目前安全厂家及安全公司都有病毒样本分析及恶意程序分析的研究的必要性,大家都采用的大同小异的方式。
各位安全研究员先生无关乎用了以下几种方式,我讲的几种方式中还有几种至少博主所在的公司人不了解还没有在用,言归正传,为了下文的正式展开我先列举当前研究的几种方式:
一、利用杀软的隔离区
缺点:如果内容太多,大约有50个G,用虚拟磁盘不太现实,用杀软的隔离区更不行。
我想补充如下几点问题:
1.如用虚拟机,我会选择在虚拟机中装linux系统,再把病毒放进去。那么文件太多,整理、传输太慢,调用也不方便(如果不装虚拟机就不能用了)。
2.用杀软的隔离区,我总不能建100G的隔离区吧,而且就没法整理了。
二、更改主文件的文件格式
加密压缩文件+文件夹加密+(另一种软件)文件夹加密+分区加密+给系统和用户设权限(禁止访问分区)+写硬盘写保护
缺点: 这种操作方式比较复杂,对人的要求比较高,不要奢望每个人都有这些基础技能,反而带来了操作不便利性。
看来从端的问题解决这个问题是有点麻烦,那么我们再看看大家想到网落的问题如何解决此类问题
一、建立独立的vpc去做病毒样本分析、只与互联网通信,与内网用安全策略做逻辑隔离。
缺点: 1、调试样本如何上传到分析机上
2、调试操作受地理区域影响,远程操作又依赖于网络质量,还不能影响样本分析的效率。
3、多办公区集中在vpc下去做样本分析,安全研究员是否抵触这种远程样本分析的工作方式
4、无摆渡设备的前提下,样本下载,样本报告都需要走云盘,对数据的保密性有挑战。
二、建立B网,样本分析人员采取双机双卡,独立的互联网出口。样本分析本地化完成,不蔓延内网,A、B网属于物理隔离。
缺点:
1、需要成本投入,且安全研究人员如果分散多地的前提下,则需要建立多个B网成本实在不可控,这种问题可替代解决方案:在核心办公区内建立大B网,在B网内发布ssl 远程接入点,而安全研究员员,通过双机工作方式,样本分析机远程接入到B网内完成样本分析操作。A网工作机负责日常办公,B网ssl 识别样本分析机的硬件特征,防止多机混用。
2、需要申请独立的组网设备,该设备运维和当前网不在一体,运维成本增加。
3、还是公司要花钱,花钱太难了。
三、 用4G路由组建病毒样本测试专网,安全研究在isp的4G网下完成
缺点:1、不能满足业务发展的拓展长线目标,网络质量差,用户体验未必
能满足使用需求。
2、增加了一部分资产脱管状态。对于公司整体资产管理带来了不便利性。运维是交业务线运维,还是交运维部门管,权责不分,这部分的所有操作行为脱离安全监控,属于风险点。
3、第三点,是我听了至今为止做安全这么多年,最可笑的理由。“这种敏感类型的操作,尽量在和公司无关的网下进行”,当责奋斗,不只是对自己所做的工作负责任,而是对社会负责,对使用的个体负责,否则网络更安全,世界更美好都是徒有虚名,和老板思想背道而驰。安全人,都没有了责任,那网络还会安全吗?
那好吧,上述洋洋洒洒讲了一些,普遍防御方式,下述本人描述对于样本分析网组建的看法,还望各位大佬多多指教。1、在实体网络下完成样本分析网的组建,那就是建立A、B网。
肯定会遇到A B网互通的需求,那如何处理好A B网的通信,而不是像某安全公司用防火墙处理A B网的隔离呢?
大家先看看,现有A B网通信的方式
这种方式虽然满足了网络隔离,但是人工操作风险高,对病毒和内容过滤方面真的不是很好。
其实对于横向的,博主还是建议使用网闸,网闸工作原理我就不用啰嗦了,无非就是文件摆渡通信的问题。隔离设备存在“正向隔离”“反向隔离”,我们担心的向A网漫游的问题,可以加以控制。
若实在没有能力建立B网,可以将用于样本分析的主机,集中依托物理设备的上联口与当前A网,通过正反向隔离的方式,网闸做摆渡,提高整体安全性。
二、建立专用的样本分析vpc
vpc是采用使用隧道技术达到与传统VLAN想通隔离效果广播域隔离在实力网卡级别
我们建立独立的vpc的目标性:既能上网又能和公司内网隔离
微软的vpc详情见链接http://winsvr.org/info/info.php?sessid=&infoid=25&page=6
使用vpc技术做样本分析,其核心是在不同的vpc实现二层逻辑隔离。
原文地址:http://blog.51cto.com/13769225/2134497