Check Point SandBlast Mobile 移動(dòng)安全研究員 賀飛翔
移動(dòng)端惡意軟件日新月異
在分享的開(kāi)始,賀飛翔給大家一個(gè)大局上的整體感官,他說(shuō):在過(guò)去的三個(gè)季度內(nèi),我們發(fā)現(xiàn)銀行木馬持續(xù)拓展它的疆域,惡意廣告持續(xù)盤踞著病毒黑產(chǎn)的頭把交椅,僵尸網(wǎng)絡(luò)以及移動(dòng)平臺(tái)的DDoS攻擊嶄露了頭角,間諜軟件或者我們俗稱的MRAT,它的技術(shù)更加趨于復(fù)雜,且形式更為低調(diào)。我們認(rèn)為,移動(dòng)端發(fā)起的針對(duì)企業(yè)的攻擊已經(jīng)日趨成熟。還有不能忘記的就是漏洞,漏洞不曾離我們遠(yuǎn)去。
賀飛翔向大家強(qiáng)調(diào),社會(huì)工程學(xué)簡(jiǎn)稱社工,它作為一種存在了很久的攻擊方式,目前來(lái)看,它對(duì)于移動(dòng)端的攻擊依然是行之有效。另外在黑產(chǎn)分工大潮之下所催生的一種叫做(Malware-as-a-Service, MaaS)病毒及服務(wù)服務(wù)。
賀飛翔舉例說(shuō),移動(dòng)端對(duì)于企業(yè)級(jí)別的攻擊逐年來(lái)形成了兩種主要的攻擊種類,第一是以手機(jī)為代理服務(wù)器proxy類的竊取內(nèi)網(wǎng)數(shù)據(jù)。第二類是以手機(jī)為基礎(chǔ)網(wǎng)絡(luò)設(shè)備,比如把手機(jī)做成一個(gè)熱點(diǎn)來(lái)引導(dǎo)周圍的設(shè)備進(jìn)行連接,然后以此為契機(jī),將數(shù)據(jù)重新定向,并且導(dǎo)入到黑客控制的外部服務(wù)器。典型的案例有Check Point發(fā)現(xiàn)的DressCode以及友商發(fā)現(xiàn)的DressCode的變種MilkyDoor,還有Switcher。
惡意軟件日新月異,談及相關(guān)的技術(shù)更新,賀飛翔做了如下闡述:
首先,惡意軟件在對(duì)Google Play Bouncer掃描的突破上,越來(lái)越具有創(chuàng)造性。
其次,終端的惡意軟件與遠(yuǎn)程控制服務(wù)器(C&C)通信方式多元化。
再次,惡意軟件正在“積極”擁抱加固服務(wù)。
最后,病毒的反反病毒機(jī)制,反模擬機(jī)制以及反探測(cè)機(jī)制得到了長(zhǎng)足的發(fā)展。
接下來(lái)賀飛翔向大家介紹了移動(dòng)惡意軟件威脅的幾點(diǎn)趨勢(shì),其中包括:
- 谷歌Instant Apps將帶來(lái)新的安全挑戰(zhàn)
- 安卓牛軋?zhí)恰W利奧將大幅遏制現(xiàn)有銀行木馬和勒索軟件
- 安卓惡意軟件和谷歌官方應(yīng)用商店的貓鼠游戲繼續(xù)升級(jí)
- 礦工類惡意軟件極可能成為下一個(gè)利益增長(zhǎng)點(diǎn)
- iOS高頻更新使得一鍵越獄類工具難以重出江湖
- iOS并不是刀槍不入;跒g覽器的跨平臺(tái)攻擊、基于SoC系統(tǒng)底層的攻擊、以及基于第三方應(yīng)用層漏洞的攻擊值得關(guān)注。
SandBlast Mobile 之守護(hù)
Check Point Infinity 是首個(gè)跨網(wǎng)絡(luò)、云端和移動(dòng)設(shè)備的統(tǒng)一安全平臺(tái),提供無(wú)與倫比的威脅防護(hù),可保護(hù)客戶免遭日益增加的網(wǎng)絡(luò)攻擊威脅。據(jù)介紹,SandBlast Mobile是Check Point Infinity的一個(gè)組成部分。SandBlast Mobile 提供集中式安全解決方案,可在保護(hù)員工隱私的同時(shí)防范漸進(jìn)式移動(dòng)網(wǎng)絡(luò)攻擊。經(jīng)過(guò)一些內(nèi)部的整合以后,SandBlast Mobile現(xiàn)在已經(jīng)完全和ThreatCloud全球威脅情報(bào)云平臺(tái)無(wú)縫連接。這樣的話,我們可以享受來(lái)自于ThreatCloud幾乎全球超過(guò)三十萬(wàn)個(gè)網(wǎng)關(guān)來(lái)進(jìn)行的實(shí)時(shí)數(shù)據(jù)交流。
在賀飛翔看來(lái),SandBlast Mobile最大最引以為豪的就是對(duì)于客戶端的要求之低。由于大部分的檢測(cè)都是從云端完成的,能夠第一時(shí)間把相關(guān)的最新的檢測(cè)科技讓所有人享受,而不是做客戶端的推送。
談及SandBlast Mobile的特性,賀飛翔做了如下介紹:
首先,它是一個(gè)跨IOS和安卓平臺(tái)的移動(dòng)安全套裝。我們的口號(hào)是全面的detection,最優(yōu)的威脅捕獲率,比較透明而且對(duì)用戶的隱私有極大的尊重。最后,我們還有非常簡(jiǎn)易的部署程序。
SandBlast Mobile除了在技術(shù)方面行業(yè)領(lǐng)先之外,也是比較人性化的一種部署,賀飛翔展開(kāi)道:
首先,老生常談,我們尊重用戶隱私,我們不會(huì)濫用我們的系統(tǒng)權(quán)限,我們不會(huì)濫用用戶的手機(jī)resource,比如電池、網(wǎng)絡(luò)之類的。
整個(gè)系統(tǒng)構(gòu)架主要是分作三部分,分別在手機(jī)端、云端和網(wǎng)頁(yè)管理端。對(duì)于終端用戶和對(duì)于system admin來(lái)說(shuō),威脅是不一樣的。那么我們的SandBlast Mobile就會(huì)有一個(gè)彈性,在移動(dòng)端是一種處置,在系統(tǒng)管理是另一種處置。
機(jī)器學(xué)習(xí)技術(shù)應(yīng)用于網(wǎng)絡(luò)安全領(lǐng)域
機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)安全中的應(yīng)用主要集中在三個(gè)方面:威脅檢測(cè)、異常檢測(cè),以及用戶行為分析。談及創(chuàng)新,賀飛翔表示 SandBlast Mobile拳頭產(chǎn)品是在云端,我們結(jié)合了靜態(tài)和動(dòng)態(tài)分析,從去年開(kāi)始,我們已經(jīng)陸陸續(xù)續(xù)的部署了將近幾十個(gè)機(jī)器學(xué)習(xí)的先知。所謂的先知,就是根據(jù)我們動(dòng)態(tài)、靜態(tài)分析,再根據(jù)其他一些渠道進(jìn)行一個(gè)深度的機(jī)器學(xué)習(xí),然后再用機(jī)器學(xué)習(xí)的東西再反哺到我們的所謂的behavioral risk report里面。這也是我們站在科技前端的一個(gè)表現(xiàn)。
賀飛翔自信地說(shuō),SandBlast Mobile內(nèi)部機(jī)器學(xué)習(xí)已經(jīng)非常成熟。
分享的最后,賀飛翔總結(jié)了三點(diǎn):
第一,我們覺(jué)得安卓整體安全有提高,但是新的威脅依然不斷的出現(xiàn)。
第二,我們認(rèn)為人始終是系統(tǒng)完全不可分割的一部分。
第三,選用優(yōu)秀的安全保護(hù),比如SandBlast Mobile。
據(jù)介紹, 900 多個(gè)企業(yè)用戶正使用 SandBlast Mobile 來(lái)防范移動(dòng)威脅。全新 SandBlast Mobile 代表著業(yè)界唯一的統(tǒng)一性跨平臺(tái)解決方案,能夠保護(hù)企業(yè)免受針對(duì)移動(dòng)設(shè)備的漏洞攻擊。SandBlast Mobile 檢測(cè)和攔截已知與未知惡意軟件,并將中毒的 Wi-Fi 網(wǎng)絡(luò)、中間人攻擊以及 SMS 釣魚(yú)詐騙拒之門外。
聲明:CTI論壇(CTiforum)版權(quán)作品,未經(jīng)CTiforum書面授權(quán),嚴(yán)禁轉(zhuǎn)載,違者將被追究法律責(zé)任。