Check Point SandBlast Mobile 移動(dòng)安全研究員 賀飛翔
移動(dòng)端惡意軟件日新月異
在分享的開(kāi)始,賀飛翔給大家一個(gè)大局上的整體感官,他說(shuō):在過(guò)去的三個(gè)季度內,我們發(fā)現銀行木馬持續拓展它的疆域,惡意廣告持續盤(pán)踞著(zhù)病毒黑產(chǎn)的頭把交椅,僵尸網(wǎng)絡(luò )以及移動(dòng)平臺的DDoS攻擊嶄露了頭角,間諜軟件或者我們俗稱(chēng)的MRAT,它的技術(shù)更加趨于復雜,且形式更為低調。我們認為,移動(dòng)端發(fā)起的針對企業(yè)的攻擊已經(jīng)日趨成熟。還有不能忘記的就是漏洞,漏洞不曾離我們遠去。
賀飛翔向大家強調,社會(huì )工程學(xué)簡(jiǎn)稱(chēng)社工,它作為一種存在了很久的攻擊方式,目前來(lái)看,它對于移動(dòng)端的攻擊依然是行之有效。另外在黑產(chǎn)分工大潮之下所催生的一種叫做(Malware-as-a-Service, MaaS)病毒及服務(wù)服務(wù)。
賀飛翔舉例說(shuō),移動(dòng)端對于企業(yè)級別的攻擊逐年來(lái)形成了兩種主要的攻擊種類(lèi),第一是以手機為代理服務(wù)器proxy類(lèi)的竊取內網(wǎng)數據。第二類(lèi)是以手機為基礎網(wǎng)絡(luò )設備,比如把手機做成一個(gè)熱點(diǎn)來(lái)引導周?chē)脑O備進(jìn)行連接,然后以此為契機,將數據重新定向,并且導入到黑客控制的外部服務(wù)器。典型的案例有Check Point發(fā)現的DressCode以及友商發(fā)現的DressCode的變種MilkyDoor,還有Switcher。
惡意軟件日新月異,談及相關(guān)的技術(shù)更新,賀飛翔做了如下闡述:
首先,惡意軟件在對Google Play Bouncer掃描的突破上,越來(lái)越具有創(chuàng )造性。
其次,終端的惡意軟件與遠程控制服務(wù)器(C&C)通信方式多元化。
再次,惡意軟件正在“積極”擁抱加固服務(wù)。
最后,病毒的反反病毒機制,反模擬機制以及反探測機制得到了長(cháng)足的發(fā)展。
接下來(lái)賀飛翔向大家介紹了移動(dòng)惡意軟件威脅的幾點(diǎn)趨勢,其中包括:
- 谷歌Instant Apps將帶來(lái)新的安全挑戰
- 安卓牛軋糖、奧利奧將大幅遏制現有銀行木馬和勒索軟件
- 安卓惡意軟件和谷歌官方應用商店的貓鼠游戲繼續升級
- 礦工類(lèi)惡意軟件極可能成為下一個(gè)利益增長(cháng)點(diǎn)
- iOS高頻更新使得一鍵越獄類(lèi)工具難以重出江湖
- iOS并不是刀槍不入。基于瀏覽器的跨平臺攻擊、基于SoC系統底層的攻擊、以及基于第三方應用層漏洞的攻擊值得關(guān)注。
SandBlast Mobile 之守護
Check Point Infinity 是首個(gè)跨網(wǎng)絡(luò )、云端和移動(dòng)設備的統一安全平臺,提供無(wú)與倫比的威脅防護,可保護客戶(hù)免遭日益增加的網(wǎng)絡(luò )攻擊威脅。據介紹,SandBlast Mobile是Check Point Infinity的一個(gè)組成部分。SandBlast Mobile 提供集中式安全解決方案,可在保護員工隱私的同時(shí)防范漸進(jìn)式移動(dòng)網(wǎng)絡(luò )攻擊。經(jīng)過(guò)一些內部的整合以后,SandBlast Mobile現在已經(jīng)完全和ThreatCloud全球威脅情報云平臺無(wú)縫連接。這樣的話(huà),我們可以享受來(lái)自于ThreatCloud幾乎全球超過(guò)三十萬(wàn)個(gè)網(wǎng)關(guān)來(lái)進(jìn)行的實(shí)時(shí)數據交流。
在賀飛翔看來(lái),SandBlast Mobile最大最引以為豪的就是對于客戶(hù)端的要求之低。由于大部分的檢測都是從云端完成的,能夠第一時(shí)間把相關(guān)的最新的檢測科技讓所有人享受,而不是做客戶(hù)端的推送。
談及SandBlast Mobile的特性,賀飛翔做了如下介紹:
首先,它是一個(gè)跨IOS和安卓平臺的移動(dòng)安全套裝。我們的口號是全面的detection,最優(yōu)的威脅捕獲率,比較透明而且對用戶(hù)的隱私有極大的尊重。最后,我們還有非常簡(jiǎn)易的部署程序。
SandBlast Mobile除了在技術(shù)方面行業(yè)領(lǐng)先之外,也是比較人性化的一種部署,賀飛翔展開(kāi)道:
首先,老生常談,我們尊重用戶(hù)隱私,我們不會(huì )濫用我們的系統權限,我們不會(huì )濫用用戶(hù)的手機resource,比如電池、網(wǎng)絡(luò )之類(lèi)的。
整個(gè)系統構架主要是分作三部分,分別在手機端、云端和網(wǎng)頁(yè)管理端。對于終端用戶(hù)和對于system admin來(lái)說(shuō),威脅是不一樣的。那么我們的SandBlast Mobile就會(huì )有一個(gè)彈性,在移動(dòng)端是一種處置,在系統管理是另一種處置。
機器學(xué)習技術(shù)應用于網(wǎng)絡(luò )安全領(lǐng)域
機器學(xué)習在網(wǎng)絡(luò )安全中的應用主要集中在三個(gè)方面:威脅檢測、異常檢測,以及用戶(hù)行為分析。談及創(chuàng )新,賀飛翔表示 SandBlast Mobile拳頭產(chǎn)品是在云端,我們結合了靜態(tài)和動(dòng)態(tài)分析,從去年開(kāi)始,我們已經(jīng)陸陸續續的部署了將近幾十個(gè)機器學(xué)習的先知。所謂的先知,就是根據我們動(dòng)態(tài)、靜態(tài)分析,再根據其他一些渠道進(jìn)行一個(gè)深度的機器學(xué)習,然后再用機器學(xué)習的東西再反哺到我們的所謂的behavioral risk report里面。這也是我們站在科技前端的一個(gè)表現。
賀飛翔自信地說(shuō),SandBlast Mobile內部機器學(xué)習已經(jīng)非常成熟。
分享的最后,賀飛翔總結了三點(diǎn):
第一,我們覺(jué)得安卓整體安全有提高,但是新的威脅依然不斷的出現。
第二,我們認為人始終是系統完全不可分割的一部分。
第三,選用優(yōu)秀的安全保護,比如SandBlast Mobile。
據介紹, 900 多個(gè)企業(yè)用戶(hù)正使用 SandBlast Mobile 來(lái)防范移動(dòng)威脅。全新 SandBlast Mobile 代表著(zhù)業(yè)界唯一的統一性跨平臺解決方案,能夠保護企業(yè)免受針對移動(dòng)設備的漏洞攻擊。SandBlast Mobile 檢測和攔截已知與未知惡意軟件,并將中毒的 Wi-Fi 網(wǎng)絡(luò )、中間人攻擊以及 SMS 釣魚(yú)詐騙拒之門(mén)外。
聲明:CTI論壇(CTiforum)版權作品,未經(jīng)CTiforum書(shū)面授權,嚴禁轉載,違者將被追究法律責任。
