功能的代码段没有本质区别。“天狗”检测后门就是利用了这个特殊功能。一般情况下,功能的开发都是为了满足大多数用户的需求,所以几乎每一个正常的功能都有大量的群体使用。后门是处理特殊情况的隐藏功能,所以只有极少数人调用它的机会非常少。无论是正常功能的使用,还是后门的调用,都会在内存中形成一个唯一的命令调用序列。“天狗”利用AI技术实现多用户分布式命令调用序列的学习和计算。与正常函数调用不同的后门调用。漏洞是程序缺陷,后门是未公开的功能;后者具有更强的不确定性,尤其是在国家安全时代,具有更大的风险。当然,按照这个逻辑,如果一个后门至今没有被使用过,是不会被发现的,检出率肯定达不到100%,但这样的后门至今没有造成实质性的危害。.安全工作要做的是通过系统的防护,将风险降低到容忍度以下。特别是“天狗”可以说是从AI和漏洞的角度出发,加强了对利用漏洞和后门攻击的检测和发现能力。实际应用:应对Win7服务下线后的安全挑战。奇安信的特点就是重视服役和实战效果。《天狗》也是如此。据奇安信总裁吴云坤介绍,“天狗”的研发始于2018年,半年前已在10万台终端部署测试。作为底层安全技术,“天狗”的一个重要特点是不依赖于特定的操作系统。针对政企用户不同的信息化场景,可以更加灵活地提供能力支持。目前,微软已经停止对Windows7和WindowsServer2008的支持,这与目前中国Win7终端份额超过57%,关键信息基础设施Win7终端份额达到60%的现状存在明显的冲突。在失去官方补丁支持后,“天狗”引擎从另一个维度提供的保护对于拥有大量无法迁移的Windows7和WindowsServer2008主机的客户来说非常关键。据奇安信集团副总裁张聪介绍,“天狗”终端和服务器安全防护系统已在多家大中型企事业单位集成并稳定运行半年多,大部分这些终端的操作系统是已经停产的Windows。7和WindowsServer2008。奇安信针对Win7操作系统的过渡(保留关机系统)、切换(新创系统)和升级(Win10)三种场景提出了系统的解决方案。未来结合集成“天狗”引擎漏洞防护模块的奇安信天晴,可为不同需求的客户提供长期的安全运行保障。
