一、新型威脅的國內(nèi)外發(fā)展趨勢

國際

2013年4月份Verizon發(fā)布的《2013年數(shù)據(jù)破壞調(diào)查報告》分析了全球47000多起數(shù)據(jù)破壞安全事故，621宗確認的數(shù)據(jù)泄漏案例，以及至少4400萬份失竊的記錄?！秷蟾妗分赋鲇懈哌_92%的數(shù)據(jù)破壞行為來自外部，有19%的數(shù)據(jù)破壞行為來自國家級別的行為，利用脆弱的或者竊取到的用戶身份訪問憑據(jù)進行入侵的行為占到了76%，而各種黑客行為和惡意代碼依然是主要的信息破壞手段。報告將包括APT攻擊在內(nèi)的信息破壞的敵對方分為了有組織犯罪集團、國家或國家資助的組織、黑客活躍分子三類。

根據(jù)FireEye發(fā)布的《2012年下半年高級威脅分析報告》，詳細分析了APT攻擊的發(fā)展態(tài)勢?！秷蟾妗分赋?，平均一個組織和單位每三分鐘就會遭受一次惡意代碼攻擊，特指帶有惡意附件、或者惡意WEB鏈接、或者CnC通訊的郵件;在所有遭受攻擊的企業(yè)和組織中，擁有核心關(guān)鍵技術(shù)的技術(shù)類企業(yè)占比最高;在定向釣魚郵件(spear phishing email)中經(jīng)常使用通用的商業(yè)術(shù)語，具有很大的欺騙性;92%的攻擊郵件都使用zip格式的附件，剩下的格式還有pdf等。

此外，國際上，尤其是美國著重炒作來自中國的APT攻擊。最典型的是Mandiant公司發(fā)布的《對APT1組織的攻擊行動的情報分析報告》，將APT1攻擊行動的發(fā)起者直接定位到中國軍方。在美國舊金山舉辦的RSA2013大會上，直接以中國APT攻擊為主題的報告就有6個之多。其中有一個研討會題為《中美的網(wǎng)絡(luò)沖突和中國網(wǎng)絡(luò)戰(zhàn)研究》。演講者是《二十一世紀的中國網(wǎng)絡(luò)戰(zhàn)》一書的作者。這個曾經(jīng)在美國研讀過中文的美國人從西方的視角來分析了中國的網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略、戰(zhàn)術(shù)。

以防范APT攻擊為引子，各國紛紛加強國家級的網(wǎng)絡(luò)空間安全研究、相關(guān)政策制定與發(fā)布。美國、加拿大、日本、歐盟各國、北約等國家和組織紛紛強化其網(wǎng)絡(luò)空間安全的國家戰(zhàn)略，其中就包括應(yīng)對包括APT在內(nèi)的國家級的敵對方的攻擊。ENISA(歐洲網(wǎng)絡(luò)與信息安全局)、北約CCDCOE(協(xié)作網(wǎng)絡(luò)空間防御卓越中心)、蘭德公司、歐洲智庫SDA公司都對世界主要國家的網(wǎng)絡(luò)空間安全戰(zhàn)略思想、安全威脅特征、安全防御水平等進行了較為深入的對比分析與研究。

各國對新型威脅的重視，也帶動了整個網(wǎng)絡(luò)空間安全市場的崛起。2012年6月份，MarketandMarket公司發(fā)布了一份市場分析報告，稱到2017年，全球的網(wǎng)絡(luò)空間安全市場將達到1200億美元的規(guī)模，而在2011年市場價值已經(jīng)有637億美元。報告明確指出，網(wǎng)絡(luò)空間安全未來將來首要應(yīng)對的問題就是APT，此外還包括僵尸網(wǎng)絡(luò)、傳統(tǒng)蠕蟲和病毒等。

國內(nèi)

根據(jù)CN-CERT發(fā)布的《2012年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》，我國面臨的新型威脅攻擊的形勢還是比較嚴峻的。利用“火焰”病毒、“高斯”病毒、“紅色十月”病毒等實施的高級可持續(xù)攻擊(APT攻擊)活動頻現(xiàn)，對國家和企業(yè)的數(shù)據(jù)安全造成嚴重威脅。2012年，我國境內(nèi)至少有4.1萬余臺主機感染了具有APT特征的木馬程序。#p#

二、新型威脅的綜合分析

綜合分析以上典型的APT攻擊，可以發(fā)現(xiàn)，當前的新型攻擊主要呈現(xiàn)以下技術(shù)特點：

1) 攻擊者的誘騙手段往往采用惡意網(wǎng)站，用釣魚的方式誘使目標上鉤。而企業(yè)和組織目前的安全防御體系中對于惡意網(wǎng)站的識別能力還不夠，缺乏權(quán)威、全面的惡意網(wǎng)址庫，對于內(nèi)部員工訪問惡意網(wǎng)站的行為無法及時發(fā)現(xiàn);

2) 攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，傳統(tǒng)的郵件內(nèi)容分析也難以奏效;

3) 還有一些攻擊是直接通過對目標公網(wǎng)網(wǎng)站的SQL注入方式實現(xiàn)的。很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范;

4) 初始的網(wǎng)絡(luò)滲透往往使用利用0day漏洞的惡意代碼。而企業(yè)和組織目前的安全防御/檢測設(shè)備無法識別這些0day漏洞攻擊;

5) 在攻擊者控制受害機器的過程中，往往使用SSL鏈接，導致現(xiàn)有的大部分內(nèi)容檢測系統(tǒng)無法分析傳輸?shù)膬?nèi)容，同時也缺乏對于可以連接的分析能力;

6) 攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時候，一定會向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒有明顯的指紋特征。這導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)都失效了;

7) 還有的企業(yè)部署了內(nèi)網(wǎng)審計系統(tǒng)，日志分析系統(tǒng)，甚至是安管平臺。但是這些更高級的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來分析事件，而沒有真正形成對外部入侵的綜合分析。由于知識庫的缺乏，客戶無法從多個角度綜合分析安全事件，無法從攻擊行為的角度進行整合，發(fā)現(xiàn)攻擊路徑。

因此，在APT這樣的新型威脅面前，大部分企業(yè)和組織的安全防御體系都失靈了。保障網(wǎng)絡(luò)安全亟需全新的思路和技術(shù)。