漫談類似007電影中的APT攻擊事件
原創APT (Advanced Persistent Threat高級可持續威脅)是時下比較熱門的安全話題,也是很具有威脅的網絡攻擊之一。這種目的性很強的攻擊行為具有著高度的潛伏性,專業性及隱蔽性。可以針對特定對象,長期有計劃有組織的竊取機密數據,可以對企業,國家,造成重大的損失。
先來回顧一下最近發生的一些APT的經典案例:針對谷歌等高科技公司的極光攻擊:通過谷歌一個員工電腦,獲得了GMAIL系統中很多敏感用戶的訪問權限;針對RSA竊取SECURID的令牌攻擊,是通過發送一封附件帶有FLASH 0day的電子郵件,取得了財務一名員工的系統權限,逐步滲透,竊取了SECURID令牌種子;而針對伊朗核電站的震網攻擊則是利用了USB移動設備攻擊到了物理隔離的網絡等等。可見,APT攻擊往往會攻擊到安全體系中的最薄弱環節,而這恰好也驗證了安全理論中的木桶原則。
那么針對視頻中的MI6被入侵這個案例(http://netsecurity.51cto.com/secu/007_APT/),如何做到有效的防御,我個人認為需要從時間及事件的進度進行劃分。在劃分的每個階段,進行防御。
從時間上劃分,分為事前,事中,事后三個階段。首先是事前階段,在這一階段,需要做的事情是非常多的,不過我認為首先需要確定核心的機密數據。針對核心的數據進行保護,確定安全區域,同時并做好相應的基線(BASELINE)建立工作。例如網絡流量,系統登錄正確錯誤頻率,對關鍵系統的訪問頻率等等。并建立好具有一定防護能力的網絡。一般來說,網絡大體會分為如下三層:核心層,匯聚層以及接入層。如下圖所示:
核心層一般與INTERNET直接連接,因此需要部署網絡IPS,對內網與INTERNET之間的數據交互進行檢查,以便及時發現惡意的流量或攻擊。而匯聚層以服務器居多,因此需要配置主機IDS,針對主機的所產生的異常行為事件進行報警。此外也可以部署蜜罐這類技術,也可能會受到一些不錯的效果。而接入層則大多為工作人員的PC機,因此,需要對這些PC機安裝殺毒軟件及主機IDS,并且進行配置相應的準入策略。以防止從內部攻陷整個安全體系。同樣,日志收集分析及事件關聯系統也可以部署在網絡中,以便對整體網絡進行集中分析。加入安全設備的對應圖示為:
另外,更重要的一點,便是三分技術,七分管理,可以從上面的APT例子看出,攻擊都是由于員工的一些安全意識不足而產生的,因此,加強員工的安全意識教育也是非常有必要的。事中階段,如視頻中演示的一樣,當已經檢測到有(APT)攻擊時,這個時候便是與黑客在時間上的賽跑,雖然,作為內部安全人員,會比較了解內部的網絡環境,但對于潛伏時間很長的黑客來說,也可能同樣了解,也變失去了比對抗普通黑客攻擊的一個優勢,因此需要的便是及時響應,這也需要事前準備與多次演練。做到及時切斷攻擊源,甚至對核心資源的訪問。需要有多條備份系統及鏈路,保證可以從多渠道進行,而不是像視頻中只能眼看著系統遭到破壞。同時也可以站在黑客的角度,分析黑客的動機及軌跡。事后階段,只有評估損失,進行總結分析,發現不足,以免下次遭受同樣攻擊。畢竟誰也不希望當事后諸葛亮。
那么從事件的進度來劃分,我針對視頻中的事件畫了一張猜想圖。
在每個階段,都可以做一些工作來預防,比如,對員工進行安全教育,對系統進行安全加固,安裝對應的殺毒軟件與IDS,當已經突破了第一道防線后,黑客在進行對其他服務器進行掃描以及竊取數據時,勢必會產生一些蛛絲馬跡,分析這些蛛絲馬跡,需要有IDS及相應的流量分析系統完成,同時,我們可以針對數據進行加密或對文件系統進行改變,使其看得見,拿不到,拿得到,用不了。最后,當黑客試圖將這些數據進行轉移,也會對網絡流量產生一定的波動,或者即使不產生波動,也可以對核心文件進行基于MD5簽名等技術,在發現網絡中不應該產生這類MD5簽名的流量中發現了也可以確定發生了數據丟失問題。因此,在每個環節,均做好對應的防御,則也可以對APT 起到一定的防御作用。如下圖所示:
綜上,便是我針對MI6中出現的APT攻擊所采用的部分解決方案。當然APT攻擊千變萬化,如人身體的惡性腫瘤一般潛伏在網絡內部,想徹底防御APT 除了需要足夠的技術支持外,還需要完善的體系制度,層次的防御體系,幾乎無縫隙的安全體系,像一個堅持鍛煉,身體健康的免疫力強的健康人一樣,使攻擊者無處下手,無處躲藏。同時我們也可以想象到,在一個大型的網絡內部,每日的信息及事件告警量也會很多,如何將這些海量日志進行系統分析,從中分離出有用的信息,這也考驗了內部安全人員敏銳的觀察能力與分析細節及蛛絲馬跡的洞察力,同時也需要一定的實踐經驗。另外,鑒于篇幅問題,還沒有針對時下比較流行的無線網絡,以及移動設備安全問題進行說明,但并不代表可以忽視掉這部分。這部分也應該作為安全考慮的重要環節。
總之,需要防范APT,要考慮到方方面面,不能給黑客留下任何的死角,亦要動態和靜態相結合的方式,雖然很難,但卻無法避免。如果一旦疏忽了一個小細節,變可能會使整個防御體系變成馬其諾防線。因此防范APT---任重而道遠。
