近幾年，安全威脅發(fā)生了很大變化，提到新興威脅APT攻擊不是什么新鮮事。隨著IT發(fā)展，攻擊者可以通過APT攻擊得到更多的有價(jià)值的資產(chǎn)。

本文中，南京瀚海源CEO方興對(duì)新興威脅攻防的本質(zhì)進(jìn)行了剖析，并針對(duì)APT攻擊進(jìn)行了深度解讀。

新興威脅攻防核心本質(zhì)

◆新興威脅的核心

新興威脅的核心是網(wǎng)絡(luò)間諜行為，和傳統(tǒng)間諜行為的最大區(qū)別是把傳統(tǒng)手段和數(shù)字攻擊手段相結(jié)合。攻擊者可使用針對(duì)數(shù)字系統(tǒng)的攻擊手段，獲得數(shù)字資產(chǎn)或通過數(shù)字系統(tǒng)可控的資產(chǎn)。

其實(shí)，傳統(tǒng)間諜手段很早就已經(jīng)存在了，發(fā)展到現(xiàn)在已經(jīng)形成了攻守平衡的形勢(shì)?，F(xiàn)在，為什么要把數(shù)字手段融合進(jìn)去呢?因?yàn)槲覀內(nèi)鄙僭跀?shù)字手段上的對(duì)抗檢測(cè)技術(shù)，導(dǎo)致攻擊者使用數(shù)字手段的攻擊比使用傳統(tǒng)間諜手段時(shí)成本更低。從攻擊者角度來講，因?yàn)樗梢杂玫统杀镜偷墓羰址玫礁鄶?shù)字，所以很自然的把新技術(shù)融合在傳統(tǒng)間諜手段當(dāng)中一起來獲得更高的收入。

◆解讀新興威脅APT

目前，針對(duì)新興威脅APT攻擊我們可以這樣解讀APT：

A ：

1.高價(jià)值資產(chǎn)的嚴(yán)密防護(hù)能力下，只有復(fù)雜攻擊路徑才能達(dá)到繞過檢測(cè)和最終目標(biāo)觸發(fā)。

2.這一系列要求必須多種攻擊向量組合和高技術(shù)能力與手段。

P ：

1.攻擊難度、復(fù)雜路徑，技術(shù)手段需要時(shí)間。

2.攻擊價(jià)值與攻擊難度需要不斷嘗試但不會(huì)輕易放棄。

T ：

1.攻擊一旦成功將造成巨大損失但難以發(fā)現(xiàn)。

2.攻擊進(jìn)入后，很難徹底清除。

◆APT攻擊特性

APT攻擊主要呈現(xiàn)以下特性：

可利用性：達(dá)到最終目標(biāo)的路徑設(shè)計(jì) ;讓路徑上的每個(gè)受害者都愿意或可能觸發(fā);受害者觸發(fā)后穩(wěn)定植入攻擊者惡意代碼以實(shí)現(xiàn)攻擊者意圖;惡意代碼行為可滿足攻擊者目的。

隱蔽性：受害者觸發(fā)無感覺;受害者觸發(fā)時(shí)主機(jī)或網(wǎng)絡(luò)環(huán)境設(shè)備檢測(cè)不到;其后惡意代碼行為讓受害者主機(jī)或網(wǎng)絡(luò)環(huán)境設(shè)備檢測(cè)不到異常或檢測(cè)到異常后無法發(fā)現(xiàn)真實(shí)原因。

抗追查：發(fā)現(xiàn)攻擊后難以追查攻擊源頭;追查到攻擊源頭難以確定攻擊者;確定到攻擊者也可以否認(rèn)。

潛伏性：可控攻擊行為;深度滲透在部分清除后可以恢復(fù)。

針對(duì)性：高價(jià)值資產(chǎn);定向攻擊路徑。

◆APT攻擊核心技術(shù)環(huán)節(jié)與手段

從上圖我們分析可知，從攻擊角度上，攻擊者首先進(jìn)行信息收集，根據(jù)信息做好入侵準(zhǔn)備，然后通過社會(huì)工程吸引，注入木馬等手段實(shí)現(xiàn)信息入侵，實(shí)現(xiàn)實(shí)時(shí)入侵，控制內(nèi)網(wǎng)系統(tǒng)甚至是資產(chǎn)后，進(jìn)行破壞或者進(jìn)行有價(jià)值資產(chǎn)的竊取。整個(gè)攻擊過程的核心技術(shù)主要有：漏洞利用、木馬種植，基于供應(yīng)鏈植入以及后門植入，種植后攻擊者通過隱蔽的通道竊取數(shù)據(jù)。

常見的技術(shù)概念主要有：SHELLCODE、EXP、漏洞、木馬、后門、隱蔽通道。

未來，針對(duì)APT攻擊，作為安全防護(hù)人員首先要考慮的就是以上幾個(gè)技術(shù)點(diǎn)。當(dāng)然短期內(nèi)很難用技術(shù)對(duì)抗傳統(tǒng)間諜手段，但是我們只要能夠把技術(shù)手段抬高到一定門檻，攻擊者在APT新興威脅上就不再占有這種成本的優(yōu)勢(shì)。

所以在以后的安全防護(hù)道路上，我們需要新的技術(shù)手段。#p#

新興威脅攻防對(duì)抗思考與展望

◆傳統(tǒng)安全漏洞利用檢測(cè)攻防

針對(duì)傳統(tǒng)安全漏洞體系檢測(cè)主要側(cè)重IDS/IPS與增強(qiáng)殺毒兩個(gè)方向，傳統(tǒng)的檢測(cè)點(diǎn)包含NDAY漏洞觸發(fā)特征簽名庫識(shí)別與固定利用代碼識(shí)別，它們都存在一定的漏洞誤報(bào)率或者其他的問題。

方興表示，現(xiàn)在的新型檢測(cè)技術(shù)除了追求原來NDAY漏洞觸發(fā)簽名，還有深度內(nèi)容識(shí)別。在他看來未來的APT還有很多新型的技術(shù)可以進(jìn)行對(duì)抗(見下圖)，比如：對(duì)抗NDAY漏洞簽名，在深度層面可以不斷變化編碼，進(jìn)行加密。

展望漏洞利用(SHELLCODE)檢測(cè)對(duì)抗

◆傳統(tǒng)木馬檢測(cè)攻防

傳統(tǒng)的木馬檢測(cè)方式包含：木馬簽名庫識(shí)別惡意URL來源; 針對(duì)進(jìn)程 、文件 、應(yīng)用入口點(diǎn)的本地異常點(diǎn)檢查;惡意功能和行為識(shí)別(本地)。

但是以上檢測(cè)面臨很多問題，在惡意工程上可以通過信任程序，專門加載底層控制繞過誤報(bào)、人工識(shí)別。未來我們需要更多新型的對(duì)抗木馬的技術(shù)，在此，方興帶我們展望了這場(chǎng)木馬對(duì)抗戰(zhàn)的未來。

展望木馬檢測(cè)對(duì)抗

◆傳統(tǒng)隱通道檢測(cè)攻防

在傳統(tǒng)隱蔽通道攻防上，主要是通過已知的惡意IP或者URL識(shí)別來實(shí)現(xiàn)的，或者是審計(jì)設(shè)備識(shí)別敏感關(guān)鍵字，識(shí)別已知的私有協(xié)議，或者是通過流量和網(wǎng)絡(luò)行為異常來識(shí)別。

目前，我們面臨著攻擊者未知手段的新型威脅，未來該如何對(duì)抗隱蔽通道攻擊呢?

展望隱通道檢測(cè)對(duì)抗

綜上所述，方興表示，在他看來“攻防對(duì)抗沒有終結(jié)點(diǎn)，始終是人和人的對(duì)抗，新興對(duì)抗手段有些已經(jīng)出現(xiàn)，還有很多沒有出現(xiàn)，但是作為防護(hù)者，心里要很清楚即使有了新型技術(shù)，APT也不一定有終結(jié)點(diǎn)。未來，不僅在技術(shù)上要和攻擊者做對(duì)抗，也要在更高的層次去找到好的解決方法。”#p#

新興威脅應(yīng)對(duì)思考

針對(duì)新興威脅的應(yīng)對(duì)，方興做了以下小結(jié)：

◆多維度全檢測(cè)體系：針對(duì)攻擊者的每個(gè)手段建立檢測(cè)點(diǎn)，形成網(wǎng)狀檢測(cè)體系，即使攻擊者能逃脫一兩個(gè)檢測(cè)點(diǎn)，但不一定能夠逃脫全部檢測(cè)點(diǎn)。

◆入侵全生命周期覆蓋：APT攻擊是由多個(gè)環(huán)節(jié)多個(gè)攻擊手段組合而成。針對(duì)每個(gè)環(huán)節(jié)每個(gè)手段形成縱深檢測(cè)體系，可以最大限度發(fā)現(xiàn)APT攻擊，提高攻擊者門檻 。

◆多維度全生命周期體系：APT攻擊每個(gè)檢測(cè)手段都因?yàn)樵硇阅芤子眯哉`報(bào)率等因素都存在對(duì)抗技術(shù)。針對(duì)每個(gè)APT攻擊手段手段用多種檢測(cè)方法形成多維度檢測(cè)體系，可以最大限度檢測(cè)APT攻擊手段，并且縱深覆蓋，形成多維度網(wǎng)狀檢測(cè)體系。

◆縱深、多維度、端、云協(xié)同感知與大數(shù)據(jù)挖掘的威脅感知：通過智能事件關(guān)聯(lián)進(jìn)行攻擊確認(rèn)，發(fā)現(xiàn)可疑事件，經(jīng)過數(shù)據(jù)深度內(nèi)容可疑分析和云端數(shù)據(jù)分析形成檢測(cè)體系。

云端數(shù)據(jù)分析：攻擊共享、攻擊著歸i組特征、攻擊者資源特征。

智能事件關(guān)聯(lián)分析：攻擊確認(rèn)、事件關(guān)聯(lián)可疑發(fā)現(xiàn)、因果溯源。

◆協(xié)同運(yùn)維：APT攻擊是人和人的斗智斗勇，必須有專業(yè)的團(tuán)隊(duì)分析響應(yīng)才能應(yīng)對(duì)APT。

最后，方興表示：“APT是人和人在數(shù)字空間的智力對(duì)抗，所以一定是沒有終極的辦法的，因?yàn)槿耸腔畹模侄问菬o窮的，檢測(cè)與防御還需要考慮成本、性能、用戶體驗(yàn)、用戶感知等一系列問題。所以APT檢測(cè)產(chǎn)品，需要的是在以上限制條件下最大程度提高攻擊者成本和門檻，降低損失，形成一個(gè)新的攻守平衡線。”