1、華為Firehunter APT沙箱安全技術解決方案123FireHunter產品介紹成功案例APT攻擊趨勢及挑戰目錄APT攻擊趨勢及挑戰數據來源：華為安全威脅情報中心2019年APT攻擊有增無減；大部分APT組織有政府背景；2019年國內受攻擊行業主要分布在政府、央企國企、科研單位、金融和高校；從受攻擊地域上看主要集中在北京、廣西、江浙地區、四川等。文件載體的APT攻擊占據主流0Day漏洞正在商品化APT/未知威脅防御面臨的挑戰有95% 的網絡攻擊基于文件發起；其中40%利用釣魚郵件、55%利用釣魚郵件的惡意鏈接；0Day的惡意文件檢測迫在眉睫。0Day在黑市的標價40%利用釣魚郵件附件55

2、%利用釣魚郵件Web鏈接0Day漏洞一直是APT組織實施攻擊的技術制高點。商品化的0Day讓APT攻擊變得更容易。未知威脅防御已在法規標準中明確提出網絡安全法強調對高級持續性威脅的檢測國家電子政務外網標準-政務云安全要求明確提出對未知威脅的防御和態勢感知要求網絡安全等級保護APT/未知威脅檢測寫入等保標準2.0網絡安全等級保護基本要求第1部分：安全通用要求網絡安全等級保護測評要求 第1部分：安全通用要求123FireHunter產品介紹成功案例APT攻擊趨勢及挑戰目錄為什么需要FireHunter？FireHunter檢測機制傳統安全設備檢測機制80%20%傳統安全設備基于簽名檢測針對未知惡意

3、文件無檢測能力基于已知樣本代碼簽名匹配具備檢測滯后性未知惡意文件樣本未知、無法生成簽名FireHunter基于行為特征檢測具備未知惡意文件檢測能力檢測代碼調用的API、組件等信息檢測軟件本地的行為（文件、注冊表等）檢測軟件的網絡行為（上傳下載外聯等）檢測軟件代碼的結構基于簽名威脅檢測機制仍然扮演著重要的角色，實際使用中可檢測出60%-70%威脅事件，且檢測效率較高。FireHunter不僅具備動態虛擬執行環境模擬，同樣支持基于信譽、簽名的檢測機制檢測能力覆蓋已知威脅和未知威脅沙箱是未知威脅檢測最為有效的手段FireHunter6000防火墻、IPS 、IDS、WAF等4%19%40%有效報警有

4、效處理未報警Source:Ponemon report誤報的平均損失：每年130萬美元40%減少支出遲鈍響應的損失：增加40%的支出在威脅事件發生后60秒內采取行動可以將解決違規問題的成本平均降低40應對APT攻擊，快速、準確的檢測就是降低支出沙箱的選擇標準是什么？是否能準確檢測惡意文件，少誤報。目前安全產品誤報率驚人，真正有效的告警只占19%，準確率越高越好。準確沙箱作為目前最為有效的未知威脅檢測手段，其檢測結果能否共享至其他安全設備聯動阻斷至關重要。共享性是否能全面檢測惡意文件？包括PE、office 、PDF、WPS、壓縮文件、web文件等等，越多越好。全面檢測是否能快速的完成檢測，在安

5、全事件發生后60秒里采取有效行動，可以相比減少40%的支出。高效性對APT攻擊中惡意文件深度檢測價值：檢測APT攻擊的滲透階段和控制建立階段沙箱主要原理動態和靜態檢測相結合，并利用機器學習，發現威脅虛擬環境運行可疑文件, 天然解決惡意文件的分片分段、加殼等逃逸手段。檢測文件類型Windows 可執行文件，EXE、dllWEB網頁，如檢測Javascript、Flash、JavaApplet等各種辦公文檔，如Office、PDF、WPS等各種圖片文件，如JPEG、PNP、JPG等各種壓縮文件、加殼文件華為沙箱領先的未知文件檢測機制?VM安全文件惡意文件安全文件華為FireHunter6000系列

6、沙箱未知文件未知文件未知文件智能行為綜合分析Office PDF WEB PE EXE JS 靜態分析動態分析文件附加數據識別代碼片段分析變形代碼識別API調用異常分析-指令流監控識別文件操作識別注冊表操作識別服務調用-50+文件類型檢測，全面識別未知惡意軟件File InformationSHA-256 307960772bb54ae42d87e7ad8b1c600ded893fa5Verdict MalwareSession InformationSource 00:32854Destination 2:80Application web-browsingURL /newcos102.pd

7、fBehavior SequenceTimeType Behavior0:00:19Request /international/loadpdf.php0:00:21Process Creation AcroRd32.exe Created C:WINDOWSsystem32ntvdm.exe0:00:24File Create ntvdm.exe Created C:WINDOWSTempscs1.tmp0:00:26File Write ntvdm.exe Wrote To C:WINDOWSTempscs1.tmp0:00:33File Transfer ntvdm.exe Transf

8、er C:WINDOWSTempscs1.tmp關鍵技術：操作系統監控：文件操作、注冊表操作、服務、進程操作、內存、模塊加載、網絡操作多種抗逃逸躲避檢測技術：環境檢測、延時對抗、內部混淆、交互逃逸多層次化的防御體系，實現檢測性能和保護效果最佳平衡，在滿載場景依然秒級響應1信譽體系2輕量級沙箱3虛擬機執行WinE4綜合威脅分析PE 啟發式檢測WEB 啟發式檢測PDF啟發式檢測Linux啟發式檢測M4重縱深檢測，檢出率達99%以上靜態檢測（病毒/文件漏洞）華為ADE（Advance Detect Engine）高級威脅檢測引擎靜態機器學習動態機器學習第一步：NGFW 還原文件并發送給沙箱檢測第二步

9、：NGFW 查詢沙箱檢測結果并同步檢測信息同步信息包括：惡意標簽、文件MD5、URL 鏈接等第三步：NGFW根據同步信息生成策略第四步：NGFW 依據檢測結果及預置條件確定是否進行攔截如果配置為是：則根據MD5或者URL開啟攔截如果配置為否：則放行FireHunterNGFW秒級聯動響應，實時驅動防火墻快速攔截防火墻沙箱聯動流程文件下載文件下載請求Internet文件還原檢測結果基于指令集的第三代沙箱技術宏病毒腳本病毒系統漏洞威脅類型硬件漏洞應用漏洞華為FireHunter6000 第三代沙箱指令集監控內存分析信譽及規則庫檢測全API調用檢測深度學習動態行為檢測信譽及規則庫檢測基于VM內部的H

10、ook有限的API調用檢測基于CPU IPT指令流層級監控基于指令集的全API監控業界水平：VM內部的Hook監控看不到指令安全硬件：CPU、內存、硬盤Hypervisor層OSAPPOSAPPOSAPPOSAPPOSAPPMeltdown&Spectre情報和API層級函數級指令塊級無法避免逃逸指令流實時監控能檢出指令層攻擊細顆粒度監控：全部API調用防止沙箱躲避：惡意軟件無法探測虛擬化環境深度指令集監控：可檢測“熔斷”、“幽靈”等硬件級漏洞利用沙箱典型部署場景多防火墻惡意文件檢測結果共享FireHunter與多臺防火墻互聯，并使能聯動一臺沙箱發現威脅，多臺防火墻同時進行威脅阻斷，從而提升整

11、個網絡的安全性。減少安全投資，互聯網出口發現威脅，全局管控部門A部門B部門C數據中心服務器區FireHunter部門A部門B部門C數據中心服務器區FireHunter旁掛交換機獨立部署部門A部門B部門C數據中心服務器區FireHunter沙箱與單防火墻聯動部署FireHunter旁路部署在企業網絡匯聚處交換機，獨立接收交換機鏡像的網絡流量進行還原，提取其中的文件進行未知威脅檢測。網絡管理員通過查看FireHunter提供的威脅分析報告，制定相應的安全策略，從而進一步提升整個網絡的安全性。FireHunter與防火墻聯動，使網絡具備防御惡意文件和網站等未知威脅的能力，從而提升整個網絡的安全性。防

12、火墻與沙箱聯動，實現未知威脅在線阻斷防火墻可對加密流量進行檢測分支1分支3分支2核心部門 部門A部門B數據中心服務器區沙箱全場景部署方案互聯網邊界出口：重點防范來自互聯網的惡意郵件、惡意web流量等分支接入邊界：避免外聯接入區域惡意文件、未知威脅擴散，分支總部之間任意擴散數據中心邊界：重點保護服務器核心資產，發現內網潛伏的攻擊、惡意掃描，滲透等核心部門邊界：防范內網可疑文件傳播，橫向感染核心部門典型應用FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000FireHunter6000流量/ECA探針流量/EC

13、A探針流量/ECA探針流量/ECA探針流量/ECA探針E沙箱全場景部署方案5GPSTNVPDNSSL VPN網關管理區AIFW上網行為管理邊界AIFWInternet運維審計系統WAFFireHunter終端安全準入系統互聯網區IPSDDoS防御FireHunter接入用戶FireHunter核心交換區核心IPSFireHunter漏洞掃描安全事件管理中心服務器區IPS數據庫審計ATIC骨干節點AIFW檢測清洗EDR控制中心CIS大數據安全分析Web服務器郵件服務器應用服務器EEEEEDMZ區服務器區廣域網區接入用戶接入用戶EEEE接入用戶管理區互聯網接入區安全策略管理平臺網絡控制器核心AIF

14、WEAI防火墻大型分支機構流量探針 AIFWAIFW辦公網交換機核心AIFW流量探針FireHunterFireHunter流量探針FireHunterFireHunterFireHunterFireHunterFireHunterFireHunter123FireHunter產品介紹成功案例APT攻擊趨勢及挑戰目錄華為FireHunter助力北京大學校園出口安全 華為公司為北京大學設計部署了包括高端防火墻、IPS、DDoS、沙箱和大數據安全分析平臺在內的完善的出口安全防御方案。有效保障了校內用戶的安全。同時，北大與華為在威脅情報領域展開了深入的合作。3萬臺峰值接入終端380Gbps專業IPS入侵防御最大吞吐量1 Tbps周昌令計算中心網絡室高級工程師”“20部署首月即發現發