Check Point SandBlast Mobile 移动安全研究员 贺飞翔
移动端恶意软件日新月异
在分享的开始,贺飞翔给大家一个大局上的整体感官,他说:在过去的三个季度内,我们发现银行木马持续拓展它的疆域,恶意广告持续盘踞着病毒黑产的头把交椅,僵尸网络以及移动平台的DDoS攻击崭露了头角,间谍软件或者我们俗称的MRAT,它的技术更加趋于复杂,且形式更为低调。我们认为,移动端发起的针对企业的攻击已经日趋成熟。还有不能忘记的就是漏洞,漏洞不曾离我们远去。
贺飞翔向大家强调,社会工程学简称社工,它作为一种存在了很久的攻击方式,目前来看,它对于移动端的攻击依然是行之有效。另外在黑产分工大潮之下所催生的一种叫做(Malware-as-a-Service, MaaS)病毒及服务服务。
贺飞翔举例说,移动端对于企业级别的攻击逐年来形成了两种主要的攻击种类,第一是以手机为代理服务器proxy类的窃取内网数据。第二类是以手机为基础网络设备,比如把手机做成一个热点来引导周围的设备进行连接,然后以此为契机,将数据重新定向,并且导入到黑客控制的外部服务器。典型的案例有Check Point发现的DressCode以及友商发现的DressCode的变种MilkyDoor,还有Switcher。
恶意软件日新月异,谈及相关的技术更新,贺飞翔做了如下阐述:
首先,恶意软件在对Google Play Bouncer扫描的突破上,越来越具有创造性。
其次,终端的恶意软件与远程控制服务器(C&C)通信方式多元化。
再次,恶意软件正在“积极”拥抱加固服务。
最后,病毒的反反病毒机制,反模拟机制以及反探测机制得到了长足的发展。
接下来贺飞翔向大家介绍了移动恶意软件威胁的几点趋势,其中包括:
- 谷歌Instant Apps将带来新的安全挑战
- 安卓牛轧糖、奥利奥将大幅遏制现有银行木马和勒索软件
- 安卓恶意软件和谷歌官方应用商店的猫鼠游戏继续升级
- 矿工类恶意软件极可能成为下一个利益增长点
- iOS高频更新使得一键越狱类工具难以重出江湖
- iOS并不是刀枪不入。基于浏览器的跨平台攻击、基于SoC系统底层的攻击、以及基于第三方应用层漏洞的攻击值得关注。
SandBlast Mobile 之守护
Check Point Infinity 是首个跨网络、云端和移动设备的统一安全平台,提供无与伦比的威胁防护,可保护客户免遭日益增加的网络攻击威胁。据介绍,SandBlast Mobile是Check Point Infinity的一个组成部分。SandBlast Mobile 提供集中式安全解决方案,可在保护员工隐私的同时防范渐进式移动网络攻击。经过一些内部的整合以后,SandBlast Mobile现在已经完全和ThreatCloud全球威胁情报云平台无缝连接。这样的话,我们可以享受来自于ThreatCloud几乎全球超过三十万个网关来进行的实时数据交流。
在贺飞翔看来,SandBlast Mobile最大最引以为豪的就是对于客户端的要求之低。由于大部分的检测都是从云端完成的,能够第一时间把相关的最新的检测科技让所有人享受,而不是做客户端的推送。
谈及SandBlast Mobile的特性,贺飞翔做了如下介绍:
首先,它是一个跨IOS和安卓平台的移动安全套装。我们的口号是全面的detection,最优的威胁捕获率,比较透明而且对用户的隐私有极大的尊重。最后,我们还有非常简易的部署程序。
SandBlast Mobile除了在技术方面行业领先之外,也是比较人性化的一种部署,贺飞翔展开道:
首先,老生常谈,我们尊重用户隐私,我们不会滥用我们的系统权限,我们不会滥用用户的手机resource,比如电池、网络之类的。
整个系统构架主要是分作三部分,分别在手机端、云端和网页管理端。对于终端用户和对于system admin来说,威胁是不一样的。那么我们的SandBlast Mobile就会有一个弹性,在移动端是一种处置,在系统管理是另一种处置。
机器学习技术应用于网络安全领域
机器学习在网络安全中的应用主要集中在三个方面:威胁检测、异常检测,以及用户行为分析。谈及创新,贺飞翔表示 SandBlast Mobile拳头产品是在云端,我们结合了静态和动态分析,从去年开始,我们已经陆陆续续的部署了将近几十个机器学习的先知。所谓的先知,就是根据我们动态、静态分析,再根据其他一些渠道进行一个深度的机器学习,然后再用机器学习的东西再反哺到我们的所谓的behavioral risk report里面。这也是我们站在科技前端的一个表现。
贺飞翔自信地说,SandBlast Mobile内部机器学习已经非常成熟。
分享的最后,贺飞翔总结了三点:
第一,我们觉得安卓整体安全有提高,但是新的威胁依然不断的出现。
第二,我们认为人始终是系统完全不可分割的一部分。
第三,选用优秀的安全保护,比如SandBlast Mobile。
据介绍, 900 多个企业用户正使用 SandBlast Mobile 来防范移动威胁。全新 SandBlast Mobile 代表着业界唯一的统一性跨平台解决方案,能够保护企业免受针对移动设备的漏洞攻击。SandBlast Mobile 检测和拦截已知与未知恶意软件,并将中毒的 Wi-Fi 网络、中间人攻击以及 SMS 钓鱼诈骗拒之门外。
声明:CTI论坛(CTiforum)版权作品,未经CTiforum书面授权,严禁转载,违者将被追究法律责任。
