一、 安全背景
习近平总书记指出:“没有网络安全,就没有国家安全”。以互联网为核心的网络空间已成为继陆、海、空、天之后的第五大战略空间,各国均高度重视网络空间的安全问题。2013年,斯诺登披露的“棱镜门”事件如同重磅炸弹,引发了国际社会和公众对网络安全的空前关注。 2015年12月23日,乌克兰电力设施突然不能正常工作,导致大规模停电,成千上万的家庭处在黑暗之中。黑客使用了高度破坏性的恶意软件在乌克兰境内的三处变电站制造了严重的“破坏性事件”。据了解,这是首次由黑客的攻击行为而导致的停电事件,此次事件引起了公众极大的恐慌。
针对我国政府、党政机关、高校、企事业单位等社会组织的APT攻击(高级持续性威胁)显著增多,更具商业价值的企业机密数据成为黑客攻击目标。其中,APT已经成为现阶段互联网安全的主要威胁,时刻威胁着企业的数据安全。APT是攻击者以窃取核心资料或对客户网络进行破坏为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性,这种发生在数字空间的偷窃资料、搜集情报的“网络间谍”行为,为下一代的网络安全防护产品提出了新的挑战。
另一方面,网络安全已经成为影响网络效能的重要问题,而Internet所具有的开放性、国际性和自由性在增加应用自由度的同时,对安全提出了更高的要求。如何使信息网络系统不受黑客和工业间谍的入侵,如何及时发现异常的通讯行为,如何提前预警和阻断可疑的通讯会话等等问题已成为政府、金融、能源、电信等企事业单位网络信息化健康发展所要考虑的重要问题。一旦上述行业用户遭受APT入侵攻击,不仅导致企业本身核心数据的泄漏,严重的甚至将导致国家机密信息泄密,因此,为保护各行业用户及国家的信息安全,有必要为用户网络建立专门的针对APT攻击的检测和保护。
二、 安全现状
2.1 传统安全产品的局限性
高级持续性威胁(Advanced Persistent Threat,简称APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的APT攻击。
传统安全防御体系所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。从传统安全防御体系的设备和产品可以看到,这些产品遍布网络2 ~ 7层的数据分析,其中,与APT攻击相关的7层设备主要是IDS、IPS、审计,而负责7层检测IDS、IPS采用经典的CIDF检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观APT攻击,其采用的攻击手法和技术都是未知漏洞(0day)、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的IDS、IPS在无法预知攻击特征、攻击行为模式的情况下,已无法检测APT攻击。
2.2 攻击手段复杂多变、隐蔽性强
这些由黑色产业链或国家驱动的APT攻击通常都具备强大的攻击手段和技术,且手法多样,在一次攻击过程中经常采用多种手段和技术混合使用,包括:社会工程学攻击、0day漏洞利用、免杀木马、定制化工具、逃逸技术等,寻找企业内部安全薄弱环节。在这样的背景下,传统的通过安全事件推动,由处置已知安全威胁所衍生的解决方案已经远远不足以应对目前复杂、多变的安全态势。
在大部分APT攻击中,攻击者针对不同的攻击目标会采用不同的策略,并在攻击前有针对性的进行信息收集,准备特定的攻击工具,攻击发起的整个过程时间可长可短,少则数小时,多则潜伏数月、数年,由于这些攻击均会使用高级免杀技术以逃避传统安全设备的特征检测,隐蔽性极强。
2.3 大量内网数据无法有效利用
APT攻击通常都会在内网的各个角落留下蛛丝马迹,真相往往隐藏在网络的流量中。传统的安全事件分析思路是遍历各个安全设备的告警日志,尝试找出其中的关联关系。但根据上文的分析,由于APT攻击的隐蔽性和特殊性,传统安全设备通常都无法对APT攻击的各个阶段进行有效的检测,也就无法产生相应的告警,安全人员花费大量精力进行告警日志分析往往都是徒劳无功。如果采用全流量采集的思路,一方面是存储不方便,每天产生的全流量数据会占用过多的存储空间,组织通常没有足够的资源来支撑长时间的存储;另一方面是全流量数据包含了结构化数据、非结构化数据,涵盖了视屏、图片、文本等等多种格式,无法直接进行格式化检索,安全人员也就无法从海量的数据中找到有价值的信息。
因此,如何以恰当的方式长时间保存对安全分析有价值的流量数据,是检测、回溯APT攻击必须解决的问题。
三、 需求分析
针对当前复杂多变的网络安全环境,对网络安全防护提出了新的要求和防御思路,主要有以下几点:
3.1 全攻击链威胁检测
APT攻击覆盖了杀伤链的全过程,在整个可检测的环节均要具备检测能力, 在任何一环发现攻击行为,及时进行告警,阻止其进一步攻击行为,避免遭受APT攻击。
3.2 具备对未知/高级威胁的检测
APT攻击多采用未知漏洞(0day)、未知恶意代码等未知行为,对未知/高级威胁行为的检测是防御APT攻击的重要的和必要的措施。
3.3 新型防御思想转变
当前防御思想已从确定性判断逐渐演变为可能性分析,从彻底阻断演变为线索发现和分析溯源,从单纯设备技术对抗演变为本质的人与人对抗。面对APT攻击,防御的实现手段需要适应新的思想,以线索发现为切入点,结合人的能力,定位遭受的未知/高级攻击行为,进行深入分析和溯源。
四、 解决方案
针对APT攻击的特点及危害,天融信推出了高级可持续威胁安全监测产品(简称天融信APT安全监测产品),该产品旁路部署在网络边界处,根据对数据的检测与处理流程可分为:采集模块、分析模块、可视化展示等三大功能模块。
天融信APT安全监测产品采用大数据处理架构,并且集合行为分析、虚拟执行、多维关联分析、机器学习等技术,针对APT攻击中广泛采用的0day/Nday漏洞、特种木马、渗透入侵技术等进行深度检测分析;从而挖掘识别网络流量中的已知/未知高级威胁,且对威胁进行追踪与定位,并结合攻击事件关联,提供木马报告、安全评估报告、统计分析报表、趋势分析报表、排名分析报表等多种可视化统计图表,实现对APT攻击的全生命周期的检测分析与预警,帮助用户全面、直观掌握网络安全风险状况。
4.1 自动化关联分析技术
自动化关联分析技术能够按照APT的攻击流程模型,对搜集到的各类可疑事件线索尝试进行事件关联和分析。可疑事件包括来之Web、邮件、文件、网络流量等方面,通过挖掘这些行为线索之间可能存在的关联性形成对攻击事件、攻击者的综合判断。
4.2 数据分析技术
为有效发现隐藏在大量安全告警中的APT高级威胁,需要对采集回来的各类威胁信息进行大数据处理,这必然带来如何在这海量的数据中快速搜索有用信息的问题。通过建立基于搜索技术的数据分析技术,实现对威胁模型的灵活定义,可以有效解决这个问题。
基于搜索技术的数据分析技术可对抓取的海量数据进行快速检索从而进行高效分析,对内网的各类攻击行为进行历史回溯分析,根据攻击者、攻击方法、攻击工具等攻击画像利用同源性分析进行威胁的模式匹配。
天融信APT设备采用的基于搜索技术的数据分析技术,是在经典大数据框架的基础上进行的定制化研发,并配套了大量的检索和智能分析算法和模型匹配算法,可以对数据做到高效分析。在数据抓取、存储和检索方面,通过大数据采集引擎能够支持不同格式的威胁数据输入,采集从互联网出口及各重要区域出口处检测分析得到的网络威胁数据,快速汇聚存储到分布式存储中,在建立相应的索引后可对外输出不同格式的元数据和威胁数据内容。
4.3 基于硬件虚拟执行检测技术
为了有效查杀网内的病毒木马,虽然现在网络可能配置了防病毒网关、杀毒软件等安全设备,但是该防病毒网关和杀毒软件对于免杀木马的查杀无能为力。为有效检测网内的免杀木马,特别是植入阶段的木马,应该采用硬件的虚拟执行检测技术。
基于硬件的虚拟执行检测系统可对APT攻击的核心环节 “恶意代码植入”进行检测,与传统的采用基于恶意代码特征匹配的检测方法不同,独有的基于硬件虚拟化技术的高性能文件动态分析能力,真实模拟文件的运行环境,充分激发和全面捕获样本文件的多种动作行为,准确识别通过各种途径传递的文件中含有的未知攻击或恶意代码。这种利用对恶意代码的行为进行动态分析的方法,可以避免因为无法提前获得未知恶意代码特征而漏检的问题,即在无需提前预知恶意代码样本的情况下仍然可以对恶意代码样本进行有效的检测,因为免杀木马是APT攻击的核心步骤,因此对未知恶意代码样本的有效检测,可以有效解决APT攻击过程的检测问题。
4.4 基于恶意代码流量行为分析技术
恶意代码流量行为分析技术是通过对流量中各种网络通信不同行为操作的周期频率来进行规律性统计,然后再按照恶意代码的通信行为模型进行识别和判定。该技术的优势是能够检测出已经被成功植入进内网的“潜伏”或“活跃”恶意代码。
4.5 内网渗透行为检测分析技术
APT攻击的生命周期可分为外部攻击和内部攻击两大阶段,其中内部攻击部分主要是在渗透进入内网后,在内网中进行横向渗透,尝试寻找有攻击价值的重要终端或服务器。而目前大多安全设备考虑的是防御来自外部的攻击行为,对网络内部的渗透行为缺少有效检测手段。天融信APT设备不单能够防范来之与外部的攻击,利用内网渗透行为检测分析技术能够检测出内网中的渗透行为,有效防范来之企业内部的渗透。
4.6 建立基于人与人对抗的安全防御思想
区别于传统的边界防护思路, 深入分析新形势下的网络攻击方式,其本质就是群体攻击模式,针对这种无所不用其极的群狼战术,就需要同样是术业有专攻的安全服务团队才能应对。
因此新形势下的安全核心防御思想应该是基于“人与人”对抗的模式,只有建设好安全服务团队才能真正实现新形势下的安全防御。