舒岳波

摘 要：從未知威脅尤其是APT檢測(cè)體系上應(yīng)該形成一個(gè)縱深且關(guān)聯(lián)分析深入的防御體系。前期是完善地滲透攻擊檢測(cè)技術(shù)針對(duì)多樣的攻擊、0day漏洞和木馬等惡意程序的防護(hù)，然后就是智能的事件及流量特征關(guān)聯(lián)與分析上進(jìn)行識(shí)別。這就是結(jié)合目前現(xiàn)有技術(shù)可以提出的一個(gè)更加完整，且針對(duì)未知威脅的檢測(cè)體系。

關(guān)鍵詞：未知威脅；APT攻防技術(shù)

1 未知威脅的主要攻擊方式

很多人以為自己重要的數(shù)據(jù)信息，只要做了真正地物理隔離就不再可能遭受到外界的安全攻擊和數(shù)據(jù)盜竊。但是即使我們從物理上阻止了網(wǎng)絡(luò)層的信息，卻阻止不了邏輯上的信息流，也就是說只要黑客想要的數(shù)據(jù)信息沒有與外界環(huán)境真正地隔離或者消失，邏輯上看就是有可能獲取到想要的數(shù)據(jù)信息的。RSA被APT攻擊利用了FLASH 0DAY竊取了在RSA內(nèi)網(wǎng)嚴(yán)密保護(hù)的SECURID令牌種子，震網(wǎng)利用7個(gè)0DAY和擺渡成功滲透進(jìn)了伊朗核設(shè)施級(jí)的物理隔離網(wǎng)絡(luò)都是活生生的實(shí)例。

基于各種技術(shù)結(jié)合的APT攻擊與以前的攻擊相比有很大區(qū)別，首先，它本身主要還是面向各種終端資產(chǎn)或者人員尋找突破點(diǎn)，當(dāng)一個(gè)組織足夠龐大的時(shí)候，它沒法保證每個(gè)人的個(gè)人終端或者平時(shí)的工作和生活習(xí)慣都足夠安全。其次，它采用了Oday結(jié)合惡意軟件和社會(huì)工程學(xué)等方法來進(jìn)行攻擊的滲透，然后采用透碼繞過相關(guān)安全工具的檢測(cè)，最后通過加密的安全通道獲取到數(shù)據(jù)，并且很好地隱藏了自己的身份、位置和行為。

這一系列的攻擊過程決定了APT攻擊較長(zhǎng)的持續(xù)時(shí)間，它本身具有顯著的多階段逐步滲透的特征。大致可以分為嗅探、入侵、潛伏、撤離幾個(gè)過程，這四個(gè)過程一般情況下是循序漸進(jìn)的，但并不排除少數(shù)針對(duì)性強(qiáng)的攻擊為了實(shí)現(xiàn)其特定目標(biāo)只采取特定的階段或者重復(fù)進(jìn)行幾個(gè)階段。

1.1 嗅探

嗅探是攻擊者采集攻擊目標(biāo)多方面數(shù)據(jù)信息的階段。攻擊者一般使用巧妙多樣的社會(huì)工程學(xué)手段收集大量?jī)?nèi)部人員數(shù)據(jù)、業(yè)務(wù)流程資料、內(nèi)外網(wǎng)絡(luò)環(huán)境等關(guān)鍵信息，并且也會(huì)結(jié)合滲透攻擊的傳統(tǒng)手段搜集目標(biāo)在基礎(chǔ)設(shè)施和防護(hù)手段上可能的漏洞和防護(hù)信息，通過設(shè)備策略、網(wǎng)絡(luò)流量、系統(tǒng)版本、應(yīng)用系統(tǒng)、開放端口、員工信息、管理措施等維度的整理和分析，得出攻擊目標(biāo)可能存在的安全缺陷或者其他隱藏的數(shù)據(jù)信息。

攻擊者在此期間中也需要實(shí)時(shí)地收集各類0day、編寫惡意代碼和程序、選擇合理的攻擊方案等。

1.2 入侵

最終攻擊者的攻擊方法可以說層出不窮，例如定期定時(shí)地翻查目標(biāo)對(duì)象的廢紙簍垃圾箱，冒充可信人員以遠(yuǎn)程協(xié)助的名義在后臺(tái)運(yùn)行惡意程序或者開啟某些安全漏洞，將針對(duì)目標(biāo)的Web或者其他服務(wù)請(qǐng)求重定向到其自己或者第三方的惡意地址，以一定頻率和特定的內(nèi)容發(fā)送垃圾電子郵件打亂IT監(jiān)管的節(jié)奏和措施，修改網(wǎng)站后臺(tái)的鏈接地址等。

雖然攻擊手段千變?nèi)f化但都是為了逐步滲透到目標(biāo)對(duì)象的網(wǎng)絡(luò)環(huán)境中，可能從員工家屬、一般員工先開始，然后逐步滲透。整個(gè)過程嚴(yán)謹(jǐn)準(zhǔn)確，全部是正常業(yè)務(wù)數(shù)據(jù)的形式進(jìn)入從而讓目標(biāo)不會(huì)察覺到。

1.3 潛伏

入侵成功之后，攻擊者一般并不會(huì)急于竊取數(shù)據(jù)信息，而是會(huì)先隱藏自身，除了規(guī)避之前入侵行為與真正竊取信息行為之間的關(guān)聯(lián)性之外，同時(shí)也在尋找進(jìn)一步行動(dòng)的最佳時(shí)機(jī)。

一般在檢測(cè)到內(nèi)部環(huán)境達(dá)到要求且符合自己攻擊目的的時(shí)候，人工的遠(yuǎn)程操作或者嵌入的惡意程序就會(huì)開始執(zhí)行預(yù)先設(shè)計(jì)好的相關(guān)動(dòng)作。根據(jù)攻擊目的的不同，會(huì)選擇通過相對(duì)安全的鏈路或者加密的通道如vpn進(jìn)行數(shù)據(jù)的傳輸，再有可能直接針對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行修改或者破壞，從而達(dá)到最終的攻擊目的。

1.4 撤離

為了保全攻擊者個(gè)人的安全，隱藏真實(shí)的攻擊來源，通常在攻擊達(dá)到目的之后都會(huì)針對(duì)之前在網(wǎng)絡(luò)和數(shù)據(jù)環(huán)境中留下的信息進(jìn)行銷毀，包括日志數(shù)據(jù)、配置參數(shù)、狀態(tài)信息、監(jiān)控?cái)?shù)據(jù)等等。這些數(shù)據(jù)就需要依賴于在嗅探和入侵階段中所獲取到的數(shù)據(jù)作為合理依據(jù)。且不能影響當(dāng)前攻擊目標(biāo)的使用環(huán)境，讓對(duì)方無法在平時(shí)的運(yùn)維監(jiān)管和業(yè)務(wù)使用中察覺出異樣。

2 未知威脅的可行防護(hù)措施

目前來看業(yè)界常規(guī)的安全防御體系有如下幾個(gè)問題：

安全檢測(cè)基于已知的知識(shí)庫和安全規(guī)則；缺乏對(duì)未知威脅的感知能力；安全問題處理能力滯后；缺乏不同模塊的關(guān)聯(lián)分析能力。

對(duì)于自身可控部分的安全措施，需要通過提高安全管理意識(shí)與能力，以及使用通過安全手段進(jìn)行開發(fā)出來的產(chǎn)品及系統(tǒng)。但是在我們絕大多數(shù)的網(wǎng)絡(luò)系統(tǒng)中，普遍存在運(yùn)維人員的自身能力或者使用的業(yè)務(wù)情況已經(jīng)不可控的安全部分。例如，有時(shí)候因?yàn)樽约洪_發(fā)或者管理能力的限制，需要使用第三方提供的產(chǎn)品或者服務(wù)，比如一些操作系統(tǒng)、數(shù)通設(shè)備、駐場(chǎng)的工作人員等。對(duì)于這些我們不可控的安全內(nèi)容，首先，我們要保證此產(chǎn)品、系統(tǒng)或者人員在供應(yīng)鏈上的安全，包括準(zhǔn)入、保證、監(jiān)管、追責(zé)等幾個(gè)部分。同時(shí)通過目前的實(shí)際情況來看，可能提高針對(duì)未知威脅的感知能力會(huì)更加重要。

為了在現(xiàn)有技術(shù)基礎(chǔ)之上讓我們可以在防護(hù)未知威脅的安全攻擊，尤其是APT攻擊的時(shí)候有更好的效果，這里我針對(duì)安全攻擊事件的事前和事中分別提出一些自己的看法。

首先，目前的安全防護(hù)設(shè)備可以說基本都是針對(duì)安全事件已經(jīng)發(fā)生，或者已經(jīng)攻擊結(jié)束之后才能發(fā)現(xiàn)并且針對(duì)攻擊進(jìn)行一些應(yīng)對(duì)措施，整體上非常被動(dòng)。在這點(diǎn)上其實(shí)我們應(yīng)該從源頭上去做一些安全加固，這一點(diǎn)在目前國內(nèi)外的大多數(shù)產(chǎn)品來說是非常欠缺的。

對(duì)一個(gè)系統(tǒng)進(jìn)行安全測(cè)試和安全測(cè)評(píng)，來建立事前安全防御體系的過程，首先要去分析這個(gè)系統(tǒng)所要保護(hù)的資產(chǎn)是什么？它在什么樣的環(huán)境下有什么樣的用戶會(huì)去使用。由此可以初步建立一個(gè)安全質(zhì)量的標(biāo)準(zhǔn)，再進(jìn)一步去分析數(shù)據(jù)之間的關(guān)系，以及它存在的威脅，具體可以分析微觀上面的數(shù)據(jù)權(quán)限之間的關(guān)系，再把可能存在的威脅進(jìn)行漏洞化，分析它可能表現(xiàn)為系統(tǒng)的哪些漏洞形式，并對(duì)這個(gè)系統(tǒng)的安全實(shí)現(xiàn)提出要求。這樣，就可以獲得對(duì)一個(gè)系統(tǒng)安全策略、安全實(shí)現(xiàn)的要求，然后驗(yàn)證它的安全策略、安全功能和安全實(shí)現(xiàn)，最終就可以形成一個(gè)高覆蓋性、完備性的安全測(cè)試過程。

其次，就是針對(duì)安全事件的事中發(fā)現(xiàn)問題。從技術(shù)環(huán)節(jié)上來講，就是漏洞或者攻擊行為的發(fā)現(xiàn)，漏洞從應(yīng)用角度可以分為兩類：內(nèi)存級(jí)的漏洞和基于腳本級(jí)的漏洞?；诼┒吹姆治鲋髁骷夹g(shù)包括0day攻擊檢測(cè)技術(shù)、木馬分析技術(shù)、惡意鏈路分析技術(shù)，以及終端和網(wǎng)絡(luò)邊界協(xié)同的分析技術(shù)等，通過這些技術(shù)的組合，就能有效地利用沙箱檢測(cè)技術(shù)較為準(zhǔn)確地去檢測(cè)各種應(yīng)用上的攻擊技術(shù)?？梢哉f，APT攻擊防御的核心技術(shù)就是建立縱深防御體系，包括0day漏洞觸發(fā)與檢測(cè)、0day木馬對(duì)抗與檢測(cè)、加密鏈路識(shí)別，以及智能事件關(guān)聯(lián)與分析。

針對(duì)0day木馬檢測(cè)的技術(shù)，通行的技術(shù)也是采用沙箱作為分析引擎，其挑戰(zhàn)在于：惡意的攻擊點(diǎn)很難判別和識(shí)別。在這當(dāng)中可以作為0day漏洞補(bǔ)充的一個(gè)技術(shù)來進(jìn)行，通過0day可以判斷對(duì)方的惡意，可以準(zhǔn)確地把他的漏洞行為特征分析出來，可以把他的行為通過智能分析，直接加入到智能學(xué)習(xí)與關(guān)聯(lián)中間去。

而針對(duì)加密數(shù)據(jù)的可信識(shí)別，可以分成兩類：未加密協(xié)議通道和加密協(xié)議通道。未知威脅的APT攻擊這種手法早就存在，未加密協(xié)議通道可以通過異常流量和行為的智能分析來發(fā)現(xiàn)，而加密協(xié)議通道的數(shù)據(jù)更加復(fù)雜一些，因此要增加更多的外部分析，通過外部關(guān)聯(lián)站點(diǎn)的信息分析，來識(shí)別它遠(yuǎn)程連接的可信度，但是這一點(diǎn)實(shí)現(xiàn)上來說非常困難。

對(duì)此，我們可以依托于目前廣泛拓展的大數(shù)據(jù)技術(shù)，配合我們現(xiàn)有的相關(guān)安全防護(hù)模塊協(xié)同進(jìn)行工作。既然，APT的攻擊方式可以使用多樣的技術(shù)手段結(jié)合大數(shù)據(jù)分析的方式加上一定的耐性去進(jìn)行。那我們的安全防護(hù)為什么不能也用這種方式去做呢？很多看似相對(duì)獨(dú)立的安全事件，但是其背后可能是有千絲萬縷的關(guān)聯(lián)性的。而平時(shí)偶爾出現(xiàn)的一些流量特征的異常，網(wǎng)絡(luò)服務(wù)的變化等等可能也蘊(yùn)藏了大量可被挖掘的安全信息。

我們需要做的僅僅是將目前的流量特征、安全事件、審計(jì)日志、數(shù)通設(shè)備、安全設(shè)備、終端信息、人員信息等等相關(guān)聯(lián)的數(shù)據(jù)進(jìn)行一定程度的融合，只要數(shù)據(jù)的量和覆蓋度都足夠，那我們必然可以發(fā)現(xiàn)一些可能的安全隱患或者類似被隱藏在其中的未知威脅安全事件，而這一點(diǎn)不論攻擊者使用什么攻擊手段基本都是無處遁形的。

3 結(jié)語

總之，從未知威脅尤其是APT檢測(cè)體系上應(yīng)該形成一個(gè)縱深且關(guān)聯(lián)分析深入的防御體系。前期是完善地滲透攻擊檢測(cè)技術(shù)針對(duì)多樣的攻擊、0day漏洞和木馬等惡意程序的防護(hù)，然后就是智能的事件及流量特征關(guān)聯(lián)與分析上進(jìn)行識(shí)別。這就是結(jié)合目前現(xiàn)有技術(shù)可以提出的一個(gè)更加完整，且針對(duì)未知威脅的檢測(cè)體系。

[參考文獻(xiàn)]

[1]黃達(dá)理，薛質(zhì).進(jìn)階持續(xù)性滲透攻擊的特征分析研究[J].信息安全與通信保密.2012，33（05）：87-89.