目前為止�����,在iOS終端上,除非用戶卸載被感染應用或等待其升級�����,普通用戶沒有任何其他手段來徹底解決此安全威脅��。
最后的安全屋
真的無能為力嗎?不����,一個堅固、安全�、可管理的網絡是我們“裸奔”設備最后的“safe house”。失陷的終端�,交給網絡來保護�����。
我們可以看到�,在XcodeGhost的攻擊鏈條中,“搭建C&C服務器與XcodeGhost建立連接”是整個攻擊的有效工作的基礎����。如果我們的網絡安全體系,能夠足夠準確地識別這一行為并及時報警�����、阻斷,XcodeGhost的攻擊行為將在網絡中徹底失效��。
許多政府��、企業(yè)���、教育機構已經利用基于網絡層五元組的傳統(tǒng)網絡安全產品迅速封堵了目前已知的XcodeGhost 服務器的IP地址�。然而�,面對DNS劫持、層出不窮的XcodeGhost 服務器����,傳統(tǒng)的網絡層安全產品也許會出現反應緩慢、效果不佳的問題���。
網康作為已經為超過20000家企業(yè)打造安全可管理網絡的應用層安全提供商���,已經在第一時間為失陷終端構造了一個“安全屋”。通過上網行為管理等一系列安全管理產品的加固�,我們對網絡中XcodeGhost流量進行了有效識別和阻斷,斬斷XcodeGhost的攻擊鏈條的第一環(huán)。
如何通過上網行為管理打造安全可管理的網絡?
面對XcodeGhost�,我們利用網康獨特的XAI(extensive application inspection)包識別技術,對XcodeGhost進行了大樣本的流量分析��,并成功將應用層特征提取出來�。分析結果顯示,XcodeGhost與兩個服務器地址的連接建立在HTTP POST報文中�����,并與被感染APP有明顯的特征區(qū)別����。因此,網康迅速將XcodeGhost的特征剝離出來�����,發(fā)布了最新的協(xié)議升級更新���,并應用于旗下上網行為管理(ICG)等產品中:
網康上網行為管理是一款網絡行為風險管理的產品,部署在企業(yè)互聯網出口���,能夠審計與管理內網用戶的互聯網行為��,如網址訪問���、論壇發(fā)帖���、郵件收發(fā)、文件上傳下載等�����,為企業(yè)避免安全風險�、違法違規(guī)、數據泄露等問題����。
在XcodeGhost攻擊過程中,網康ICG能夠在互聯網出口有效發(fā)現發(fā)現XcodeGhost與C&C服務器建立通信的流量并及時進行阻斷隔離����。在隔離過程中,網康ICG具有以下特色:
1.精確切割:實現被感染APP與XcodeGhost特征分離���,對XcodeGhost流量隔離并不影響被感染APP的正常使用���。
2.靈活配置:能夠對隔離策略的生效時間���、操作系統(tǒng)、IP范圍等進行細粒度定義��,確保不會讓無關流量影響設備性能;
3.及時響應:網康所有安全管理類產品都具有以周為周期的特征協(xié)議庫更新機制��,如果XcodeGhost出現變種或者類似XcodeGhost的木馬出現��,網康會將最新的協(xié)議庫及時推送至設備端��,及時響應新威脅�����。
除此之外����,網康上網行為管理獨特的用戶視角能夠準確定位已經被感染的用戶終端。防護的同時����,對感染終端的用戶進行提醒,為走出安全屋的用戶提供防護建議�����。
在BYOD�����、WiFi網絡迅速被企業(yè)接受的同時���,企業(yè)網絡安全也越來越多地站在了移動終端安全戰(zhàn)場的第一線��,移動終端安全已經成為企業(yè)網絡安全的一個重要陣地����。我們打造安全的網絡���,是為了保護我們的數據資產不丟失�����、保護我們的業(yè)務流不中斷����、保護我們的服務不停擺���,同樣也是為了保護員工的終端不會暴露在威脅之下���,不會受到黑客的脅迫����,不會成為威脅進入企業(yè)的了綠色通道����。
失陷的終端,交給網康來保護�����。
