1 新型威脅的應(yīng)對之策

1.1 總體思路

2011年7月13日～14日，RSA與TechAmerica舉辦一次針對APT的閉門峰會。有大約100位CISO，CIO和CEO參加，涵蓋政府、金融、制造、醫(yī)藥、技術(shù)、服務(wù)業(yè)等多個領(lǐng)域。在峰會上，與會專家總結(jié)了應(yīng)對APT的10條共識：

1) 攻擊手段已經(jīng)從技術(shù)延伸到人。社會工程學(xué)是第一位的威脅向量。人成為了新的網(wǎng)絡(luò)邊界，只要給定恰當(dāng)?shù)纳舷挛模魏稳硕伎赡艹蔀獒烎~受害者。而傳統(tǒng)的對人員進(jìn)行安全意識培訓(xùn)的方法也不足以應(yīng)付釣魚攻擊。

2) 組織必須學(xué)會在已經(jīng)遭受攻擊的情況下生存。阻止攻擊者進(jìn)來是不現(xiàn)實的，更現(xiàn)實的做法是規(guī)劃好在攻擊者已經(jīng)進(jìn)來后應(yīng)該采取什么響應(yīng)動作。組織應(yīng)該將重點放在如何盡快關(guān)閉遭受破壞的時間窗口，降低損失上，例如隔離系統(tǒng)、阻止敏感信息外泄，以及回到諸如“最小特權(quán)”、“縱深防御”這些核心的IT安全原則上來。防御的關(guān)鍵在于找到本組織中最核心最的、最需要受到保護(hù)的資產(chǎn)，清楚地知道這些資產(chǎn)在哪兒，誰對他進(jìn)行了訪問，在出現(xiàn)攻擊的時候如何將資產(chǎn)隔離(鎖定);

3) 要提前監(jiān)測出威脅必須依靠態(tài)勢感知，尤其是需要更大范圍的態(tài)勢感知，不能只關(guān)注于自身網(wǎng)絡(luò)中的態(tài)勢，而要關(guān)注與自身網(wǎng)絡(luò)相關(guān)的整個生態(tài)系統(tǒng)的態(tài)勢。企業(yè)間合作共享十分重要。

4) 利用供應(yīng)鏈發(fā)起攻擊的情況正在抬頭，供應(yīng)鏈正在成為安全防御中的最薄弱環(huán)節(jié)，攻擊者正在通過研究和收集可信供應(yīng)商的弱點來發(fā)起攻擊。而對供應(yīng)商的安全檢測是一個巨大的挑戰(zhàn)。可以借助一些方法，例如信譽(yù)評級、第三方審計、外部監(jiān)測等。

5) 突發(fā)事件響應(yīng)應(yīng)該是整個組織的事情，而非純安全的事，并且要事先就制定好應(yīng)對APT的突發(fā)事件響應(yīng)程序/計劃，并做好演練。

6) 定制化——作為APT的一個重要特點——是對傳統(tǒng)的基于簽名(特征)的檢測方法的重大挑戰(zhàn)。定制化即意味著攻擊的目的性極強(qiáng)，并且利用0day包裝出一個攻擊的速度極快，而研究出這個漏洞的簽名(特征)則慢得多。

7) 目前攻擊方在實時情報共享方面做的比防御者更好。防御者在情報共享方面存在諸多障礙。而快速有效的情報共享是目前的第一要務(wù)。

8) 組織必須積極主動地去盡早發(fā)現(xiàn)攻擊，并用各種方式破壞攻擊鏈條(路徑)。

9) 現(xiàn)在公開出來的APT攻擊僅僅是冰山一角。同時，除了關(guān)注數(shù)據(jù)竊取，還要關(guān)注其他目的的APT攻擊，例如poisoning, disruption，embarrassment 。

10) 簡單的安全才是更好的安全。我們要簡化我們的技術(shù)環(huán)境(IT基礎(chǔ)架構(gòu))，只有更好的理解資產(chǎn)、流程和端點(終端)才有機(jī)會進(jìn)行真正的防御。使用最小的技術(shù)去達(dá)成一個目標(biāo)。

2012年8月，RSA發(fā)布了著名的報告——《當(dāng)APT成為主流》。報告提及了現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷，導(dǎo)致很難識別APT攻擊。現(xiàn)有的防護(hù)體系包括FW，AV，IDS/IPS，SIEM/SOC，以及CERT和組織結(jié)構(gòu)，工作流程等等。都存在不足。報告指出，應(yīng)對APT需要采取一種與以往不同的信息安全策略，這種策略被稱作“高級方法”。他與傳統(tǒng)的方法相比，更加注重對核心資產(chǎn)的保護(hù)、技術(shù)手段上更加注重檢測技術(shù)、以數(shù)據(jù)為中心、分析日志更多是為了檢測威脅、注重攻擊模式的發(fā)現(xiàn)和描述、從情報分析的高度來分析威脅。

《當(dāng)APT成為主流》提出了7條建議：

1) 進(jìn)行高級情報收集與分析 – 讓情報成為戰(zhàn)略的基石。

2) 建立智能監(jiān)測機(jī)制 – 知道要尋找什么，并建立信息安全與網(wǎng)絡(luò)監(jiān)控機(jī)制，以尋找所要尋找之物。

3) 重新分配訪問控制權(quán) – 控制特權(quán)用戶的訪問。

4) 認(rèn)真開展有實效的用戶培訓(xùn) – 培訓(xùn)用戶以識別社會工程攻擊，并迫使用戶承擔(dān)保證企業(yè)信息安全的個人責(zé)任。

5) 管理高管預(yù)期 – 確保最高管理層認(rèn)識到，抗擊高級持續(xù)性攻擊的本質(zhì)是與數(shù)字軍備競賽戰(zhàn)斗。

6) 重新設(shè)計IT架構(gòu) – 從扁平式網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榉指羰骄W(wǎng)絡(luò)，使攻擊者難以在網(wǎng)絡(luò)中四處游蕩，從而難以發(fā)現(xiàn)最寶貴的信息。

7) 參與情報交換 – 分享信息安全威脅情報，利用其他企業(yè)積累的知識。

Verizon發(fā)布的《2013年數(shù)據(jù)破壞調(diào)查報告》中則更加簡明扼要的概括了應(yīng)對APT的最高原則——知己、更要知彼，強(qiáng)調(diào)真正的主動安全是料敵先機(jī)，核心就是對安全威脅情報的分析與分享。

1.2 技術(shù)手段分析

從具體的技術(shù)層面來說，為了應(yīng)對APT攻擊，新的技術(shù)也是層出不窮。

從監(jiān)測和檢測的角度，為了識別APT，可以從APT攻擊的各個環(huán)節(jié)進(jìn)行突破，任一環(huán)節(jié)能夠識別即可斷開整個鏈條。

根據(jù)APT攻擊過程，我們可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機(jī)上的惡意代碼、識別僵尸網(wǎng)絡(luò)(C&C)通訊、監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)滲出等多個環(huán)節(jié)入手。

而不論從哪個環(huán)節(jié)入手，都主要涉及以下幾類新型技術(shù)手段：

1.2.1 基于沙箱的惡意代碼檢測技術(shù)

要檢測惡意代碼，最具挑戰(zhàn)性的就是利用0day漏洞的惡意代碼。因為是0day，就意味著沒有特征，傳統(tǒng)的惡意代碼檢測技術(shù)就此失效。沙箱技術(shù)通俗的講就是構(gòu)造一個模擬的執(zhí)行環(huán)境，讓可疑文件在這個模擬環(huán)境中運行起來，通過可疑文件觸發(fā)的外在行為來判定是否是惡意代碼。

沙箱技術(shù)的模擬環(huán)境可以是真實的模擬環(huán)境，也可以是一個虛擬的模擬環(huán)境。而虛擬的模擬環(huán)境可以通過虛擬機(jī)技術(shù)來構(gòu)建，或者通過一個特制程序來虛擬。

1.2.2 基于異常的流量檢測技術(shù)

傳統(tǒng)的IDS都是基于特征(簽名)的技術(shù)去進(jìn)行DPI分析，有的也用到了一些簡單DFI分析技術(shù)。面對新型威脅，DFI技術(shù)的應(yīng)用需要進(jìn)一步深化。基于Flow，出現(xiàn)了一種基于異常的流量檢測技術(shù)，通過建立流量行為輪廓和學(xué)習(xí)模型來識別流量異常，進(jìn)而識別0day攻擊、C&C通訊，以及信息滲出。本質(zhì)上，這是一種基于統(tǒng)計學(xué)和機(jī)器學(xué)習(xí)的技術(shù)。

1.2.3 全包捕獲與分析技術(shù)

應(yīng)對APT攻擊，需要做好最壞的打算。萬一沒有識別出攻擊并遭受了損失怎么辦?對于某些情況，我們需要全包捕獲及分析技術(shù)(FPI)。借助天量的存儲空間和大數(shù)據(jù)分析(BDA)方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)中的特定場合下的全量數(shù)據(jù)報文并存儲起來，進(jìn)行歷史分析或者準(zhǔn)實時分析。通過內(nèi)建的高效索引機(jī)制及相關(guān)算法，協(xié)助分析師剖絲抽繭，定位問題。

1.2.4 信譽(yù)技術(shù)

信譽(yù)技術(shù)早已存在，在面對新型威脅的時候，可以助其他檢測技術(shù)一臂之力。無論是WEB URL信譽(yù)庫、文件MD5碼庫、僵尸網(wǎng)絡(luò)地址庫，還是威脅情報庫，都是檢測新型威脅的有力武器。而信譽(yù)技術(shù)的關(guān)鍵在于信譽(yù)庫的構(gòu)建，這需要一個強(qiáng)有力的技術(shù)團(tuán)隊來維護(hù)。

1.2.5 綜合分析技術(shù)

所謂綜合分析，就是在前述所有技術(shù)之上的，并且涵蓋傳統(tǒng)檢測技術(shù)之上的，一個橫向貫穿的分析。我們已經(jīng)知道APT攻擊是一個過程，是一個組合，如果能夠?qū)PT攻擊各個環(huán)節(jié)的信息綜合到一起，有助于確認(rèn)一個APT攻擊行為。

綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持續(xù)攻擊行為，包括組合攻擊檢測技術(shù)、大時間跨度的攻擊行為分析技術(shù)、態(tài)勢分析技術(shù)、情境分析技術(shù)，等等。

1.2.6 人的技能

最后，要實現(xiàn)對新型攻擊的防范，除了上述新的監(jiān)測/檢測技術(shù)之外，還需要依靠強(qiáng)有力的專業(yè)分析服務(wù)做支撐，通過專家團(tuán)隊和他們的最佳實踐，不斷充實安全知識庫，進(jìn)行即時的可疑代碼分析、滲透測試、漏洞驗證，等等。安全專家的技能永遠(yuǎn)是任何技術(shù)都無法完全替代的。#p#

2 新型威脅的最新技術(shù)發(fā)展動向

新型威脅自身也在不斷發(fā)展進(jìn)化，以適應(yīng)新的安全監(jiān)測、檢測與防御技術(shù)帶來的挑戰(zhàn)。以下簡要分析新型威脅采取的一些新技術(shù)。

2.1 精準(zhǔn)釣魚

精準(zhǔn)釣魚是一種精確制導(dǎo)的釣魚式攻擊，比普通的定向釣魚(spear phishing)更聚焦，只有在被攻擊者名單中的人才會看到這個釣魚網(wǎng)頁，其他人看到的則是404 error。也就是說，如果你不在名單之列，看不到釣魚網(wǎng)頁。如此一來，一方面攻擊的精準(zhǔn)度更高，另一方面也更加保密，安全專家更難進(jìn)行追蹤(因為你不知道名單，且不在名單之列)。

2.2 高級隱遁技術(shù)

高級隱遁技術(shù)這個術(shù)語最初源自2010年芬蘭的Stonesoft公司(2013年5月被McAfee收購)的一個研究成果。高級隱遁技術(shù)(AET，Advanced Evasion Technology)是一種通過偽裝和/或修飾網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測和阻止的手段。

高級隱遁技術(shù)是一系列規(guī)避安全檢測的技術(shù)的統(tǒng)稱，可以分為網(wǎng)絡(luò)隱遁和主機(jī)隱遁，而網(wǎng)絡(luò)隱遁又包括協(xié)議組合、字符變換、通訊加密、0day漏洞利用等技術(shù)。

2.3 沙箱逃避

新型的惡意代碼設(shè)計越來越精巧，想方設(shè)法逃避沙箱技術(shù)的檢測。例如有的惡意代碼只有在用戶鼠標(biāo)移動的時候才會被執(zhí)行，從而使得很多自動化執(zhí)行的沙箱沒法檢測到可疑行為。還有的沙箱用到了虛擬機(jī)方式來執(zhí)行，那么惡意代碼的制作者就會想辦法去欺騙虛擬機(jī)。

2.4 水坑式攻擊

所謂“水坑攻擊”，是指黑客通過分析被攻擊者的網(wǎng)絡(luò)活動規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀(jì)錄片中的一種情節(jié)：捕食者埋伏在水里或者水坑周圍，等其他動物前來喝水時發(fā)起攻擊獵取食物。

3 結(jié)語

總之，在應(yīng)對新型威脅的道路上，我們還有很多工作需要去做。