freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

端点安全杂谈(十六)PC沙箱(中)
2023-01-17 16:15:48
所属地 北京

写在前面

继续上一篇接着白活,再说说相关产品,还有指南内容。

相关产品

先说两个国外的,找半天没有和主题沙箱匹配的sandboxie和Windows沙箱上一篇已经说了,这两个就是列下。

VirusTotal

VirusTotal,是一个提供免费的可疑文件分析服务的网站。2004年6月由创始人Hispasec Sistemas创立。VirusTotal有一款名为VirusTotal Uploader 的外壳扩展,可以帮助方便的上传文件。使用 VirusTotal不用安装额外的软件,一切都可以操作都是在上网浏览器中完成,所以,VirusTotal的缺点是只能扫描提交的文件,无法对计算机进行全面的检查,并且该网站只支持单个文件的容量在30MB以下的文件上传查毒。此外,VirusTotal每15分钟更新一次病毒资料库,可以实时提供最新的反病毒引擎以检测出大部分可能的威胁。VirusTotal会完全扫描你的移动设备上安装的所有程序。如果这款应用程序已经被VirusTotal扫描过或者被一个以上的病毒软件厂商检测过,其结果就会显示一个红色的机器人图标、如果没有被检测过就会显示绿色、如果是VirusTotal未知的软件则会显示蓝色的机器人图标。VirusTotal已经支持超过40个恶意程序检测引擎的支持,结果更加全面。截止目前,VirusTotal的沙箱合作伙伴,全球仅有七家。

Crowdstrike

CrowdStrike®Falcon®Sandbox™通过在内核中运行和使用复杂的沙盒技术,使其几乎无法被检测到,从而击败甚至是最狡猾的恶意软件。它揭露了最先进的有针对性的攻击,超越了常见的静态和动态分析,监控所有恶意行为和系统交互。这使得Falcon Sandbox能够提供业内最广泛的一套妥协指标(ioc)。

CrowdStrike恶意软件分析报告为威胁排序和响应提供了实用的指导,同时还使取证团队能够深入研究内存捕获和堆栈跟踪。Falcon Sandbox API和预构建的集成使得现有安全解决方案之间的编排变得容易。

混合分析:这结合了运行时数据、静态分析和内存转储分析,以提取所有可能的执行路径,即使是最狡猾的恶意软件。结合广泛的执行前和执行后分析,Falcon Sandbox比其他任何沙箱解决方案都能提取更多的IOC。从混合分析引擎中提取的所有数据都被自动处理并集成到Falcon Sandbox报告中。

反规避技术:猎鹰沙盒包括最先进的反沙盒检测技术。文件监视运行在内核中,用户模式应用程序无法观察到。CrowdStrike并没有使用可以被恶意软件轻易识别的代理,而是在每次发布时都持续测试,以确保即使使用最复杂的沙盒检测技术,猎鹰沙盒也几乎不会被恶意软件检测到。

环境定制:通过配置常见的设置来控制恶意软件如何引爆,恶意软件使用这些设置试图隐藏沙盒分析,如日期/时间,环境变量,用户行为等。

分析报告:易于理解的报告使每个级别的分析师在他们的角色中更加有效。该分析是分层的,为安全团队提供了威胁优先级和响应的实用指导,使事件响应团队能够进行威胁搜索,取证团队能够深入分析内存捕获和堆栈跟踪。

广泛的文件支持:Falcon Sandbox支持Windows、Mac、Linux和Android(仅静态分析)操作系统。此外,Falcon Sandbox分析了超过40种不同类型的文件,包括各种各样的可执行文件、文档和图像格式,以及脚本和档案。

恶意软件搜索:猎鹰沙盒将自动搜索行业最大的恶意软件搜索引擎,以找到相关样本,并在几秒钟内扩展分析,包括所有的。这种独特的能力为分析人员提供了对攻击的更深层次的理解,并为更好地保护组织提供了更多的IOC。

立即分类:猎鹰沙盒提供威胁评分和事件响应摘要,立即分类和根除恶意软件。CrowdStrike Falcon MalQuery™和CrowdStrike Falcon X Intelligence™的分析报告丰富了信息和ioc,为更快、更好的决策提供了必要的上下文。

易于集成:它包括一个易于使用的REST API,预构建的集成和对指标共享格式的支持,包括STIX、OpenIOC、MAEC、MISP和JSON。这使用户能够通过SIEMs、TIPs和编排系统交付Falcon Sandbox结果。

立即实现价值:云交付的Falcon Sandbox消除了基础设施、部署和维护成本,使您能够从第一天就开始。

深信服零信任UEM

还是选深信服作为代表说下,其他厂商产品就不一一描述了。深信服在这块是走的很靠前,做零信任顺便做了产品还带动一波政策,人家都咋想的比不了。。。。

零信任工作空间是aTrust产品中的一个增值模块,为Windows、Mac、统信UOS、麒麟、iOS、android、鸿蒙系统平台提供安全沙箱能力,兼容性这块稳拿把掐,我估计招投标时肯定会用上。深信服是把移动端和PC端的沙箱都做到一个管理界面里看着还是很全面的不知道实际操作使用起来咋样。

1.工作原理

在终端上创建一个与个人环境完全逻辑隔离的安全工作空间,在工作空间中运行的软件(应用)具备SSL通信加密、落地文件加密、内外网络访问隔离、剪切板控制、外设管控、程序管控、文件外发管控、屏幕水印等数据保护功能。

零信任沙箱是aTrust产品客户端的一个组件,无独立客户端,根据aTrust控制中心策略可针对用户按需开启。

1673941960_63c653c85caecee196f41.png!small?1673941961088

2.适配平台

用于关联终端操作系统平台,如:当Windows平台被选后,当本空间的适用用户在Windows平台登录aTrust时,会被提示安装工作空间且必须在本工作空间才可以访问本空间关联的应用分类中的隧道资源。

适配平台包括:Windows7、Windows10、统信UOS、麒麟Kylin。

3.适用应用分类

一个工作空间可以关联多个应用分类,一个应用分类仅能被一个工作空间关联。

B/S架构的网站类应用,且在应用中配置了应用访问入口时,用户可在工作台面板可直接点击该应用的图标,接下来工作台会在该应用所属分类所关联的工作空间中拉起指定的浏览器并打开此应用(如果终端无此浏览器则拉起默认浏览器打开)。

MacOS、统信UOS和麒麟系统仅支持此内置工作空间,因此“适用应用分类”仅对windows有效,在MacOS、统信UOS/麒麟环境下,对应的适用应用分类是所有分类。

4.发布策略

Windows


无痕模式

开启无痕模式后,用户每次退出时都会清除工作空间在使用期间新增的文件。

文件导入导出控制

通过此项可以控制是否允许用户从工作空间导出文件到个人空间,或从个人空间导入文件到工作空间,并可以对相关操作进行审计。如需对导入导出操作进行审计,需要 aTrust 对接零信任数据中心,如设备和零信任数据中心通讯异常且策略中开启了审计策略时,会导致在该工作空间无法进行导入导出文件的操作。

剪切板拷贝控制

通过此项可以控制是否允许用户将数据从工作空间拷出至个人空间或从个人空间拷入到工作空间,并支持拷入拷出富文本(图片或带格式的文字),支持对拷入拷出操作进行审计。如需对拷出操作进行审计,需要 aTrust 对接零信任数据中心,如设备和零信任数据中心通讯异常且策略中开启了审计策略时,会导致在该工作空间无法进行拷出操作。注意:只支持审计纯文本拷出,且最大 4096 个字符,需要勾选“仅允许拷出纯文本,且单次最多拷出_个字符”,并设置字符数限制时方可进行拷出审计。

打印权限限制

可以允许/禁止用户在工作空间打印。

窗口保护

禁止截屏:开启后不允许个人空间程序对工作空间程序进行截屏/录屏(不支持win7)。禁止截屏白名单适用场景:1.部分程序在开启禁止截屏后会运行异常,此需要对应用加白(即该应用界面可被截屏),设备默认添加了 iexplore.exe 和 vmware-view.exe 这两个程序;2.部分应用需要分享屏幕如线上会议的屏幕共享功能。启用窗口水印:开启后,在工作空间运行的程序界面会显示水印,水印显示内容可以在<水印内容配置>处设置。

ADB 调试控制

默认禁止,开启后可以允许用户在工作空间运行ADB工具对安卓进行调试。

MacOS

剪切板拷贝

默认禁止在工作空间拷入拷出文字/文件,可在此处开启后允许拷贝。暂不支持拷贝审计。

窗口保护

禁止截屏:开启后不允许个人空间程序对工作空间程序进行截屏/录屏。启用窗口水印:开启后,在工作空间运行的程序界面会显示水印,水印显示内容可以在<水印内容配置>处设置。

统信 UOS/麒麟Kylin

剪切板拷贝控制

默认禁止在工作空间拷入拷出纯文本/富文本,可以在此处设置允许拷贝。

打印权限控制

勾选“允许打印”后,将允许打印,但是访问该打印机的途径必须是经隧道访问。如勾选“允许使用局域网打印机”,则可以访问不通过隧道即可访问的同局域网的打印机。

光盘权限控制

默认禁止在工作空间读取、刻录光盘,勾选“允许读取、刻录光盘”后即可在工作空间执行相关操作。

窗口保护

启用窗口安全标记:启用后,工作空间内打开的程序窗口右下角将常驻此处设置的文案内容。启用窗口水印:开启后,在工作空间运行的程序界面会显示水印,水印显示内容可以在<水印内容配置>处设置。

5.网络访问控制

功能原理

工作空间与个人空间的网络进行了隔离,会在网络驱动添加一个过滤层,所有应用软件的网络请求最终都会经过网络隔离模块再到网卡转发,流程如下:

1、拦截应用程序的网络请求。

2、获取发起请求的进程信息和目的地址端口。

3、将进程所在空间、请求的目的地址端口信息与网络隔离策略匹配,判断是否允许该网络请求。

4、匹配结果为禁止,则返回拒绝访问。

5、匹配结果为允许,如目的地址是隧道资源则将请求转发到零信任网关。目的地址不是隧道资源则将请求转发到本地网卡路由,走本地网卡访问。

以上流程均在驱动中完成,沙箱运行时工作,沙箱退出即停止。

网络访客控制规则(仅Windows有效)

1、单个工作空间的网络访问控制策略仅在本工作空间内生效。

2、访问控制策略仅对隧道应用生效,对web应用无影响。

3、策略可精确到用户、进程级别。

4、工作空间内默认禁止用户访问任意IP,但内置的一条策略允许用户访问本工作空间关联的隧道应用(注意:同时此应用必须已授权给用户),内置的策略不可以删除但可以禁用,禁用后用户在空间将无法访问空间关联的应用。

5、自定义的网络访问控制策略仅支持Windows。MacOS和统信UOS/麒麟Kylin系统下用户的隧道应用仅允许在工作空间中访问。

6、支持配置多条策略,但是需要根据优先级来匹配,即策略是从上到下匹配的,优先级编号越小越优先。

6.程序运行限制(仅Windows有效)

默认情况下,工作空间允许任意程序运行,当开启程序运行限制功能后,则将禁止所有程序运行(该限制对Windows的常用自带程序无效),此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后,对应程序才可以在该工作空间中运行。

程序仓库

程序仓库是为工作空间的“程序运行限制”这一功能服务的,在工作空间开启程序运行限制后,默认禁止任何进程运行(该限制对Windows的常用自带程序无效),此时需要在程序运行限制的功能配置界面手动添加允许运行的程序后,对应程序才可以在该工作空间中运行。而添加可运行的程序是需要从程序运行仓库中引用的,为了方便管理员配置,设备内置了部分常见应用如谷歌浏览器、wps等。如果程序不在内置程序名单中时,需管理员手动在程序仓库中添加后,才可以在程序运行限制的配置界面引用该程序。

技术指南

PC沙箱和这指南相关,所以单独说一说。根据GW0015-2021《政务外网终端一机两用安全管控技术指南》,对于有使用政务外网的中央、省、市各级使用政务外网终端的政务、央企、军工等单位都有相应的产品需求,要求各级单位网按照终端安全管控的一般技术要求,分别在广域网、城域网、局域网采取不同的安全管控技术措施建设外网终端一机两用网络准入控制平台。

安全管理框架

政务外网建设运维管理单位和政务部门应按照“全盘统筹、多级部署、分层管控、属地管理”的原则,根据业务部署场景构建相应的政务外网终端“一机两用”安全管控体系。安全管控体系建设可按照两种管理框架进行:统一管控模式和自行管控模式。

1673943099_63c6583b8f62eee0164f8.png!small?1673943100038

对于政务外网业务集中部署在本层级政务云的场景,采用统一管控模式构建政务外网终端“一机两用”安全管理框架,包括如下内容:

a) 政务外网建设运维管理单位应在城域网边界实施统一准入、安全隔离及应用支撑,在广域网边界实施终端安全检测;

b) 政务部门应自行负责终端安全防护。

对于政务外网业务分散部署在政务部门局域网内的场景,采用自行管控模式构建政务外网终端“一机两用”安全管理框架,包括如下内容:

a) 政务部门应自行负责终端安全防护,包括终端准入控制、终端安全隔离和终端安全防护;

b) 政务外网建设运维管理单位应在城域网边界实施终端检测、应用支撑和安全集中监控,在广域网边界实施终端安全检测;

c) 各级政务部门应将终端管控相关管理数据同步给所在层级的政务外网建设运维管理单位。

安全技术框架

中央、省、市各级政务外网按照终端安全管控的一般技术要求,分别在广域网、城域网、局域网采取不同的安全管控技术措施,形成整体技术框架如下图所示:

1673943112_63c658480df0271e44ce6.png!small?1673943112544

总体技术框架包括如下内容。

a) 广域网边界安全控制:中央、省级、市级各级政务外网建设运维管理单位应在广域网边界构建安全检测设施,对政务外网终端访问流量进行安全检测,重点实现对异常或恶意行为进行告警,重大应急情况下可实施阻断。

b) 城域网边界安全控制:中央、省级、市级各级政务外网建设运维管理单位应在流量安全检测的基础上,根据业务是否集中部署构建相应的终端控制设施。

(1) 统一管控模式:对于业务集中场景,各级政务外网建设运维管理单位应在城域网边界构建统一终端控制设施,对本级政务外网终端实施终端接入认证、终端安全隔离、访问控制和整体监控。可对问题终端实施封堵,具备终端会话层精准阻断能力,并具备面向跨层级业终端提供统一准入支撑服务的能力。

(2) 自行管控模式:对于业务非集中场景,各级政务部门应自行负责终端安全防护设施建设,政务外网建设运维管理单位应负责提供应用支撑服务及安全集中监控。

c) 局域网终端安全控制:根据业务是否集中部署构建相应的终端控制设施。

(1) 统一管控模式:对于业务集中部署场景,各级政务部门主要负责终端安全防护建设,包括恶意代码防范、终端入侵防护、非法外联控制、终端精准阻断等。

(2) 自行管控模式:对于业务非集中部署场景,各级政务部门应自行负责终端安全防护设施建设,具备终端准入控制、终端安全隔离和终端安全防护能力。其中准入控制包括身份认证、终端安全检查、资源访问控制。终端安全隔离包括网络隔离、会话隔离、数据隔离。

技术要求

局域网终端安全管控技术要求

终端接入政务外网之前,用户终端应通过身份认证,非授权的用户终端不允许接入政务外网,应当满足以下要求:

a) 接入政务外网的用户终端应具备唯一标识,唯一标识的信息应至少包括使用者信息和终端设备信息,并实现用户与终端实名绑定,以便后续审计溯源;

b) 应采用口令认证、密码技术、生物技术或 MAC 认证等鉴别技术对用户进行认证;

c) 登录用户的身份鉴别信息应具有复杂度要求并定期更换。

终端接入政务外网之前,应通过安全接入检查,不符合要求的终端不允许接入政务外网,应检查以下内容:

a) 应检查终端是否安装运行了防病毒软件;

b) 应检查终端是否存在弱口令账户;

c) 应检查终端是否运行了恶意进程或软件;

d) 应检查终端是否存在未修复的高危漏洞。

终端接入通过身份认证和安全检查后,应采用密码技术保证通信传输安全,应当满足以下要求:

a) 应采用密码技术保证数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等;

b) 应当支持国密算法,并满足国家密码应用的标准要求。

终端接入政务外网后,应实现应用访问控制,应当满足以下要求:

a) 终端接入政务外网时,应实现基于角色的应用访问控制,并实现最小授权;

b) 应对终端环境进行持续检测和评估,根据评估情况动态调整其应用访问权限。

政务外网终端存在访问多个网络的情况下,应当满足以下要求:

a) 应支持网络隔离,确保终端获得准入授权后通过安全隧道访问政务外网,不能同时访问互联网或与互联网连通的其他网络;

b) 应支持会话隔离,确保每个终端访问政务外网时采用唯一会话,可通过添加有效期内唯一的会话状态信息来实现;

c) 应采用沙箱技术,确保终端访问政务外网敏感应用系统下载的数据只能落入沙箱加密隔离存放,且数据使用和外发行为受控,防止终端数据泄露,且沙箱所使用密码技术应满足国家密码应用的标准要求。

各级政务外网建设运维管理单位和政务部门应当按以下要求实现终端数据统计分析和终端数据同步。

a) 各级政务外网建设运维管理单位应对本级政务部门接入政务外网终端数据统计分析,且以可视化方式呈现终端安全运行相关态势,至少应分析展示以下内容:终端总数、操作系统情况、客户端安装数、终端安全情况等信息;

b) 下级政务外网建设运维管理单位应向上级政务外网建设运维管理单位同步相关数据,至少应同步终端总数、操作系统情况、客户端安装数、终端安全事件等信息;

c) 自行管控建设模式,政务部门应向本级政务外网运维管理单位至少同步终端总数、操作系统情况、客户端安装数、终端安全事件等信息。

# 终端安全 # 沙箱 # 安全杂谈 # 端点安全
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录