摘要:背景 网络技术的高速发展,出现了各种各样的攻击行为威胁着我们网络安全,而高级持续性威胁(APT)更是对国家和个人造成的重大损失。由于互联网的很多基础设施都是由美国确立的,比如基础协议、路由器、CPU 芯片和操作系统。而相对的,美国的反APT技术也是世界上...
网络技术的高速发展,出现了各种各样的攻击行为威胁着我们网络安全,而高级持续性威胁(APT)更是对国家和个人造成的重大损失。由于互联网的很多基础设施都是由美国确立的,比如基础协议、路由器、CPU 芯片和操作系统。而相对的,美国的反APT技术也是世界上数一数二的。下面由极限科技收集,为你描述美国的APT攻击及防护综述。
APT(Advanced Persistent Threat)——高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式,APT攻击的原理相对于其他攻击形式更为高级和先进,传统的安全产品是没有办法阻挡这些专业未知的攻击。APT 攻击是长期持续性的,攻击者寻找漏洞,构造专门代码,并开发针对受害者特定环境和防御体系的特种木马。这些特定代码都是防护者或防护体系所不知道的未知威胁。
- 攻击对象和目的
从全球范围内的APT攻击事件监控与研究情况来看,绝大多数的APT攻击是以窃取机密信息为主要目的的,而具有显著破坏性的APT攻击并不多见。但2015年末至2016年以来,在世界范围内却先后发生了数起引起全球关注的,具有显著破坏性的APT攻击事件。其中尤以针对工业系统的破坏性攻击最为引人关注,还有针对金融系统的犯罪也不断增加。
- 攻击特点及技术
顾名思义,APT 攻击的最显著的三个特点即是:高级性、持续性、威胁性。首先,APT 60的发起者往往是一个组织,甚至是一个国家,采用未知或很少见的程序设计语言、编写方式 复杂、伪造证书以及更强的隐匿和变形能力[7]等,很难被安全软件检测到。所谓持续性,则 指的是长期的潜伏和准备、充分的试验,以及持续的攻击,一般的 APT 攻击的潜伏期都是数月到数年甚至是数十年之久。而且,攻击者通常是一个有严密组织和充足资金支持的团队, 这是一种在具体目标指导下的人为威胁,相比传统的网络恶意程序对随机目标发起的自动攻击具有更大的威胁性。
另外,APT 攻击还具有许多其它的特点,攻击技术的隐蔽性,攻击隐蔽的合法性,攻击目标的针对性,特征识别的滞后性等。APT 攻击的这些特性无疑给当前的检测与防护技 术带来了巨大的挑战。
由于APT攻击的对象和目的存在差异,所采用的技术和方法也存在较大的不同。目前,APT攻击常用技术包括:水坑攻击、鱼叉式钓鱼攻击、SQL注入攻击、0Day漏洞利用、供应链攻击、屏幕记录、加密通信、声波通信、清除痕迹等。APT攻击的过程一般可划分为4个阶段,包括搜索阶段、入侵阶段、渗透阶段、收获阶段,分别实施信息收集、单点突破、代码注入及远程控制、窃密和破坏等行动。
- APT攻击过程
典型的 APT 攻击如图 1所示,在入侵之前 APT 攻击者首先使网络用技术和社会工程学手段进行侦查,寻找特定目标。一旦确定目标,通常采用类似网络“钓鱼”的方式,利用 即时通信软件、邮件、社交工具等对特定目标网络进行渗透。诱骗用户点击精心设计的恶 意链接或代码来合法获得网络访问权限,通过内部网络获得更多更高级的访问权限。通过长 期的潜伏,在网络内部进行横向渗透,获取目标用户的有用信息。一旦得到攻击者想得到的信息后,便利用建立的隐蔽通信通道将信息进行外传,最后销声匿迹。
图 1 APT 攻击流程
- 被动防御方法介绍
传统的被动防御方法,主流的包括病毒检测软件、防火墙、入侵检测技术、信息加密技术等。病毒防护软件是一种专门针对已知或未知的病毒感染企业信息系统或个人电脑而设计。无法检测到未知的新病毒及以变种病毒,无法抵抗 APT 这种专门设计的病毒程序。
防火墙主要是通过在不同网络安全域的中间捕获通信信息,监视进出网络的相关数据及程序,通过一定的策略限制,组织不合法的数据进入。只检测包的控制信息可能发现不了隐 藏在数据区的恶意代码,APT攻击可以通过伪装,绕过防火墙的检测,进入目标系统。
入侵检测系统是根据入侵行为与正常用户访问行为的差别来识别的一旦识别出入侵行 为,立即实施安全控制并报警。入侵检测是一种被动的防御手段,很容易产生漏检以及误检 的弊端,因此需要配合上主动防御机制,才能更大的发挥它的优势。 信息加密只能保证数据不会被攻击者轻易分析出有用的信息。但随着信息技术发展,计算机速度的提高,分布式计算的愈演愈烈,想破解也并非不可能的事情,即便他们在短期内无法破解密文,但是他们仍然可以对数据进行恶意修改、重放,在这样的情况下,加密技术 就无能为力了。
可以看出,传统的被动防御方法主要采用静态策略,都能在一定程度上发现或阻止攻击。 但是,面对深层伪装,长期潜伏,攻击方式多样的APT攻击就显得有些力不从心。因此,如何变被动防御为主动防御方式是网络信息安全研究的重点。
- 主动防御方法介绍
主动防御是基于程序行为自主分析判断的实时防护技术,告别传统的以病毒特征作为判 断入侵依据,有效的解决了传统防御方法无法处理未知病毒的弊端。
诱骗技术是近年来网络安全中的一个新的研究热点,是主动防御体系中的最常用的一种 技术。诱骗技术位于内部网内,模拟内部网的日常活动,构建攻击者感兴趣的环境,把入 侵者的火力吸引到自己身上,通过分析入侵者的行为,挖掘攻击者的行为模式。既能够消耗了攻击者的资源,又保护了其他的主机信息。
目前在对抗APT攻击的各种方法中,使用了诱骗机制的,主要是沙箱技术和蜜罐技术。 沙箱的诱骗思想在于使用访问控制技术,将不可信模块与实际操作系统隔离,保证操作系统 的鲁棒性。用于应对未知威胁时,将未知威胁的载体强制转移到沙箱环境中,通过对可 疑目标在沙箱环境中行为的监控,观察该目标是否做出了危险动作,以此来确定其是否具备 威胁。然而在应对APT攻击时,随着攻防双方技术手段的博弈升级,具有针对性的APT攻击 载体——木马、病毒等,可以通过多种方式回避沙箱检测。
蜜罐技术是通过设置诱饵性质的主机、网络服务或者敏感信息,诱使攻击方对它们采取攻击行为。通过对这些攻击行为的捕获,进而采取针对性的防御措施。然而在APT的攻防对抗中,攻击者如果有足够的耐心,在一些预设的技术手段和人工干预下,设置的蜜罐往往很容易就被发觉。究其原因,还是因为蜜罐环境无法解决仿真度与可控性之间的矛盾。
- 美国的APT技术
在 APT 攻击技术现状上,美国一支独秀,其他国家力量均衡。这所以形成这样的格局,是因为互联网的很多基础设施都是由美国确立的,比如基础协议、路由器、CPU 芯片和操作系统。而相对的,美国的反APT技术也是世界上数一数二的。这由美国相关政策有莫大关系。
CNCI
2008年1月,美国总统布什签署了命令,推出了《美国国家网络安全综合计划》(CNCI)。从已经部分解密的文件显示,发展网络空间态势感知是该计划的首要目标,它要求通过在联邦政府内部创建和增强对网络漏洞、威胁和事件共享态势感知能力和减少当前漏洞及防止入侵的快速反应能力,进而建立一道防线以抵御当前面临的威胁。该计划共包括12项重要倡议,其中多项提案涉及态势感知,第五项提议更是明确要求“连接现有的网络运行中心,以增强对网络安全态势的感知能力”。随后,美国对该计划进行了巨大的投入。据2011年财年预算报告中透露,美国政府在下一财年提出的预算请求为36亿美元。
爱因斯坦
与此同时,美国在整个联邦政府范围内大力推进“爱因斯坦”安全项目实施。到2010年,该系统已被部署到19家美国主要政府机构中的15个,其中包括美国国土安全部、司法部、交通部、国务院、财政部和教育部、美国联邦贸易委员会、美国证券交易委员会等部门。美国政府期望通过“爱因斯坦”计划的实施,首先是能够保护美国国内重要的网络信息资产,同时,还能感知监控他国互联网应用,使其成为主动防御甚至反制工具,最终成为美国国家安全战略体系中的重要组成部分。
X计划
当前,美国正推进的“x计划”引人关注。X计划将会在关键领域发挥作用,可能形成今后美军网络战系统的主要框架。建立“网络地图”是x计划的核心,通过信息收集、建立模型及可视化,实时反映世界各地电脑的位置及其连接方式,比如直接连接、桥接、节点连接等。X计划的实施,将使美军在网络空间战场中的态势感知能力和作战能力得到极大提高,无论其面对的是高级持续性威胁(APT)还是网络犯罪分子,战场都将变得单向透明。
除了以上美国推出的政策外,美国总统特朗普就任时间不长,但对网络安全问题也给予了较大关注。5月12日,特朗普签署了搁置已久的网络安全行政令并表示:政府将开始在整个美国政府机构范围内管理网络风险,让联邦机构各自负责保护自身网络,并将实现联邦IT现代化作为加强计算机安全的核心。
分析近年来美国颁布的有关网络安全的重要文件,以及特朗普的相关表态,美国网络空间安全战略在以下几个方面的调整值得关注。
(二)加大公众网络安全意识的培育力度
近年,美国网络安全事件频发。“大选中的邮件门事件”“大规模互联网瘫痪事件”等给美国政治、经济、社会安全带来严重影响。其中不少事件的起因源于网络使用者不良的上网习惯和网络安全意识的淡漠。2016年2月,奥巴马政府发布的《网络安全国家行动计划》指出,美国公民在网络上的隐私和安全,与国家安全和经济状况紧密相关,甚至由总统“呼吁当登录在线账户时,不要仅仅使用密码,要利用多重身份验证”。
同年12月,美国国家网络安全促进委员会在对美国网络安全状况进行全面评估的基础上,发布了《加强国家网络安全——促进数字经济的安全与发展》报告。该报告提出的九大网络挑战中,有两项涉及网络安全意识问题,即在强大市场压力下,科技公司忙于快速创新及上市,网络安全常常被忽略;大部分企业以及个人仍未遵循网络安全保障的基本要求,未采取基本的防护措施。上述政策报告虽然被认为是奥巴马政府的“政治遗产”,但反映了美国精英阶层对网络威胁的判断。其具体举措特朗普政府未必采纳,但从客观需要和长远发展看,加强公众网络安全意识与教育是维护国家网络安全的重要方面。
(三)突显军队维护网络安全的特殊作用
美军认为,网络战不仅打在战时,更打在平时;不仅打在军用网络,更打在民用互联网。近年来,美军在网络空间频频发力,不断走向前台。2015年,美军推出第二份“网络空间战略”。与上版战略相比,该战略的主动性、进攻性明显增强。
(四)积极抢占网络空间国际规则制定权
2010年以来,国际社会在运用国际法规范网络空间秩序方面逐步形成共识。2012年9月,美国国务院法律顾问高洪柱在网络空间司令部发表关于“网络空间的国际法”的演讲,强调武装冲突法在网络空间适用的必要性和重要性,并就适用原则进行了具体阐释。2013年,北约网络防御合作卓越中心推出“塔林手册1.0版”,主要对武装冲突法适用于网络空间进行了具体解释和讨论。2015年,美国国防部进一步推出“美国国防部《战争法手册》网络作战篇”。
(五)打造以自我为核心的国际网络联盟
美国认为,长期单独主导网络空间是不现实的。因此,美国政府非常重视与盟友合作共同应对网络威胁。一方面,可借助盟友在技术和情报方面的一些优势,增强应对威胁的能力;另一方面,联盟本身就是一种威慑,攻击联盟中的任何一个国家,就意味着攻击了整个联盟,这对对手有很强的慑止作用。美国主要通过共享信息、能力构建、联合训练等方式加强与盟友的合作。近年,美国与北约展开紧密合作,修订了北约网络政策和相关行动计划。澳大利亚、加拿大、新西兰、英国已经参加到美国的网络作战模拟演练中。
除了与北约盟友的合作,近年来美国还不断拓展合作对象。2015年,在美国防部颁布的“网络空间战略”中,美军将中东、亚太作为推进伙伴能力建设的重要地区。2016年8月,美国与新加坡签署网络安全合作协议。此外,美国国防部还通过深化与日本、韩国的同盟关系,提升网络能力,阻止在网络空间针对美国的攻击行为。 未来,构建不同层次的网络盟友和伙伴圈,将是美国网络安全战略的重要发展方向。
美国在APT检测和防御技术上具备一定的先进性,具备及时识别发现部分APT攻击的能力,并配合攻击取证了解完整的攻击过程与手段,而其他国家在这方面相对落后,发现时大都是攻击后期阶段,只能进行处置而很难分析溯源整个攻击过程与手段。
公司 | 介绍 |
FireEye | 提供用于应对高级网络威胁的自动威胁取证及动态恶意软件防护服务,如高级持续性威胁(APT)和鱼叉式网络钓鱼(Spear phishing)。 |
Lastline | 为企业提供高持续性威胁、定向攻击和零日威胁的实时防护 |
MITRE | 是一个向美国政府提供系统工程、研究开发和信息技术支持的非营利性组织 |
Acalvio | 安全公司 |
国外当前APT主流防御思路,首先需要知道是美国关键基础设施信息安全防护体系框架,其指出一个信息系统必须具备五大能力,对资产和风险的识别能力、基础的保护能力、威胁的检测能力、事件的响应能力以及对破坏的恢复能力。在这一思想体系指导下,整体防护方案做得最成功的、效果也是最好的是美国FireEye公司。
据统计全美90%以上的500强企业都在使用该公司的产品,从其技术白皮书中举例的数据来看也确实效果非常显著,60天也就是2个月分析6个互联网出口,共发现172个恶意对象和126个浏览器攻击利用、64个攻击利用和103次C&C回连,而且发现的这些攻击都是绕开了传统防护的攻击。该公司市值最高时曾达132亿美金,其产品和服务号称是禁止在中国商业应用的。
FireEye到底为什么能这么强大?它最基础的核心技术就是行为模型分析,通过部署Web防护、文件防护、邮件防护和集中管控平台,抓取Web、邮件、文件三种对象数据放到虚拟化环境动态执行,通过执行效果来进行行为判断。这就好比把一个未知生物体注射到小白鼠体内进行培育和观察,然后通过小白鼠的身体反应来判断是否是细菌。这里虚拟化环境就是用于观察可疑对象的小白鼠。然后通过近几年的发展,特别是收购了几家安全公司之后,FireEye已经成功布局了APT防护产品、威胁情报、服务与支持三大体系。其中前面两大体系是通过在终端、网络、云端部署系列化的安全产品来支撑的。而安全服务这块则是人为基础,提供FireEye-as-a-Service这样一种服务,能够7×24小时在云端为部署了FireEye产品的用户不间断挖掘潜在的安全威胁,与攻击者实时的、近距离的进行快速的安全对抗。
其最为关键的威胁情报能力在2014年初收购Mandiant公司后得到实质性加强。2016年1月,FireEye斥资 2亿美元收购iSight Partners,进一步加强了公司威胁情报服务能力。一系列战略并购行动预示着FireEye正在向威胁情报服务厂商转变。
FireEye业务正在从产品向服务转型,其服务在FireEye营收中占比已超过50%。2013年,FireEye在美国纽交所上市。2015年FireEye营收为6.23亿美元,较之2014年的4.257亿美元增长了46%。但该公司于2015年亏损5.392亿美元。 FireEye的产品体系布局,及其向服务转型,展示出超前的战略眼光和良好的执行效果。我相信,在黑客攻击手段层出不穷的时代里,FireEye必能走出一条属于自己的道路。
当前,我国还缺乏对网络空间整体感知能力,无法及时探测深层次的安全威胁,无法快速发现攻击,部门间缺乏信心共享和协同行动的能力,无法实施应急响应和威慑反制措施,缺乏保底和应急手段。
APT攻击一般具有针对性强、隐蔽性高、代码复杂度高等特点,这也是很多APT攻击能够持续数年而不被发现的主要原因。针对APT攻击,传统的安全手段往往应对乏力,我们需要革新传统的安全理念和防护手段,建立全新的技术体系以应对APT带来的挑战。
2015-2016年以来,数据驱动的安全协同已经成为安全产业在应对APT攻击方面的技术共识。从技术角度看,针对高级威胁的发现,还需要将多维度检测技术、大数据分析技术和威胁情报技术结合起来。
这里要特别对多维度检测技术加以说明。多维度检测技术是APT检测与防御的基础,相关数据主要来自于各种品类的传统安全防护产品。也就是说,各种传统的安全防护技术与防护产品在APT攻击的检测与防御中仍将发挥基础性的重要作用,但其核心作用已经从单纯的系统防御,升级为探测攻击信息的主要情报来源。将不同维度的安全检测结果汇聚到大数据中心进行综合关联分析,就可以实现一加一大于2的效果。
从实践角度看,数据驱动的,协同联动的纵深防御体系,大致可以概括如下:
安全威胁的处置
高级威胁判定完成后,还需要进一步联动网关处的NDR(Network Detection & Response,网络检测与响应)及终端处的EDR(Endpoint Detection & Response,终端检测与响应)系统进行快速协同联动处置。
参考文献:
黄俊,李德华,毛传武 《针对 APT 攻击的动态防御方法研究》 2016
《为维护网络安全,美国作了哪些战略调整》
《国际间的APT攻击到底有多可怕?》
END
深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。