1 新型威脅的應(yīng)對(duì)之策

1.1 總體思路

2011年7月13日～14日，RSA與TechAmerica舉辦一次針對(duì)APT的閉門峰會(huì)。有大約100位CISO，CIO和CEO參加，涵蓋政府、金融、制造、醫(yī)藥、技術(shù)、服務(wù)業(yè)等多個(gè)領(lǐng)域。在峰會(huì)上，與會(huì)專家總結(jié)了應(yīng)對(duì)APT的10條共識(shí)：

1) 攻擊手段已經(jīng)從技術(shù)延伸到人。社會(huì)工程學(xué)是第一位的威脅向量。人成為了新的網(wǎng)絡(luò)邊界，只要給定恰當(dāng)?shù)纳舷挛?，任何人都可能成為釣魚受害者。而傳統(tǒng)的對(duì)人員進(jìn)行安全意識(shí)培訓(xùn)的方法也不足以應(yīng)付釣魚攻擊。

2) 組織必須學(xué)會(huì)在已經(jīng)遭受攻擊的情況下生存。阻止攻擊者進(jìn)來是不現(xiàn)實(shí)的，更現(xiàn)實(shí)的做法是規(guī)劃好在攻擊者已經(jīng)進(jìn)來后應(yīng)該采取什么響應(yīng)動(dòng)作。組織應(yīng)該將重點(diǎn)放在如何盡快關(guān)閉遭受破壞的時(shí)間窗口，降低損失上，例如隔離系統(tǒng)、阻止敏感信息外泄，以及回到諸如“最小特權(quán)”、“縱深防御”這些核心的IT安全原則上來。防御的關(guān)鍵在于找到本組織中最核心最的、最需要受到保護(hù)的資產(chǎn)，清楚地知道這些資產(chǎn)在哪兒，誰對(duì)他進(jìn)行了訪問，在出現(xiàn)攻擊的時(shí)候如何將資產(chǎn)隔離(鎖定);

3) 要提前監(jiān)測(cè)出威脅必須依靠態(tài)勢(shì)感知，尤其是需要更大范圍的態(tài)勢(shì)感知，不能只關(guān)注于自身網(wǎng)絡(luò)中的態(tài)勢(shì)，而要關(guān)注與自身網(wǎng)絡(luò)相關(guān)的整個(gè)生態(tài)系統(tǒng)的態(tài)勢(shì)。企業(yè)間合作共享十分重要。

4) 利用供應(yīng)鏈發(fā)起攻擊的情況正在抬頭，供應(yīng)鏈正在成為安全防御中的最薄弱環(huán)節(jié)，攻擊者正在通過研究和收集可信供應(yīng)商的弱點(diǎn)來發(fā)起攻擊。而對(duì)供應(yīng)商的安全檢測(cè)是一個(gè)巨大的挑戰(zhàn)。可以借助一些方法，例如信譽(yù)評(píng)級(jí)、第三方審計(jì)、外部監(jiān)測(cè)等。

5) 突發(fā)事件響應(yīng)應(yīng)該是整個(gè)組織的事情，而非純安全的事，并且要事先就制定好應(yīng)對(duì)APT的突發(fā)事件響應(yīng)程序/計(jì)劃，并做好演練。

6) 定制化——作為APT的一個(gè)重要特點(diǎn)——是對(duì)傳統(tǒng)的基于簽名(特征)的檢測(cè)方法的重大挑戰(zhàn)。定制化即意味著攻擊的目的性極強(qiáng)，并且利用0day包裝出一個(gè)攻擊的速度極快，而研究出這個(gè)漏洞的簽名(特征)則慢得多。

7) 目前攻擊方在實(shí)時(shí)情報(bào)共享方面做的比防御者更好。防御者在情報(bào)共享方面存在諸多障礙。而快速有效的情報(bào)共享是目前的第一要?jiǎng)?wù)。

8) 組織必須積極主動(dòng)地去盡早發(fā)現(xiàn)攻擊，并用各種方式破壞攻擊鏈條(路徑)。

9) 現(xiàn)在公開出來的APT攻擊僅僅是冰山一角。同時(shí)，除了關(guān)注數(shù)據(jù)竊取，還要關(guān)注其他目的的APT攻擊，例如poisoning, disruption，embarrassment 。

10) 簡(jiǎn)單的安全才是更好的安全。我們要簡(jiǎn)化我們的技術(shù)環(huán)境(IT基礎(chǔ)架構(gòu))，只有更好的理解資產(chǎn)、流程和端點(diǎn)(終端)才有機(jī)會(huì)進(jìn)行真正的防御。使用最小的技術(shù)去達(dá)成一個(gè)目標(biāo)。

2012年8月，RSA發(fā)布了著名的報(bào)告——《當(dāng)APT成為主流》。報(bào)告提及了現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷，導(dǎo)致很難識(shí)別APT攻擊?，F(xiàn)有的防護(hù)體系包括FW，AV，IDS/IPS，SIEM/SOC，以及CERT和組織結(jié)構(gòu)，工作流程等等。都存在不足。報(bào)告指出，應(yīng)對(duì)APT需要采取一種與以往不同的信息安全策略，這種策略被稱作“高級(jí)方法”。他與傳統(tǒng)的方法相比，更加注重對(duì)核心資產(chǎn)的保護(hù)、技術(shù)手段上更加注重檢測(cè)技術(shù)、以數(shù)據(jù)為中心、分析日志更多是為了檢測(cè)威脅、注重攻擊模式的發(fā)現(xiàn)和描述、從情報(bào)分析的高度來分析威脅。

《當(dāng)APT成為主流》提出了7條建議：

1) 進(jìn)行高級(jí)情報(bào)收集與分析 – 讓情報(bào)成為戰(zhàn)略的基石。

2) 建立智能監(jiān)測(cè)機(jī)制 – 知道要尋找什么，并建立信息安全與網(wǎng)絡(luò)監(jiān)控機(jī)制，以尋找所要尋找之物。

3) 重新分配訪問控制權(quán) – 控制特權(quán)用戶的訪問。

4) 認(rèn)真開展有實(shí)效的用戶培訓(xùn) – 培訓(xùn)用戶以識(shí)別社會(huì)工程攻擊，并迫使用戶承擔(dān)保證企業(yè)信息安全的個(gè)人責(zé)任。

5) 管理高管預(yù)期 – 確保最高管理層認(rèn)識(shí)到，抗擊高級(jí)持續(xù)性攻擊的本質(zhì)是與數(shù)字軍備競(jìng)賽戰(zhàn)斗。

6) 重新設(shè)計(jì)IT架構(gòu) – 從扁平式網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榉指羰骄W(wǎng)絡(luò)，使攻擊者難以在網(wǎng)絡(luò)中四處游蕩，從而難以發(fā)現(xiàn)最寶貴的信息。

7) 參與情報(bào)交換 – 分享信息安全威脅情報(bào)，利用其他企業(yè)積累的知識(shí)。

Verizon發(fā)布的《2013年數(shù)據(jù)破壞調(diào)查報(bào)告》中則更加簡(jiǎn)明扼要的概括了應(yīng)對(duì)APT的最高原則——知己、更要知彼，強(qiáng)調(diào)真正的主動(dòng)安全是料敵先機(jī)，核心就是對(duì)安全威脅情報(bào)的分析與分享。

1.2 技術(shù)手段分析

從具體的技術(shù)層面來說，為了應(yīng)對(duì)APT攻擊，新的技術(shù)也是層出不窮。

從監(jiān)測(cè)和檢測(cè)的角度，為了識(shí)別APT，可以從APT攻擊的各個(gè)環(huán)節(jié)進(jìn)行突破，任一環(huán)節(jié)能夠識(shí)別即可斷開整個(gè)鏈條。

根據(jù)APT攻擊過程，我們可以從防范釣魚攻擊、識(shí)別郵件中的惡意代碼、識(shí)別主機(jī)上的惡意代碼、識(shí)別僵尸網(wǎng)絡(luò)(C&C)通訊、監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)入手。

而不論從哪個(gè)環(huán)節(jié)入手，都主要涉及以下幾類新型技術(shù)手段：

1.2.1 基于沙箱的惡意代碼檢測(cè)技術(shù)

要檢測(cè)惡意代碼，最具挑戰(zhàn)性的就是利用0day漏洞的惡意代碼。因?yàn)槭?day，就意味著沒有特征，傳統(tǒng)的惡意代碼檢測(cè)技術(shù)就此失效。沙箱技術(shù)通俗的講就是構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在這個(gè)模擬環(huán)境中運(yùn)行起來，通過可疑文件觸發(fā)的外在行為來判定是否是惡意代碼。

沙箱技術(shù)的模擬環(huán)境可以是真實(shí)的模擬環(huán)境，也可以是一個(gè)虛擬的模擬環(huán)境。而虛擬的模擬環(huán)境可以通過虛擬機(jī)技術(shù)來構(gòu)建，或者通過一個(gè)特制程序來虛擬。

1.2.2 基于異常的流量檢測(cè)技術(shù)

傳統(tǒng)的IDS都是基于特征(簽名)的技術(shù)去進(jìn)行DPI分析，有的也用到了一些簡(jiǎn)單DFI分析技術(shù)。面對(duì)新型威脅，DFI技術(shù)的應(yīng)用需要進(jìn)一步深化?；贔low，出現(xiàn)了一種基于異常的流量檢測(cè)技術(shù)，通過建立流量行為輪廓和學(xué)習(xí)模型來識(shí)別流量異常，進(jìn)而識(shí)別0day攻擊、C&C通訊，以及信息滲出。本質(zhì)上，這是一種基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)。

1.2.3 全包捕獲與分析技術(shù)

應(yīng)對(duì)APT攻擊，需要做好最壞的打算。萬一沒有識(shí)別出攻擊并遭受了損失怎么辦?對(duì)于某些情況，我們需要全包捕獲及分析技術(shù)(FPI)。借助天量的存儲(chǔ)空間和大數(shù)據(jù)分析(BDA)方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)中的特定場(chǎng)合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)起來，進(jìn)行歷史分析或者準(zhǔn)實(shí)時(shí)分析。通過內(nèi)建的高效索引機(jī)制及相關(guān)算法，協(xié)助分析師剖絲抽繭，定位問題。

1.2.4 信譽(yù)技術(shù)

信譽(yù)技術(shù)早已存在，在面對(duì)新型威脅的時(shí)候，可以助其他檢測(cè)技術(shù)一臂之力。無論是WEB URL信譽(yù)庫、文件MD5碼庫、僵尸網(wǎng)絡(luò)地址庫，還是威脅情報(bào)庫，都是檢測(cè)新型威脅的有力武器。而信譽(yù)技術(shù)的關(guān)鍵在于信譽(yù)庫的構(gòu)建，這需要一個(gè)強(qiáng)有力的技術(shù)團(tuán)隊(duì)來維護(hù)。

1.2.5 綜合分析技術(shù)

所謂綜合分析，就是在前述所有技術(shù)之上的，并且涵蓋傳統(tǒng)檢測(cè)技術(shù)之上的，一個(gè)橫向貫穿的分析。我們已經(jīng)知道APT攻擊是一個(gè)過程，是一個(gè)組合，如果能夠?qū)PT攻擊各個(gè)環(huán)節(jié)的信息綜合到一起，有助于確認(rèn)一個(gè)APT攻擊行為。

綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持續(xù)攻擊行為，包括組合攻擊檢測(cè)技術(shù)、大時(shí)間跨度的攻擊行為分析技術(shù)、態(tài)勢(shì)分析技術(shù)、情境分析技術(shù)，等等。

1.2.6 人的技能

最后，要實(shí)現(xiàn)對(duì)新型攻擊的防范，除了上述新的監(jiān)測(cè)/檢測(cè)技術(shù)之外，還需要依靠強(qiáng)有力的專業(yè)分析服務(wù)做支撐，通過專家團(tuán)隊(duì)和他們的最佳實(shí)踐，不斷充實(shí)安全知識(shí)庫，進(jìn)行即時(shí)的可疑代碼分析、滲透測(cè)試、漏洞驗(yàn)證，等等。安全專家的技能永遠(yuǎn)是任何技術(shù)都無法完全替代的。#p#

2 新型威脅的最新技術(shù)發(fā)展動(dòng)向

新型威脅自身也在不斷發(fā)展進(jìn)化，以適應(yīng)新的安全監(jiān)測(cè)、檢測(cè)與防御技術(shù)帶來的挑戰(zhàn)。以下簡(jiǎn)要分析新型威脅采取的一些新技術(shù)。

2.1 精準(zhǔn)釣魚

精準(zhǔn)釣魚是一種精確制導(dǎo)的釣魚式攻擊，比普通的定向釣魚(spear phishing)更聚焦，只有在被攻擊者名單中的人才會(huì)看到這個(gè)釣魚網(wǎng)頁，其他人看到的則是404 error。也就是說，如果你不在名單之列，看不到釣魚網(wǎng)頁。如此一來，一方面攻擊的精準(zhǔn)度更高，另一方面也更加保密，安全專家更難進(jìn)行追蹤(因?yàn)槟悴恢烂麊?，且不在名單之?。

2.2 高級(jí)隱遁技術(shù)

高級(jí)隱遁技術(shù)這個(gè)術(shù)語最初源自2010年芬蘭的Stonesoft公司(2013年5月被McAfee收購)的一個(gè)研究成果。高級(jí)隱遁技術(shù)(AET，Advanced Evasion Technology)是一種通過偽裝和/或修飾網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測(cè)和阻止的手段。

高級(jí)隱遁技術(shù)是一系列規(guī)避安全檢測(cè)的技術(shù)的統(tǒng)稱，可以分為網(wǎng)絡(luò)隱遁和主機(jī)隱遁，而網(wǎng)絡(luò)隱遁又包括協(xié)議組合、字符變換、通訊加密、0day漏洞利用等技術(shù)。

2.3 沙箱逃避

新型的惡意代碼設(shè)計(jì)越來越精巧，想方設(shè)法逃避沙箱技術(shù)的檢測(cè)。例如有的惡意代碼只有在用戶鼠標(biāo)移動(dòng)的時(shí)候才會(huì)被執(zhí)行，從而使得很多自動(dòng)化執(zhí)行的沙箱沒法檢測(cè)到可疑行為。還有的沙箱用到了虛擬機(jī)方式來執(zhí)行，那么惡意代碼的制作者就會(huì)想辦法去欺騙虛擬機(jī)。

2.4 水坑式攻擊

所謂“水坑攻擊”，是指黑客通過分析被攻擊者的網(wǎng)絡(luò)活動(dòng)規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點(diǎn)，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來訪時(shí)實(shí)施攻擊。這種攻擊行為類似《動(dòng)物世界》紀(jì)錄片中的一種情節(jié)：捕食者埋伏在水里或者水坑周圍，等其他動(dòng)物前來喝水時(shí)發(fā)起攻擊獵取食物。

3 結(jié)語

總之，在應(yīng)對(duì)新型威脅的道路上，我們還有很多工作需要去做。