網(wǎng)絡安全，尤其是Internet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn)，這主要就是來自于有組織、有特定目標、持續(xù)時間極長的新型攻擊和威脅，國際上有的稱之為APT(Advanced Persistent Threat，高級持續(xù)性威脅)攻擊，或者稱之為“針對特定目標的攻擊”。這些攻擊統(tǒng)稱為新型威脅。

一般認為，APT攻擊就是一類特定的攻擊，為了獲取某個組織甚至是國家的重要信息，有針對性地進行的一系列攻擊行為的整個過程。APT攻擊利用了多種攻擊手段，包括各種最先進的手段和社會工程學方法，一步一步的獲取進入組織內(nèi)部的權(quán)限。APT往往利用組織內(nèi)部的人員作為攻擊跳板。有時候，攻擊者會針對被攻擊對象編寫專門的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續(xù)性，甚至長達數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。

對于這些單位而言，盡管已經(jīng)部署了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設備，也包括了將各種單一安全設備整合起來的管理平臺，而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個階段。但是，這樣的防御體系仍然難以有效防止來自互聯(lián)網(wǎng)的入侵和攻擊，以及信息竊取等新型威脅。

新型威脅的綜合分析

APT攻擊主要呈現(xiàn)以下技術(shù)特點：

1、 攻擊者的誘騙手段往往采用惡意網(wǎng)站，用釣魚的方式誘使目標上鉤。而企業(yè)和組織目前的安全防御體系中對于惡意網(wǎng)站的識別能力還不夠，缺乏權(quán)威、全面的惡意網(wǎng)址庫，對于內(nèi)部員工訪問惡意網(wǎng)站的行為無法及時發(fā)現(xiàn);

2、 攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，傳統(tǒng)的郵件內(nèi)容分析也難以奏效;

3、 還有一些攻擊是直接通過對目標公網(wǎng)網(wǎng)站的SQL注入方式實現(xiàn)的。很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范;

4、 初始的網(wǎng)絡滲透往往使用利用0day漏洞的惡意代碼，而企業(yè)和組織目前的安全防御/檢測設備無法識別這些0day漏洞攻擊;

5、 在攻擊者控制受害機器的過程中，往往使用SSL連接，導致現(xiàn)有的大部分內(nèi)容檢測系統(tǒng)無法分析傳輸?shù)膬?nèi)容，同時也缺乏對于可疑連接的分析能力;

6、 攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡中的重要數(shù)據(jù)的時候，一定會向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒有明顯的指紋特征，這導致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)都失效了;

7、 還有的企業(yè)部署了內(nèi)網(wǎng)審計系統(tǒng)、日志分析系統(tǒng)，甚至是安管平臺，但是這些更高級的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來分析事件，而沒有真正形成對外部入侵的綜合分析。由于知識庫的缺乏，客戶無法從多個角度綜合分析安全事件，無法從攻擊行為的角度進行整合，發(fā)現(xiàn)攻擊路徑。

因此，在APT這樣的新型威脅面前，大部分企業(yè)和組織的安全防御體系都失靈了。保障網(wǎng)絡安全亟需全新的思路和技術(shù)。

新型威脅的最新技術(shù)發(fā)展動向

新型威脅自身也在不斷發(fā)展進化，以適應新的安全監(jiān)測、檢測與防御技術(shù)帶來的挑戰(zhàn)。以下簡要分析新型威脅采取的一些新技術(shù)。

精準釣魚。精準釣魚是一種精確制導的釣魚式攻擊，比普通的定向釣魚(spear phishing)更聚焦，只有在被攻擊者名單中的人才會看到這個釣魚網(wǎng)頁，其他人看到的則是404 error。也就是說，如果你不在名單之列，看不到釣魚網(wǎng)頁。如此一來，一方面攻擊的精準度更高，另一方面也更加保密，安全專家更難進行追蹤。

高級隱遁技術(shù)。高級隱遁技術(shù)是一種通過偽裝和/或修飾網(wǎng)絡攻擊以躲避信息安全系統(tǒng)的檢測和阻止的手段。高級隱遁技術(shù)是一系列規(guī)避安全檢測的技術(shù)的統(tǒng)稱，可以分為網(wǎng)絡隱遁和主機隱遁，而網(wǎng)絡隱遁又包括協(xié)議組合、字符變換、通訊加密、0day漏洞利用等技術(shù)。

沙箱逃避。新型的惡意代碼設計越來越精巧，想方設法逃避沙箱技術(shù)的檢測。例如有的惡意代碼只有在用戶鼠標移動的時候才會被執(zhí)行，從而使得很多自動化執(zhí)行的沙箱沒法檢測到可疑行為。有的惡意代碼會設法欺騙虛擬機，以逃避用虛擬機方式來執(zhí)行的沙箱。#p#

新型威脅的應對之策

一、總體思路

2012年8月，RSA發(fā)布了著名的報告——《當APT成為主流》。報告提及了現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護體系存在一些缺陷，導致很難識別APT攻擊。現(xiàn)有的防護體系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和組織結(jié)構(gòu)，以及工作流程等等都存在不足。報告指出，應對APT需要采取一種與以往不同的信息安全策略及方法。該方法更加注重對核心資產(chǎn)的保護，以數(shù)據(jù)為中心，從檢測威脅的角度去分析日志，注重攻擊模式的發(fā)現(xiàn)和描述，從情報分析的高度來分析威脅。

報告提出了7條建議：

1、 進行高級情報收集與分析。讓情報成為戰(zhàn)略的基石。

2、 建立智能監(jiān)測機制。知道要尋找什么，并建立信息安全與網(wǎng)絡監(jiān)控機制，以尋找所要尋找之物。

3、 重新分配訪問控制權(quán)?？刂铺貦?quán)用戶的訪問。

4、 認真開展有實效的用戶培訓。培訓用戶以識別社會工程攻擊，并迫使用戶承擔保證企業(yè)信息安全的個人責任。

5、 管理高管預期。確保最高管理層認識到，抗擊高級持續(xù)性攻擊的本質(zhì)是與數(shù)字軍備競賽戰(zhàn)斗。

6、 重新設計IT架構(gòu)。從扁平式網(wǎng)絡轉(zhuǎn)變?yōu)榉指羰骄W(wǎng)絡，使攻擊者難以在網(wǎng)絡中四處游蕩，從而難以發(fā)現(xiàn)最寶貴的信息。

7、 參與情報交換。分享信息安全威脅情報，利用其他企業(yè)積累的知識。

Verizon發(fā)布的《2013年數(shù)據(jù)破壞調(diào)查報告》中則更加簡明扼要的概括了應對APT的最高原則——知己，更要知彼，強調(diào)真正的主動安全是料敵先機，核心就是對安全威脅情報的分析與分享。

二、技術(shù)手段分析

從具體的技術(shù)層面來說，為了應對APT攻擊，新的技術(shù)也是層出不窮。

從監(jiān)測和檢測的角度，為了識別APT，可以從APT攻擊的各個環(huán)節(jié)進行突破，任一環(huán)節(jié)能夠識別即可斷開整個鏈條。

根據(jù)APT攻擊過程，我們可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、識別僵尸網(wǎng)絡(C&C)通訊、監(jiān)測網(wǎng)絡數(shù)據(jù)滲出等多個環(huán)節(jié)入手。

而不論從哪個環(huán)節(jié)入手，都主要涉及以下幾類新型技術(shù)手段：

基于沙箱的惡意代碼檢測技術(shù)。要檢測惡意代碼，最具挑戰(zhàn)性的就是利用0day漏洞的惡意代碼。因為是0day，就意味著沒有特征，傳統(tǒng)的惡意代碼檢測技術(shù)就此失效。沙箱技術(shù)通俗的講就是構(gòu)造一個模擬的執(zhí)行環(huán)境，讓可疑文件在這個模擬環(huán)境中運行起來，通過可疑文件觸發(fā)的外在行為來判定是否是惡意代碼。

沙箱技術(shù)的模擬環(huán)境可以是真實的模擬環(huán)境，也可以是一個虛擬的模擬環(huán)境。而虛擬的模擬環(huán)境可以通過虛擬機技術(shù)來構(gòu)建，或者通過一個特制程序來虛擬。

基于異常的流量檢測技術(shù)。傳統(tǒng)的IDS都是基于特征(簽名)的技術(shù)去進行DPI分析，有的也用到了一些簡單DFI分析技術(shù)。面對新型威脅，DFI技術(shù)的應用需要進一步深化?；贔low，出現(xiàn)了一種基于異常的流量檢測技術(shù)，通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通訊，以及信息滲出。本質(zhì)上，這是一種基于統(tǒng)計學和機器學習的技術(shù)。

全包捕獲與分析技術(shù)。應對APT攻擊，需要做好最壞的打算。萬一沒有識別出攻擊并遭受了損失了怎么辦?對于某些情況，我們需要全包捕獲及分析技術(shù)(FPI)。借助天量的存儲空間和大數(shù)據(jù)分析(BDA)方法，F(xiàn)PI能夠抓取網(wǎng)絡中的特定場合下的全量數(shù)據(jù)報文并存儲起來，進行歷史分析或者準實時分析。通過內(nèi)建的高效索引機制及相關(guān)算法，協(xié)助分析師剖絲抽繭，定位問題。

信譽技術(shù)。信譽技術(shù)早已存在，在面對新型威脅的時候，它可以助其他檢測技術(shù)一臂之力。無論是WEB URL信譽庫、文件MD5碼庫、僵尸網(wǎng)絡地址庫，還是威脅情報庫，都是檢測新型威脅的有力武器。而信譽技術(shù)的關(guān)鍵在于信譽庫的構(gòu)建，這需要一個強有力的技術(shù)團隊來維護。

綜合分析技術(shù)。所謂綜合分析，就是在前述所有技術(shù)之上的，并且涵蓋傳統(tǒng)檢測技術(shù)之上的，一個橫向貫穿的分析。我們已經(jīng)知道APT攻擊是一個過程，是一個組合，如果能夠?qū)PT攻擊最多環(huán)節(jié)的信息綜合到一起，有助于確認一個APT攻擊行為。綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持續(xù)攻擊行為，包括組合攻擊檢測技術(shù)、大時間跨度的攻擊行為分析技術(shù)、態(tài)勢分析技術(shù)、情境分析技術(shù)，等等。

人的技能。最后，要實現(xiàn)對新型攻擊的防范，除了上述新的監(jiān)測/檢測技術(shù)之外，還需要依靠強有力的專業(yè)分析服務做支撐，通過專家團隊和他們的最佳實踐，不斷充實安全知識庫，進行即時的可疑代碼分析、滲透測試、漏洞驗證，等等。安全專家的技能永遠是任何技術(shù)都無法完全替代的。