1 新型威胁的应对之策
1.1 总体思路
2011年7月13日~14日,RSA与TechAmerica举办一次针对APT的闭门峰会。有大约100位CISO,CIO和CEO参加,涵盖政府、金融、制造、医药、技术、服务业等多个领域。在峰会上,与会专家总结了应对APT的10条共识:
1) 攻击手段已经从技术延伸到人。社会工程学是第一位的威胁向量。人成为了新的网络边界,只要给定恰当的上下文,任何人都可能成为钓鱼受害者。而传统的对人员进行安全意识培训的方法也不足以应付钓鱼攻击。
2) 组织必须学会在已经遭受攻击的情况下生存。阻止攻击者进来是不现实的,更现实的做法是规划好在攻击者已经进来后应该采取什么响应动作。组织应该将重点放在如何尽快关闭遭受破坏的时间窗口,降低损失上,例如隔离系统、阻止敏感信息外泄,以及回到诸如“最小特权”、“纵深防御”这些核心的IT安全原则上来。防御的关键在于找到本组织中最核心最的、最需要受到保护的资产,清楚地知道这些资产在哪儿,谁对他进行了访问,在出现攻击的时候如何将资产隔离(锁定);
3) 要提前监测出威胁必须依靠态势感知,尤其是需要更大范围的态势感知,不能只关注于自身网络中的态势,而要关注与自身网络相关的整个生态系统的态势。企业间合作共享十分重要。
4) 利用供应链发起攻击的情况正在抬头,供应链正在成为安全防御中的最薄弱环节,攻击者正在通过研究和收集可信供应商的弱点来发起攻击。而对供应商的安全检测是一个巨大的挑战。可以借助一些方法,例如信誉评级、第三方审计、外部监测等。
5) 突发事件响应应该是整个组织的事情,而非纯安全的事,并且要事先就制定好应对APT的突发事件响应程序/计划,并做好演练。
6) 定制化——作为APT的一个重要特点——是对传统的基于签名(特征)的检测方法的重大挑战。定制化即意味着攻击的目的性极强,并且利用0day包装出一个攻击的速度极快,而研究出这个漏洞的签名(特征)则慢得多。
7) 目前攻击方在实时情报共享方面做的比防御者更好。防御者在情报共享方面存在诸多障碍。而快速有效的情报共享是目前的第一要务。
8) 组织必须积极主动地去尽早发现攻击,并用各种方式破坏攻击链条(路径)。
9) 现在公开出来的APT攻击仅仅是冰山一角。同时,除了关注数据窃取,还要关注其他目的的APT攻击,例如poisoning, disruption,embarrassment 。
10) 简单的安全才是更好的安全。我们要简化我们的技术环境(IT基础架构),只有更好的理解资产、流程和端点(终端)才有机会进行真正的防御。使用最小的技术去达成一个目标。
2012年8月,RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷,导致很难识别APT攻击。现有的防护体系包括FW,AV,IDS/IPS,SIEM/SOC,以及CERT和组织结构,工作流程等等。都存在不足。报告指出,应对APT需要采取一种与以往不同的信息安全策略,这种策略被称作“高级方法”。他与传统的方法相比,更加注重对核心资产的保护、技术手段上更加注重检测技术、以数据为中心、分析日志更多是为了检测威胁、注重攻击模式的发现和描述、从情报分析的高度来分析威胁。
《当APT成为主流》提出了7条建议:
1) 进行高级情报收集与分析 – 让情报成为战略的基石。
2) 建立智能监测机制 – 知道要寻找什么,并建立信息安全与网络监控机制,以寻找所要寻找之物。
3) 重新分配访问控制权 – 控制特权用户的访问。
4) 认真开展有实效的用户培训 – 培训用户以识别社会工程攻击,并迫使用户承担保证企业信息安全的个人责任。
5) 管理高管预期 – 确保最高管理层认识到,抗击高级持续性攻击的本质是与数字军备竞赛战斗。
6) 重新设计IT架构 – 从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,从而难以发现最宝贵的信息。
7) 参与情报交换 – 分享信息安全威胁情报,利用其他企业积累的知识。
Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己、更要知彼,强调真正的主动安全是料敌先机,核心就是对安全威胁情报的分析与分享。
1.2 技术手段分析
从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。
从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。
根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。
而不论从哪个环节入手,都主要涉及以下几类新型技术手段:
1.2.1 基于沙箱的恶意代码检测技术
要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过可疑文件触发的外在行为来判定是否是恶意代码。
沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建,或者通过一个特制程序来虚拟。
1.2.2 基于异常的流量检测技术
传统的IDS都是基于特征(签名)的技术去进行DPI分析,有的也用到了一些简单DFI分析技术。面对新型威胁,DFI技术的应用需要进一步深化。基于Flow,出现了一种基于异常的流量检测技术,通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯,以及信息渗出。本质上,这是一种基于统计学和机器学习的技术。
1.2.3 全包捕获与分析技术
应对APT攻击,需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办?对于某些情况,我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题。
1.2.4 信誉技术
信誉技术早已存在,在面对新型威胁的时候,可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库,还是威胁情报库,都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建,这需要一个强有力的技术团队来维护。
1.2.5 综合分析技术
所谓综合分析,就是在前述所有技术之上的,并且涵盖传统检测技术之上的,一个横向贯穿的分析。我们已经知道APT攻击是一个过程,是一个组合,如果能够将APT攻击各个环节的信息综合到一起,有助于确认一个APT攻击行为。
综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术,等等。
1.2.6 人的技能
最后,要实现对新型攻击的防范,除了上述新的监测/检测技术之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等等。安全专家的技能永远是任何技术都无法完全替代的。#p#
2 新型威胁的最新技术发展动向
新型威胁自身也在不断发展进化,以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。
2.1 精准钓鱼
精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼(spear phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页,其他人看到的则是404 error。也就是说,如果你不在名单之列,看不到钓鱼网页。如此一来,一方面攻击的精准度更高,另一方面也更加保密,安全专家更难进行追踪(因为你不知道名单,且不在名单之列)。
2.2 高级隐遁技术
高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司(2013年5月被McAfee收购)的一个研究成果。高级隐遁技术(AET,Advanced Evasion Technology)是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。
高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。
2.3 沙箱逃避
新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行,那么恶意代码的制作者就会想办法去欺骗虚拟机。
2.4 水坑式攻击
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
3 结语
总之,在应对新型威胁的道路上,我们还有很多工作需要去做。