科來:云計算時代 APT防御面臨新挑戰
近年來,隨著互聯網技術的發展,以“虛擬化技術”和“高速網絡”發展為基石的云計算被視為未來互聯網時代發展的重要變革。隨著云計算技術的逐漸落地,網民在互聯網上面臨的安全問題越來越嚴峻,云計算的程度越高,以往針對個人的分散式攻擊變得越來越沒有效率,黑客一定會聚焦于云計算平臺,施以專注、專業的APT攻擊,以期獲取最大量、最核心的機密數據,從而造成最大的破壞,或獲得最大的利益。更有國外媒體大膽預測,云計算技術一旦普及,基于客戶端的安全問題就不會再存在太大問題,我們更多的應該關注云平臺、數據中心、DMZ、服務器區等APT攻擊的聚集點。
與APT攻擊的專業性和復雜度相對應,企業對其的防范非常困難。黑客在暗中通過社會工程學等手段收集大量信息,而被攻擊者毫不知情。由此造成的信息不對稱造成了對APT攻擊的防御難點。
就目前對APT攻擊的防御現狀來看,傳統的安全軟件多以防范病毒和木馬為主,無法有效防范漏洞攻擊。只有當漏洞被黑客大規模攻擊時,安全廠商才有機會監測到漏洞。而傳統的防火墻、入侵檢測、安全網關、殺毒軟件和反垃圾郵件系統等檢測技術也主要是網絡邊界和主機邊界進行檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。這種滯后響應的方式已經無法適應新的安全形勢。
APT防御困局如何破解?
據科來介紹,利用0day漏洞進行的APT攻擊,是非常難防御的未知攻擊,雖然防御難度高,但業界公認的動態檢測技術,是一種有效的防御手段,可以通過執行樣本來觀察其所有行為,檢測是否含有惡意的APT攻擊代碼。但是高級木馬會主動匹配目標主機環境,只有環境匹配才可能誘導樣本的木馬行為。但這一技術也有不足之處:有些高級木馬具備多種逃逸技術,甚至會通過是否具有人工動作判斷是否為虛擬機,避免暴露自己。所以動態檢測技術的優劣還在于防木馬的逃逸檢測能力,不被木馬檢測是關鍵。所以基于硬件指令模擬技術,是一種更好的檢測對抗技術,據了解這也是Fire eye采用的技術,而目前國內只有科來在應用該項技術。
然而,對于APT防御,動態檢測只是對抗惡意代碼或樣本的攻擊階段,對于攻擊前和攻擊后的行為分析,則需要有異常流量的檢測技術和全流量審計的回查技術來配合。木馬攻擊成功后,潛伏下來后會通過隱蔽信道技術躲避檢查,心跳數據非常少,甚至加密,混在大量的流量里,要辨別非常困難,猶如大海撈針。這就需要有非常精確的應用和協議鑒別技術,通過建立異常行為模型可在一定程度上解決問題,也就是異常流量檢測技術。據科來介紹,無論攻擊者如何隱藏,只要通過網絡傳輸,必然會產生相應數據,所以全流量的安全審計是APT安全檢測中必不可少的技術,企業只有做到全流量數據記錄,同時對網絡數據進行深度分析,并建立企業私有云,才能做到發現追蹤取證防御APT。
科來APT防御解決方案及思路
基于以上思路,科來自主研發了一套完整APT解決方案,分為前端、分析中心和后臺,涵蓋了異常流量分析、動態分析和全流量回溯分析的技術。
用戶可以憑借異常流量和動態分析技術發現網絡的異常和未知的高危文件型木馬,使用全流量記錄設備--回溯系統來調取攻擊數據進行數據包級的分析,系統還具有阻斷功能,可以阻斷高危的會話和域名訪問,保護內部用戶,做到及時的止損。這樣使得APT解決方案從異常發現到取證和阻斷能夠形成一個閉環的工作模式。
作為一種有針對性的攻擊手段,APT在未發動攻擊時很難被察覺到,也很難像木馬、病毒等被掃秒出來,因此對于用戶來說,即使是試用了APT防御解決方案,也很難實際感受到其優劣和帶來的價值,但一旦出現問題帶來的影響是空前巨大的。因此,除了部署APT防御解決方案,科來同時也為企業提出了以下幾條APT攻擊防御建議:
1、在思想上企業的安全部門要高度重視,不要認為APT攻擊離自己很遙遠。
2、在APT攻擊的目標鎖定和信息采集階段,從技術上難以防范,需要從管理制度上進行防御。而在APT攻擊的滲透階段,可以通過硬件模擬動態分析技術、黑白名單、異常流量檢測、全流量審計技術、大數據分析等手段實施防御,這就涉及到了對未知攻擊的檢測能力和對流量的深度分析能力。而此時,科來的APT完整解決方案便成為企業可以選擇的多維防御方案。
APT防御形式嚴峻任重道遠
在網絡空間日益被重視的今天,APT攻擊已經是國家網絡空間對抗的一種手段,并且已不可避免,以美國為首的五只眼,聯合更多國家的全球信息監控,會進一步推動全球各國重視網絡空間對抗。
APT攻擊是國家網絡對抗的主要方式之一,我們需要借鑒美國在網絡安全方面的投入和規劃。但是,我們面對APT攻擊防護起來難度要遠高于美國,因為美國掌握了大量的網絡資源和網絡技術,如根域名服務器、操作系統、芯片、交換機、路由器等,我們要建立的防御體系,不僅僅只是惡意代碼的動態檢測或是是在傳統安全產品上稍作改動的下一代安全產品,而是需要具備像Fireeye等國外安全企業那樣有效的APT檢測手段,同時具備對數據的追溯回查能力,做到對APT攻擊的發現、追蹤、取證和防御。
