apt攻擊是近幾年來出現(xiàn)的一種高級(jí)攻擊，具有難檢測、持續(xù)時(shí)間長和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果很不理想，因此，各安全廠商都在研究新的方法并提出了多種多樣的解決方案。

針對(duì)APT逐步滲透攻擊的特點(diǎn)，我們提出了一個(gè)針對(duì)工控 APT 攻擊的檢測與防護(hù)方案，針對(duì) APT 攻擊的五個(gè)階段分別討論了相應(yīng)的應(yīng)對(duì)策略。

(1) 全方位抵御水坑攻擊基于“水坑+網(wǎng)站掛馬方式”的突破防線技術(shù)愈演愈烈，并出現(xiàn)了單漏洞多水坑的新攻擊方法。針對(duì)這種趨勢，一方面寄希望于網(wǎng)站管理員重視并做好網(wǎng)站漏洞檢測和掛馬檢測;另一方面要求用戶(尤其是能接觸到工業(yè)控制設(shè)備的雇員)盡量使用相對(duì)較安全的Web瀏覽器，及時(shí)安裝安全補(bǔ)丁，最好能夠部署成熟的主機(jī)入侵防御系統(tǒng)。

(2) 防范社會(huì)工程攻擊、阻斷 C&C 通道 在工業(yè)控制系統(tǒng)運(yùn)行的各個(gè)環(huán)節(jié)和參與者中，人往往是其中最薄弱的環(huán)節(jié)，故非常有必要通過周期性的安全培訓(xùn)課程努力提高員工的安全意識(shí)。另外，也應(yīng)該加強(qiáng)從技術(shù)上阻斷攻擊者通過社會(huì)工程突破防線后建立C&C通道的行為，建議部署值得信賴的網(wǎng)絡(luò)入侵防御系統(tǒng)。

(3) 工業(yè)控制系統(tǒng)組件漏洞與后門檢測與防護(hù)工業(yè)控制系統(tǒng)行業(yè)使用的任何工業(yè)控制系統(tǒng)組件均應(yīng)假定為不安全或存在惡意的，上線前必需經(jīng)過嚴(yán)格的漏洞、后門檢測以及配置核查，盡可能避免工業(yè)控制系統(tǒng)中存在2014 工業(yè)控制系統(tǒng)的安全研究與實(shí)踐的各種已知或未知的安全缺陷。其中針對(duì)未知安全缺陷(后門或系統(tǒng)未聲明功能)的檢測相對(duì)困難，目前多采用系統(tǒng)代碼的靜態(tài)分析方法或基于系統(tǒng)虛擬執(zhí)行的動(dòng)態(tài)分析方法相結(jié)合的方式。

(4) 異常行為的檢測與審計(jì)上述列舉出的 APT 突破防線和完成任務(wù)階段采用的各種新技術(shù)和方法，以及其他已經(jīng)出現(xiàn)或者即將出現(xiàn)的新技術(shù)和方法，直觀上均表現(xiàn)為一種異常行為。建議部署工控審計(jì)系統(tǒng)， 全面采集工業(yè)控制系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志;結(jié)合基于行為的業(yè)務(wù)審計(jì)模型對(duì)采集到的信息進(jìn)行綜合分析，識(shí)別發(fā)現(xiàn)業(yè)務(wù)中可能存在的異常流量與異常操作行為，發(fā)現(xiàn) APT 攻擊的一些蛛絲馬跡，甚至可能還原整個(gè) APT攻擊場景。鑒于工業(yè)控制系統(tǒng)業(yè)務(wù)場景比較穩(wěn)定、操作行為比較規(guī)范的實(shí)際情況，在實(shí)施異常行為審計(jì)的同時(shí)，也可以考慮引入基于白環(huán)境的異常檢測模型，對(duì)工業(yè)控制系統(tǒng)中的異常操作行為進(jìn)行實(shí)時(shí)檢測與發(fā)現(xiàn)。

apt攻擊過程分解

整個(gè)apt攻擊過程包括定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟：

1、定向情報(bào)收集

定向情報(bào)收集，即攻擊者有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多，包括網(wǎng)絡(luò)隱蔽掃描和社會(huì)工程學(xué)方法等。從目前所發(fā)現(xiàn)的apt攻擊手法來看，大多數(shù)apt攻擊都是從組織員工入手，因此，攻擊者非常注意搜集組織員工的信息，包括員工的微博、博客等，以便了解他們的社會(huì)關(guān)系及其愛好，然后通過社會(huì)工程方法來攻擊該員工電腦，從而進(jìn)入組織網(wǎng)絡(luò)。

2、單點(diǎn)攻擊突破

單點(diǎn)攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工的個(gè)人電腦，攻擊方法包括：

1)社會(huì)工程學(xué)方法，如通過email給員工發(fā)送包含惡意代碼的文件附件，當(dāng)員工打開附件時(shí)，員工電腦就感染了惡意代碼;

2)遠(yuǎn)程漏洞攻擊方法，比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬，當(dāng)員工訪問該網(wǎng)站時(shí)，就遭受到網(wǎng)頁代碼的攻擊，rsa公司去年發(fā)現(xiàn)的水坑攻擊(watering hole)就是采用這種攻擊方法。

這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞，現(xiàn)有殺毒和個(gè)人防火墻安全工具無法察覺，最終結(jié)果是，員工個(gè)人電腦感染惡意代碼，從而被攻擊者完全控制。

3、控制通道構(gòu)建

控制通道構(gòu)建，即攻擊者控制了員工個(gè)人電腦后，需要構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進(jìn)一步攻擊指令。攻擊者會(huì)創(chuàng)建從被控個(gè)人電腦到攻擊者控制服務(wù)器之間的命令控制通道，這個(gè)命令控制通道目前多采用http協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級(jí)的命令控制通道則采用https協(xié)議構(gòu)建。

4、內(nèi)部橫向滲透

內(nèi)部橫向滲透，一般來說，攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個(gè)人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的pc和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

5、數(shù)據(jù)收集上傳

數(shù)據(jù)收集上傳，即攻擊者在內(nèi)部橫向滲透和長期潛伏過程中，有意識(shí)地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包，然后通過某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

apt檢測和防御方案分類

縱觀整個(gè)apt攻擊過程發(fā)現(xiàn)，有幾個(gè)步驟是apt攻擊實(shí)施的關(guān)鍵，包括攻擊者通過惡意代碼對(duì)員工個(gè)人電腦進(jìn)行單點(diǎn)攻擊突破、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令，以及最后的敏感數(shù)據(jù)外傳等過程。當(dāng)前的apt攻擊檢測和防御方案其實(shí)都是圍繞這些步驟展開。

我們把本屆rsa大會(huì)上收集到的apt檢測和防御方案進(jìn)行了整理，根據(jù)它們所覆蓋的apt攻擊階段不同，將它們分為以下四類：

1、惡意代碼檢測類方案：

該類方案主要覆蓋apt攻擊過程中的單點(diǎn)攻擊突破階段，它是檢測apt攻擊過程中的惡意代碼傳播過程。大多數(shù)apt攻擊都是通過惡意代碼來攻擊員工個(gè)人電腦，從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的，因此，惡意代碼檢測對(duì)于檢測和防御apt攻擊至關(guān)重要。

2、主機(jī)應(yīng)用保護(hù)類方案：

該類方案主要覆蓋apt攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個(gè)人電腦發(fā)送惡意代碼，這個(gè)惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此，如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個(gè)人電腦以及服務(wù)器的安全，則可以有效防御apt攻擊。

3、網(wǎng)絡(luò)入侵檢測類方案：

該類方案主要覆蓋apt攻擊過程中的控制通道構(gòu)建階段，通過在網(wǎng)絡(luò)邊界處部署入侵檢測系統(tǒng)來檢測apt攻擊的命令和控制通道。安全分析人員發(fā)現(xiàn)，雖然apt攻擊所使用的惡意代碼變種多且升級(jí)頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測方法來檢測apt的命令控制通道。該類方案成功的關(guān)鍵是如何及時(shí)獲取到各apt攻擊手法的命令控制通道的檢測特征。

4、大數(shù)據(jù)分析檢測類方案：

該類方案并不重點(diǎn)檢測apt攻擊中的某個(gè)步驟，它覆蓋了整個(gè)apt攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路，它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進(jìn)行集中的海量數(shù)據(jù)存儲(chǔ)和深入分析，它可在發(fā)現(xiàn)apt攻擊的一點(diǎn)蛛絲馬跡后，通過全面分析這些海量數(shù)據(jù)來還原整個(gè)apt攻擊場景。大數(shù)據(jù)分析檢測方案因?yàn)樯婕昂Ａ繑?shù)據(jù)處理，因此需要構(gòu)建大數(shù)據(jù)存儲(chǔ)和分析平臺(tái)，比較典型的大數(shù)據(jù)分析平臺(tái)有hadoop