應(yīng)對(duì)APT攻擊的最新技術(shù)

1、應(yīng)對(duì)APT攻擊的最新技術(shù)2013-11-08網(wǎng)絡(luò)安全，尤其是Internet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn)，這主要 就是來自于有組織、有特定目標(biāo)、持續(xù)時(shí)間極長的新型攻擊和威脅，國際上有的 稱之為APT（Advanced Persistent Threat，高級(jí)持續(xù)性威脅）攻擊，或者稱之為 “針對(duì)特定目標(biāo)的攻擊”。這些攻擊統(tǒng)稱為新型威脅。一般認(rèn)為，APT攻擊就是一類特定的攻擊，為了獲取某個(gè)組織甚至是國家 的重要信息，有針對(duì)性地進(jìn)行的一系列攻擊行為的整個(gè)過程。APT攻擊利用了多 種攻擊手段，包括各種最先進(jìn)的手段和社會(huì)工程學(xué)方法，一步一步的獲取進(jìn)入組 織內(nèi)部的權(quán)限。APT往往利用組織內(nèi)部的人員作為

2、攻擊跳板。有時(shí)候，攻擊者會(huì) 針對(duì)被攻擊對(duì)象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT 攻擊具有持續(xù)性，甚至長達(dá)數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段， 以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。對(duì)于這些單位而言，盡管已經(jīng)部署了相對(duì)完備的縱深安全防御體系，可能 既包括針對(duì)某個(gè)安全威脅的安全設(shè)備，也包括了將各種單一安全設(shè)備整合起來的 管理平臺(tái)，而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個(gè)階段。但是， 這樣的防御體系仍然難以有效防止來自互聯(lián)網(wǎng)的入侵和攻擊，以及信息竊取等新 型威脅。新型威脅的綜合分析APT攻擊主要呈現(xiàn)以下技術(shù)特點(diǎn)：1、攻擊者的

3、誘騙手段往往采用惡意網(wǎng)站，用釣魚的方式誘使目標(biāo)上鉤。而 企業(yè)和組織目前的安全防御體系中對(duì)于惡意網(wǎng)站的識(shí)別能力還不夠，缺乏權(quán)威、 全面的惡意網(wǎng)址庫，對(duì)于內(nèi)部員工訪問惡意網(wǎng)站的行為無法及時(shí)發(fā)現(xiàn)；2、攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝 成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地 址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往 都是0day漏洞，傳統(tǒng)的郵件內(nèi)容分析也難以奏效；3、還有一些攻擊是直接通過對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)的。很多 企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范；4、初始的網(wǎng)絡(luò)滲透往往使用利用

4、0day漏洞的惡意代碼，而企業(yè)和組織目 前的安全防御/檢測(cè)設(shè)備無法識(shí)別這些0day漏洞攻擊；5、在攻擊者控制受害機(jī)器的過程中，往往使用SSL連接，導(dǎo)致現(xiàn)有的大部 分內(nèi)容檢測(cè)系統(tǒng)無法分析傳輸?shù)膬?nèi)容，同時(shí)也缺乏對(duì)于可疑連接的分析能力；6、攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定 會(huì)向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒有明顯的指紋特征，這 導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測(cè)系統(tǒng)都失效了 ；7、還有的企業(yè)部署了內(nèi)網(wǎng)審計(jì)系統(tǒng)、日志分析系統(tǒng)，甚至是安管平臺(tái)，但 是這些更高級(jí)的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來分析事件，而沒有真正形成對(duì) 外部入侵的綜合分析。由于知識(shí)庫的缺乏，

5、客戶無法從多個(gè)角度綜合分析安全事 件，無法從攻擊行為的角度進(jìn)行整合，發(fā)現(xiàn)攻擊路徑。因此，在APT這樣的新型威脅面前，大部分企業(yè)和組織的安全防御體系都 失靈了。保障網(wǎng)絡(luò)安全亟需全新的思路和技術(shù)。二、新型威脅的最新技術(shù)發(fā)展動(dòng)向新型威脅自身也在不斷發(fā)展進(jìn)化，以適應(yīng)新的安全監(jiān)測(cè)、檢測(cè)與防御技術(shù)帶 來的挑戰(zhàn)。以下簡要分析新型威脅采取的一些新技術(shù)。精準(zhǔn)釣魚。精準(zhǔn)釣魚是一種精確制導(dǎo)的釣魚式攻擊，比普通的定向釣魚 (spear phishing)更聚焦，只有在被攻擊者名單中的人才會(huì)看到這個(gè)釣魚網(wǎng)頁， 其他人看到的則是404 error。也就是說，如果你不在名單之列，看不到釣魚網(wǎng) 頁。如此一來，一方面攻擊的精準(zhǔn)

6、度更高，另一方面也更加保密，安全專家更難 進(jìn)行追蹤。高級(jí)隱遁技術(shù)。高級(jí)隱遁技術(shù)是一種通過偽裝和/或修飾網(wǎng)絡(luò)攻擊以躲避信 息安全系統(tǒng)的檢測(cè)和阻止的手段。高級(jí)隱遁技術(shù)是一系列規(guī)避安全檢測(cè)的技術(shù)的 統(tǒng)稱，可以分為網(wǎng)絡(luò)隱遁和主機(jī)隱遁，而網(wǎng)絡(luò)隱遁又包括協(xié)議組合、字符變換、 通訊加密、0day漏洞利用等技術(shù)。沙箱逃避。新型的惡意代碼設(shè)計(jì)越來越精巧，想方設(shè)法逃避沙箱技術(shù)的檢 測(cè)。例如有的惡意代碼只有在用戶鼠標(biāo)移動(dòng)的時(shí)候才會(huì)被執(zhí)行，從而使得很多自 動(dòng)化執(zhí)行的沙箱沒法檢測(cè)到可疑行為。有的惡意代碼會(huì)設(shè)法欺騙虛擬機(jī)，以逃避 用虛擬機(jī)方式來執(zhí)行的沙箱。三、新型威脅的應(yīng)對(duì)之策(一)總體思路2012年8月，RSA發(fā)布了著

7、名的報(bào)告一一當(dāng)APT成為主流。報(bào)告提及 了現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷，導(dǎo)致很難識(shí)別APT攻 擊?，F(xiàn)有的防護(hù)體系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和組織結(jié)構(gòu)，以及 工作流程等等都存在不足。報(bào)告指出，應(yīng)對(duì)APT需要采取一種與以往不同的信息 安全策略及方法。該方法更加注重對(duì)核心資產(chǎn)的保護(hù)，以數(shù)據(jù)為中心，從檢測(cè)威 脅的角度去分析日志，注重攻擊模式的發(fā)現(xiàn)和描述，從情報(bào)分析的高度來分析 威脅。報(bào)告提出了 7條建議：1、進(jìn)行高級(jí)情報(bào)收集與分析。讓情報(bào)成為戰(zhàn)略的基石。2、建立智能監(jiān)測(cè)機(jī)制。知道要尋找什么，并建立信息安全與網(wǎng)絡(luò)監(jiān)控機(jī)制， 以尋找所要尋找之物。3、重新分

8、配訪問控制權(quán)。控制特權(quán)用戶的訪問。4、認(rèn)真開展有實(shí)效的用戶培訓(xùn)。培訓(xùn)用戶以識(shí)別社會(huì)工程攻擊，并迫使用 戶承擔(dān)保證企業(yè)信息安全的個(gè)人責(zé)任。5、管理高管預(yù)期。確保最高管理層認(rèn)識(shí)到，抗擊高級(jí)持續(xù)性攻擊的本質(zhì)是 與數(shù)字軍備競賽戰(zhàn)斗。6、重新設(shè)計(jì)IT架構(gòu)。從扁平式網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榉指羰骄W(wǎng)絡(luò)，使攻擊者難以在 網(wǎng)絡(luò)中四處游蕩，從而難以發(fā)現(xiàn)最寶貴的信息。7、參與情報(bào)交換。分享信息安全威脅情報(bào)，利用其他企業(yè)積累的知識(shí)。Verizon發(fā)布的2013年數(shù)據(jù)破壞調(diào)查報(bào)告中則更加簡明扼要的概括了 應(yīng)對(duì)APT的最高原則知己，更要知彼，強(qiáng)調(diào)真正的主動(dòng)安全是料敵先機(jī)， 核心就是對(duì)安全威脅情報(bào)的分析與分享。(二)技術(shù)手段分析從具體的

9、技術(shù)層面來說，為了應(yīng)對(duì)APT攻擊，新的技術(shù)也是層出不窮。從監(jiān)測(cè)和檢測(cè)的角度，為了識(shí)別APT，可以從APT攻擊的各個(gè)環(huán)節(jié)進(jìn)行突破， 任一環(huán)節(jié)能夠識(shí)別即可斷開整個(gè)鏈條。根據(jù)APT攻擊過程，我們可以從防范釣魚攻擊、識(shí)別郵件中的惡意代碼、 識(shí)別主機(jī)上的惡意代碼、識(shí)別僵尸網(wǎng)絡(luò)(C&C)通訊、監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán) 節(jié)入手。而不論從哪個(gè)環(huán)節(jié)入手，都主要涉及以下幾類新型技術(shù)手段：基于沙箱的惡意代碼檢測(cè)技術(shù)。要檢測(cè)惡意代碼，最具挑戰(zhàn)性的就是利用 0day漏洞的惡意代碼。因?yàn)槭?day，就意味著沒有特征，傳統(tǒng)的惡意代碼檢測(cè) 技術(shù)就此失效。沙箱技術(shù)通俗的講就是構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在 這個(gè)模擬環(huán)境中

10、運(yùn)行起來，通過可疑文件觸發(fā)的外在行為來判定是否是惡意代 碼。沙箱技術(shù)的模擬環(huán)境可以是真實(shí)的模擬環(huán)境，也可以是一個(gè)虛擬的模擬環(huán)境。 而虛擬的模擬環(huán)境可以通過虛擬機(jī)技術(shù)來構(gòu)建，或者通過一個(gè)特制程序來虛擬?；诋惓５牧髁繖z測(cè)技術(shù)。傳統(tǒng)的IDS都是基于特征(簽名)的技術(shù)去進(jìn)行 DPI分析，有的也用到了一些簡單DFI分析技術(shù)。面對(duì)新型威脅，DFI技術(shù)的應(yīng) 用需要進(jìn)一步深化?；贔low，出現(xiàn)了一種基于異常的流量檢測(cè)技術(shù)，通過建 立流量行為輪廓和學(xué)習(xí)模型來識(shí)別流量異常，進(jìn)而識(shí)別0day攻擊、C&C通訊， 以及信息滲出。本質(zhì)上，這是一種基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)。全包捕獲與分析技術(shù)。應(yīng)對(duì)APT攻擊，需要做好

11、最壞的打算。萬一沒有識(shí) 別出攻擊并遭受了損失了怎么辦？對(duì)于某些情況，我們需要全包捕獲及分析技術(shù) (FPI)。借助天量的存儲(chǔ)空間和大數(shù)據(jù)分析(BDA)方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)中的特 定場(chǎng)合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)起來，進(jìn)行歷史分析或者準(zhǔn)實(shí)時(shí)分析。通過內(nèi) 建的高效索引機(jī)制及相關(guān)算法，協(xié)助分析師剖絲抽繭，定位問題。信譽(yù)技術(shù)。信譽(yù)技術(shù)早已存在，在面對(duì)新型威脅的時(shí)候，它可以助其他檢 測(cè)技術(shù)一臂之力。無論是WEB URL信譽(yù)庫、文件MD5碼庫、僵尸網(wǎng)絡(luò)地址庫，還 是威脅情報(bào)庫，都是檢測(cè)新型威脅的有力武器。而信譽(yù)技術(shù)的關(guān)鍵在于信譽(yù)庫的 構(gòu)建，這需要一個(gè)強(qiáng)有力的技術(shù)團(tuán)隊(duì)來維護(hù)。綜合分析技術(shù)。所謂綜合分析，就是在

12、前述所有技術(shù)之上的，并且涵蓋傳 統(tǒng)檢測(cè)技術(shù)之上的，一個(gè)橫向貫穿的分析。我們已經(jīng)知道APT攻擊是一個(gè)過程， 是一個(gè)組合，如果能夠?qū)PT攻擊最多環(huán)節(jié)的信息綜合到一起，有助于確認(rèn)一 個(gè)APT攻擊行為。綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持 續(xù)攻擊行為，包括組合攻擊檢測(cè)技術(shù)、大時(shí)間跨度的攻擊行為分析技術(shù)、態(tài)勢(shì) 分析技術(shù)、情境分析技術(shù)，等等。人的技能。最后，要實(shí)現(xiàn)對(duì)新型攻擊的防范，除了上述新的監(jiān)測(cè)/檢測(cè)技術(shù) 之外，還需要依靠強(qiáng)有力的專業(yè)分析服務(wù)做支撐，通過專家團(tuán)隊(duì)和他們的最佳實(shí) 踐，不斷充實(shí)安全知識(shí)庫，進(jìn)行即時(shí)的可疑代碼分析、滲透測(cè)試、漏洞驗(yàn)證，等 等。安全專家的技能永遠(yuǎn)是任何技術(shù)都無法

13、完全替代的。黑客學(xué)院(Hacker Academy)的聯(lián)合創(chuàng)始人兼首席運(yùn)營官Aaron Cohen認(rèn)為， 現(xiàn)在系統(tǒng)可以攻擊的路徑太多，了解系統(tǒng)要比如何防守系統(tǒng)容易的多，黑客總是 能找到系統(tǒng)最脆弱的短板。FireEye的首席安全戰(zhàn)略官Richard Bejtlich同意這個(gè)觀點(diǎn)，他表示：“在 網(wǎng)絡(luò)空間里進(jìn)攻方占著先手，防守方處于被動(dòng)?！钡獴ejtlich認(rèn)為，即使攻擊 者獲得未授權(quán)的訪問，也不代表著他就“贏”了。因?yàn)樵L問的最終目的是盜取數(shù) 據(jù)和破壞系統(tǒng)，在這之前還不能稱之為贏，而防守方所要做就是阻止這種情況的 發(fā)生。太多的安全人員把精力浪費(fèi)到戰(zhàn)略上并不重要的事務(wù)中，這才是最大的問 題。Cohen

14、表示，之所以壞人顯得比好人聰明，是因?yàn)槟切┦〉陌踩婪?，?不是專業(yè)人員在做，而是一些傳統(tǒng)的IT人員，一些被網(wǎng)絡(luò)釣魚或社會(huì)工程手段 欺騙的其他部門的職員，甚至還有第三方承包商，為攻擊者打開了方便之門?！叭藗兊挠薮罌]有補(bǔ)丁可打”不過安全專家都一致同意，防護(hù)能力應(yīng)該能夠提高，但要做到這一點(diǎn)，良 好的安全培訓(xùn)是必不可少的?！皬拇髮W(xué)教育的水平統(tǒng)計(jì)，已經(jīng)有一段時(shí)間沒有培育出足夠的信息安全專 業(yè)人員?！辟愰T鐵克網(wǎng)絡(luò)安全組的高級(jí)經(jīng)理Michael Garvin表示。然而這還只 是開始，未來需要的安全人員不只是信息安全專業(yè)的大學(xué)生，還需要具有實(shí)際操 作、現(xiàn)實(shí)經(jīng)驗(yàn)的職業(yè)人員。如同飛行員在真正上機(jī)前要在模擬環(huán)境

15、試飛上千小時(shí)， 才能通過不斷的重復(fù)形成安全環(huán)境中的肌肉記憶。Bejtlich對(duì)此表示贊同：“我不會(huì)聽一個(gè)沒有時(shí)間做企業(yè)安全工作的教授 講信息安全課?！?Cohen則表示：“中學(xué)和大學(xué)教育在信息安全方面比較落后， 從書本上無法得到真正的培訓(xùn)”。Cohen建議，網(wǎng)絡(luò)安全培訓(xùn)必需更加注重實(shí)際 操作，有點(diǎn)類似于職業(yè)學(xué)校?！比欢?，如果學(xué)院或大學(xué)想要提升信息安全課程的教學(xué)質(zhì)量，則需要專業(yè)人 員的合作。Avecto職業(yè)服務(wù)副總裁Andrew Avanessian認(rèn)為：“大學(xué)院校與職 業(yè)服務(wù)機(jī)構(gòu)和信息安全圈的關(guān)系需要加強(qiáng)，信息安全業(yè)界要聯(lián)合大學(xué)院校并在技 術(shù)與技能方面給予指導(dǎo)和建議，這是不斷變化的信息安全環(huán)境

16、的需要?！盇vanessian認(rèn)為，除了獲得計(jì)算機(jī)學(xué)位以外，在安全事業(yè)的道路上還有很 多途徑。比如攻讀數(shù)學(xué)，或工程和管理。Bejtlich則認(rèn)為，除了學(xué)術(shù)培訓(xùn)和技 術(shù)能力，還需要戰(zhàn)略性的思考，把運(yùn)營、政策和戰(zhàn)略結(jié)合起來。而后者正是大多 數(shù)技術(shù)人員所缺乏的?！皯?zhàn)略思想比技能缺口更加重要，太多的安全人員把精力浪費(fèi)到戰(zhàn)略上并 不重要的事務(wù)中，這才是最大的問題?！盞ellermann也對(duì)此表示贊同。他表示俄羅斯黑客的聰明之處就在于“他們 戰(zhàn)略性的思考所采取的每一步行動(dòng)，如同下國際象棋，無論是進(jìn)攻方還是防守方， 都會(huì)考慮8步到12步之多?！彼械陌踩珜＜叶纪?，僅僅給予安全工作人員更好的培訓(xùn)是不夠的，企 業(yè)中的所有員工都需要加強(qiáng)安全技術(shù)和安全意識(shí)的培訓(xùn)。Avanessian表示：“