李祝紅+杜炳+趙燦明+馮紹興

摘要：針對(duì)于電力信息網(wǎng)絡(luò)日益猖獗的攻擊行為，利用目前企業(yè)中已有的安全防護(hù)設(shè)備，結(jié)合國內(nèi)外針對(duì)APT攻擊的安全研究技術(shù)，構(gòu)建一套新型縱深防御體系模型，形成安全威脅防護(hù)閉環(huán)。

關(guān)鍵詞：縱深防御；APT；大數(shù)據(jù)；威脅分析；威脅檢測(cè)

中圖分類號(hào)：TP393.08 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1007-9416（2017）07-0192-02

1 電力信息安全新威脅

隨著信息安全[1]環(huán)境的惡化和安全威脅的日益嚴(yán)峻，攻擊者的目標(biāo)方式和攻擊心理都正在發(fā)生快速變化。攻擊者的動(dòng)機(jī)已不僅僅在于炫耀技術(shù)，已從自我滿足，無利益訴求轉(zhuǎn)向團(tuán)隊(duì)化作戰(zhàn)、獲取商業(yè)、政治利益為目的的攻擊方式，受政治、經(jīng)濟(jì)等多方面影響更具有功利性，攻擊者形成利益群體，分工明確，目的性強(qiáng)，伴隨著地下黑色產(chǎn)業(yè)鏈的利益效應(yīng)，攻擊者群體更為明確、專注的攻擊目標(biāo)，且行為更為隱藏，持續(xù)性時(shí)間可長達(dá)數(shù)年。此外，云計(jì)算、虛擬化、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新技術(shù)在電力行業(yè)迅速應(yīng)用，也不可避免的引入新的安全問題并對(duì)當(dāng)前的信息安全防護(hù)能力[2]提出新的挑戰(zhàn)。

近些年來針對(duì)電力工控系統(tǒng)的攻擊事件日益頻繁，如席卷全球工業(yè)界的震網(wǎng)（Stuxnet）病毒攻擊使得伊朗核工業(yè)基礎(chǔ)設(shè)施遭到重創(chuàng)；代號(hào)夜龍（Night Dragon）的APT攻擊使得5家跨國能源公司遭到攻擊，超過千兆字節(jié)的敏感文件被竊，包括油氣田操作的機(jī)密信息、項(xiàng)目融資與投標(biāo)文件等；blackenergy APT攻擊使得烏克蘭多家電廠設(shè)施被感染，造成大面積停電，整個(gè)城市陷入恐慌，損失慘重。這一系列的安全事件，凸顯了網(wǎng)絡(luò)新型攻擊的高威脅性，這里總結(jié)了新型網(wǎng)絡(luò)攻擊與企業(yè)防護(hù)能力[3]的關(guān)系。

2 新型縱深防御體系

2.1 安全需求

電力信息網(wǎng)絡(luò)系統(tǒng)具有復(fù)雜性、開放性、動(dòng)態(tài)性等特點(diǎn)，這些特點(diǎn)使其具有天生的脆弱性，如拒絕服務(wù)攻擊、網(wǎng)絡(luò)掃描、網(wǎng)絡(luò)欺騙、病毒木馬、信息泄露等，讓安全事件的層出不窮，既有來自外部的惡意入侵，又有來自內(nèi)部的權(quán)限濫用，來自內(nèi)、外部的安全風(fēng)險(xiǎn)給信息安全工作帶來了不小的壓力與挑戰(zhàn)。面對(duì)嚴(yán)峻的信息安全形勢(shì)和復(fù)雜的信息安全挑戰(zhàn)，結(jié)合新型網(wǎng)絡(luò)攻擊的不斷演進(jìn)，加上電力行業(yè)信息安全發(fā)展需要，新型電力系統(tǒng)縱深防御體系必須是從簽名式到行為分析，從單產(chǎn)品到多產(chǎn)品組合聯(lián)動(dòng)，有效應(yīng)對(duì)高級(jí)威脅和未知風(fēng)險(xiǎn)的防護(hù)體系。

2.2 APT攻擊防御方案

在之前的部分，討論了當(dāng)前的攻擊者類型，及由此而來的新一代威脅；同時(shí)由于傳統(tǒng)的安全技術(shù)很難應(yīng)這種新型的威脅，因此進(jìn)一步討論了需要怎樣的技術(shù)來應(yīng)對(duì)。在這一章希望提供一些具體方案層面的建議。

正是因?yàn)閭鹘y(tǒng)安全防御機(jī)制在APT攻擊下缺乏必要的監(jiān)測(cè)能力，因此近年來有大量的建立較完善傳統(tǒng)防御機(jī)制的企業(yè)被APT攻擊者成功得手，針對(duì)APT攻擊，國內(nèi)外安全界一直保持持續(xù)關(guān)注和研究，并提出了多種不同的檢測(cè)或預(yù)防技術(shù)，本文提出的威脅分析系統(tǒng)就是其中核心技術(shù)之一。

威脅分析系統(tǒng)可有效檢測(cè)通過網(wǎng)頁、電子郵件或其他的在線文件共享方式進(jìn)入網(wǎng)絡(luò)的已知和未知的惡意軟件，發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護(hù)客戶網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險(xiǎn)，如敏感信息泄露、基礎(chǔ)設(shè)施破壞等。

系統(tǒng)共三個(gè)核心檢測(cè)組件：病毒檢測(cè)引擎、靜態(tài)檢測(cè)引擎（包含漏洞檢測(cè)及shellcode檢測(cè)）和動(dòng)態(tài)沙箱檢測(cè)引擎，通過多種檢測(cè)技術(shù)的并行檢測(cè)，在檢測(cè)已知威脅的同時(shí)，可以有效檢測(cè)0day攻擊和未知攻擊，進(jìn)而能夠有效地監(jiān)測(cè)高級(jí)可持續(xù)威脅，其主要功能如下：

2.2.1 動(dòng)態(tài)沙箱檢測(cè)（虛擬執(zhí)行檢測(cè)）

動(dòng)態(tài)沙箱檢測(cè)，也稱虛擬執(zhí)行檢測(cè)，它通過虛擬機(jī)技術(shù)建立多個(gè)不同的應(yīng)用環(huán)境，觀察程序在其中的行為，來判斷是否存在攻擊。這種方式可以檢測(cè)已知和未知威脅，并且因?yàn)榉治龅氖钦鎸?shí)應(yīng)用環(huán)境下的真實(shí)行為，因此可以做到極低的誤報(bào)率，而較高的檢測(cè)率。如圖1所示。

2.2.2 集成多種已知威脅檢測(cè)技術(shù)：AV、基于漏洞的靜態(tài)檢測(cè)

靜態(tài)漏洞檢測(cè)模塊，不同與基于攻擊特征的檢測(cè)技術(shù)，它關(guān)注與攻擊威脅中造成溢出等漏洞利用的特征，雖然需要基于已知的漏洞信息，但是檢測(cè)精度高，并且針對(duì)利用同一漏洞的不同惡意軟件，可以使用一個(gè)檢測(cè)規(guī)則做到完整的覆蓋，也就是說不但可以針對(duì)已知漏洞和惡意軟件，對(duì)部分的未知惡意軟件也有較好的檢測(cè)效果。

2.3 防御體系構(gòu)成組件

本文提出的新型縱深防御體系，包含未知威脅檢測(cè)模塊、威脅防護(hù)模塊、大數(shù)據(jù)安全分析模塊、綜合安全管理平臺(tái)。通過模塊間的關(guān)聯(lián)動(dòng)作，檢測(cè)和防御進(jìn)入企業(yè)的全部威脅，對(duì)網(wǎng)絡(luò)、郵件、終端等傳統(tǒng)安全威脅進(jìn)行檢測(cè)防御，也對(duì)APT高級(jí)威脅進(jìn)行檢測(cè)防御。

2.3.1 未知威脅檢測(cè)模塊

威脅分析系統(tǒng)作為該防御體系的未知威脅檢測(cè)模塊，是核心模塊。首先威脅分析系統(tǒng)對(duì)網(wǎng)絡(luò)流量進(jìn)行文件還原，對(duì)惡意軟件進(jìn)行識(shí)別；另外通過開放API接口，威脅分析系統(tǒng)還對(duì)郵件網(wǎng)關(guān)和終端的可疑文件進(jìn)行檢測(cè)，并把檢測(cè)的結(jié)果進(jìn)行反饋，實(shí)現(xiàn)對(duì)威脅的阻斷關(guān)聯(lián)。

2.3.2 威脅防護(hù)模塊

企業(yè)網(wǎng)絡(luò)中已部署的入侵防護(hù)系統(tǒng)、安全網(wǎng)關(guān)系統(tǒng)，是該防御體系的防護(hù)模塊。這些產(chǎn)品既發(fā)揮傳統(tǒng)安全產(chǎn)品的功能，又能與威脅分析系統(tǒng)關(guān)聯(lián)協(xié)同，組成安全防護(hù)體系。在該防御體系中，提交傳統(tǒng)防護(hù)模塊不能識(shí)別的可疑文件，有威脅分析系統(tǒng)進(jìn)行分析，并根據(jù)分析結(jié)果進(jìn)行阻斷。

2.3.3 大數(shù)據(jù)安全分析模塊

通過收集未知威脅檢測(cè)模塊和威脅防護(hù)模塊的告警信息，綜合網(wǎng)絡(luò)和主機(jī)的日志，進(jìn)行數(shù)據(jù)索引和分析，抽絲剝繭，進(jìn)行攻擊的蛛絲馬跡的洞察。

2.3.4 安全管理平臺(tái)

安全管理平臺(tái)負(fù)責(zé)管理各個(gè)模塊，下發(fā)檢測(cè)和防護(hù)策略，采集設(shè)備的狀態(tài)信息存儲(chǔ)告警日志，進(jìn)行報(bào)表呈現(xiàn)等。

3 新型縱深防御體系的構(gòu)建措施（如圖2所示）

面對(duì)網(wǎng)絡(luò)高級(jí)威脅時(shí)建立的一個(gè)簡易安全防御體系模型，以此類推針對(duì)郵件高級(jí)威脅和終端高級(jí)威脅所構(gòu)建的防御體系模型與此類似，以上這些場(chǎng)景核心都是威脅分析系統(tǒng)加上一種專業(yè)安全防護(hù)系統(tǒng)的組合方案。還可以根據(jù)實(shí)際的業(yè)務(wù)需求，防護(hù)系統(tǒng)進(jìn)行組合，比如網(wǎng)絡(luò)和郵件，郵件和終端等。根據(jù)防護(hù)通道的側(cè)重來選擇和組合不同的部署場(chǎng)景。

通過此縱深防御體系，可有效檢測(cè)和防御APT威脅，幫助企業(yè)建立安全防護(hù)的金鐘罩。

4 結(jié)語

本文提出的新型縱深防御體系，從網(wǎng)絡(luò)邊界到內(nèi)網(wǎng)終端，既能防御傳統(tǒng)安全威脅，還特別針對(duì)APT攻擊進(jìn)行檢測(cè)和防御，形成預(yù)警、檢測(cè)、防護(hù)、清除的安全威脅防護(hù)閉環(huán)。

新一代威脅以及 APT 攻擊在近年逐漸被政府及企業(yè)重視起，從時(shí)間上看來，攻擊者在多年以前就開始使用新一代的手段和技術(shù)，但是到現(xiàn)今才被市場(chǎng)真正的重視，這似乎預(yù)示著防御總是會(huì)落后于攻擊。但是市場(chǎng)并沒有一致的認(rèn)識(shí)，怎樣的方案是適合的，本文中提出的新型縱深防御體系模型希望能給大家一些啟發(fā)，幫助找到滿足業(yè)務(wù)需要的解決案。

參考文獻(xiàn)

[1]國家發(fā)展改革委員會(huì).發(fā)改委14號(hào)令 電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定[S].2014.

[2]張曉兵.下一代網(wǎng)絡(luò)安全解決方案[J].電信工程技術(shù)與標(biāo)準(zhǔn)化，2014，27（6）：59-61.

[3]張擁軍，唐俊.基于云模型的網(wǎng)絡(luò)安全態(tài)勢(shì)分析與評(píng)估[J].計(jì)算機(jī)工程與科學(xué)，2014，36（1）：63-67.endprint