扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
APT攻击与防护,没有想象的那么简单,这是一场漫长的对决,关乎未来,以及未来的未来。
去年乌克兰电网被网络攻击致大范围断电的事件影响还未消退,土耳其5000万条公民数据和43G叙利亚政府数据的曝光再次让网络安全成为世界关注的焦点。这一系列的网络攻击事件被业内归纳为APT事件,到底什么是APT呢?
看不见的战场 看不见的战争
APT(Advanced Persistent Threat) 高持续性威胁,这个专业名词的源于10年Google退华事件中“极光攻击”这一安全事件,各国安全专家对这类攻击持续热议后总结而得。名词看着很新鲜,专业解释是指专门针对特定组织所实施的空前复杂且多方位的高级渗透攻击,也有很多人喜欢用我们中国的老话“不怕贼偷就怕贼惦记”来解释APT,但千万注意别把APT这个贼局限在网络攻击。
在“海陆空天网电”几个空间维度中,隶属于“网”的网络空间是唯一一个人为制造的空间维度,被学术界称为赛博空间(Cyberspace)。在这个无法分清国界的特殊空间中,不同程度安全对抗也正在不断激化。可以看到有来自脚本小子、黑客、有组织网络犯罪的低烈度对抗,也可以看到来自黑产、恐怖组织、国家支持的间谍组织发起的中等烈度对抗,甚至是网络部队这种高烈度对抗。
在中、高烈度安全对抗的核心就是APT攻与防,其对我国基础设施的信息安全冲击非常大,后果非常严重,所以习总书记在国策中强调:“没有网络安全就没有国家安全”。可以非常清楚的认识到,恐怖组织、间谍甚至网络部队在网络空间中发起的攻防对抗,实质上就是一场发生在网络空间的战争、一场可以有硝烟的战争,很多被曝光的安全事件只是这场战争的一个局部。
“特种木马”与“特种兵”
随着各方因素的相互影响演化出了另一个趋势发展方向,在11年RSA发起的SBIC发布了一份报告--《When Advanced Persistent Threats Go Mainstream》,其中明确指出APT攻击已经成为主流的、常见的网络攻击方法,各类企业都应该对APT予以重视。这个趋势也就解释了近两年来,我们为什么可以频繁的听到和看到各种层次的各类APT安全事件。根据这些曝光的事件,APT攻击常见危害可以归纳为以下四类:
很多经典的APT攻击事件的攻击流程都可以分为三个核心阶段,一阶段采用0Day漏洞技术植入恶意样本,二阶段是通过恶意代码进行远程监控,三阶段也是利用恶意代码对内网进行渗透攻击或破坏。这里说的恶意代码与传统定义的蠕虫、病毒、木马等恶意代码是有本质区别的,这些恶意代码都是特别定制的武器级恶意代码,携带着不止一个nDay已知漏洞利用甚至0Day未知漏洞。2010年伊朗核设施遭震网病毒攻击至瘫后,我们把这类恶意代码定义为特种木马。特种木马机动灵活且具有极强的战斗力,在风格上酷似真正战场上的特种兵。
从发展趋势来看,特种木马只用了短短10余年的时间就从“冷兵器”进入到了“热武器”。很多国家资助的特种木马都做在硬件上,13年底德国媒体曝光的NSA在08年就可以在路由器和防火墙、USB延长线、主板BIOS芯片和硬盘芯片等硬件中驻留恶意代码。近年,甚至开始走向利用0Day漏洞的“无源种植”和无数据落地的“纯内存攻击”。也就是做到了只要打开电脑后特种木马就跟着进来了,关了电脑后特种木马就暂时藏到外面去了,一旦想把电脑关机封存送去做专业检测,则什么都检测不出来,因为根本就不在这电脑上存放任何东西。
APT攻击不单只是特种木马技术,还包含了各种不同方位的复杂攻击技术,从目前曝光的很多APT攻击事件来看,我们相信在未来特种木马与传统情报结合得越来越紧密,非常有意思的是这一趋势在2013年美国好莱坞大片《虎胆威龙5》里面被预言了。而更有意思的是这个系列电影之前预言的东西都非常准,第二部描述的劫持飞机后出现了911事件、第三部出现炸弹狂魔后恐怖组织开启汽车炸弹模式、第四部描述的黑客“末世攻击计划”后各种影响现实的网络攻击事件被发现。
APT防御技术的进阶
从黑白名单、杀伤链、沙盒、失陷检测到“威胁情报”
那么为什么防不住APT攻击者呢?因为APT攻击中采用的各种关键技术相配合后能够直接有效的绕过我们常用的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件。从这些具体的技术对抗我们不难发现我们传统防护体系在面对APT攻击时的四个弱点:
1、对未知攻击的检测能力严重不足;
2、对流量的深度分析能力不足;
3、对终端的强效监管能力不足;
4、对整体安全态势的管控手段不足。
如何从这四个方向出发来加强自身APT防护能力,不同的安全公司给出了自己的安全解决方案,例如Bit9公司基于黑白名单策略做的终端防护也确实能够有效阻止部分APT攻击者。很多新兴的APT防御安全厂商则在网络层面开始响应,出现“Kill Chain”杀伤链这个APT防御流派,及针对APT攻击中的三项关键技术0Day漏洞、特种木马、内网渗透攻击及其配套攻击技术进行截断式防护,从而切断APT攻击生命链,实现整体防护。以这个防御思路为核心,基于虚拟化技术的沙盒检测技术火遍了我国的大江南北。目前国内大大小小的安全厂商均有相应的安全产品,但实际效果如何?你懂的!只有那么一两家而已。
这个防御思路的弊端很快就被发现,即便切断了APT攻击链,那之前就被攻击的系统、服务或终端怎么办?于是,一堆安全厂商开始热炒“Fall Detection” 失陷检测,基于大数据技术尝试从流量、日志等数据中分析挖掘曾经被攻陷的主机,这类产品对数据分析模型的要求非常高。有了事后的失陷检测、事中的沙盒检测,那在APT攻击事件发生的事前能不能再做点什么呢?“Threat intelligence”威胁情报应运而生,这个名词成为今年RSA大会重要热点之一。
FireEye的成功与它的体系
再来看看国外当前APT主流防御思路,首先需要知道是美国关键基础设施信息安全防护体系框架,其指出一个信息系统必须具备五大能力,对资产和风险的识别能力、基础的保护能力、威胁的检测能力、事件的响应能力以及对破坏的恢复能力。在这一思想体系指导下,整体防护方案做得最成功的、效果也是最好的是美国FireEye公司。据统计全美90%以上的500强企业都在使用该公司的产品,从其技术白皮书中举例的数据来看也确实效果非常显著,60天也就是2个月分析6个互联网出口,共发现172个恶意对象和126个浏览器攻击利用、64个攻击利用和103次C&C回连,而且发现的这些攻击都是绕开了传统防护的攻击。该公司市值最高时曾达132亿美金,其产品和服务号称是禁止在中国商业应用的。
FireEye到底为什么能这么强大?它最基础的核心技术就是行为模型分析,通过部署Web防护、文件防护、邮件防护和集中管控平台,抓取Web、邮件、文件三种对象数据放到虚拟化环境动态执行,通过执行效果来进行行为判断。这就好比把一个未知生物体注射到小白鼠体内进行培育和观察,然后通过小白鼠的身体反应来判断是否是细菌。这里虚拟化环境就是用于观察可疑对象的小白鼠。然后通过近几年的发展,特别是收购了几家安全公司之后,FireEye已经成功布局了APT防护产品、威胁情报、服务与支持三大体系。其中前面两大体系是通过在终端、网络、云端部署系列化的安全产品来支撑的。而安全服务这块则是人为基础,提供FireEye-as-a-Service这样一种服务,能够7x24小时在云端为部署了FireEye产品的用户不间断挖掘潜在的安全威胁,与攻击者实时的、近距离的进行快速的安全对抗。
攻防对抗的本质是“人与人的对抗”
“这种发展趋势与我们东巽科技针对APT攻击的安全防护理念非常吻合。我们认为:攻防对抗的本质是人与人的对抗,以人为本是防御体系建设的根本!”。东巽科技CTO李薛说,“传统的防御思路只能应对低烈度的安全对抗,要进行中烈度甚至高烈度的安全对抗,必须是团队和团队的对抗。所以我们先要确定我们安全防护的建设服务对象应该是“人”,为我们的安全防护人员来建设人与人的对抗平台,实现与攻击者之间的搏击。”
东巽科技的APT防护解决方案是包含平台化和工具化两方面的安全建设方案。平台化建设是指需要从云端、网络、终端三个维度结合识别、防护、检测、响应、恢复共五个安全能力进行的功能规划,使用了分层构建、层层防护的设计理念,可以防护各种已知和未知的APT攻击。一是从终端(含移动端)和网络两个维度对各种攻击进行攻击监测,拦截来自Web访问、邮件、文件共享等业务渠道的典型APT攻击行为;二是在网络上进行网络行为监控,包括监控特马的渗透攻击行为、潜伏和活跃行为等失陷检测,识别网络流量中的脏数据从而切断监控目标的黑手;三是使用大数据方式汇聚前两层产生的各类事件、线索和日志,使用更全面的分析检测环境,并配合威胁情报、关联分析等辅助手段,在云端提供人工分析平台来挖掘潜在的攻击威胁,有效缓减基础设施、供应链所面临的安全威胁。
工具化建设是打造的系列化检测工具,为特种木马攻击等APT事件的响应处理提供必要的工具支撑,使得整个解决方案从威胁发现到事件处理形成一个完美的闭环过程。具体功能规划同样包括三方面,一方面是能够检测不同平台下的恶意代码、安全风险和安全配置提高渗透攻击难度;二是能够检测隐藏在BIOS、硬盘芯片等硬件内的特种木马;三是为攻击溯源搜集必要的线索数据。
在未来,依靠东巽科技APT防护解决方案搭建起的防护体系不断运营,将积累起大量攻防对抗的过程及结果数据,对这些数据资产的挖掘可持续驱动业务在安全方向的不断改进和完善,甚至使安全数据自身成为一种业务。这才是安全防护专家与APT攻击者进行攻防对抗的根本基础所在,是大数据的真实价值和魅力所在,更是东巽科技的核心竞争力之所在。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号