引言

随着APT 攻击事件的日益增多,其组织化、潜伏性、持续性、利用0day 漏洞的攻击特点,导致大多数企业采用的传统的基于防火墙、IPS 等边界防护以及病毒恶意特征代码检测等静态安全防护体系已经越来越不能适应外部攻击者和攻击手段的变化,也越来越不能适应更加开放、边界更加模糊、日益复杂而又漏洞百出的各类系统和应用程序的发展趋势。

基于攻击能力随着时代的变化而显著提升,改进、重构已经相对滞后的攻击防御体系已势在必行。

本文依据对典型APT攻击事件过程的分析,提炼出的被攻击者安全防护体系的薄弱环节,并依据业界最新提出的PPDR安全防护体系建设理论,结合作者多年工作实际经验,阐述了传统信息安全防护体系的未来建设发展的目标与方法,实现从静态特征检测到动态异常检测的转变、从边界防护向全网防护的转变、从被动防御到充分利用威胁情报进行主动防护的转变。

(图片来源于网络)

外部攻击模式与薄弱点利用要点分析

根据近几年比较著名的APT 攻击事件的分析,黑客攻击的过程主要分为以下几个阶段:

1)侦察跟踪阶段

主要是发现确认目标,收集目标网络、服务状态、相关人员电子邮件、社交信任关系,确定入侵可能的渠道。例如台湾第一银行ATM 吐钞事件中,恶意代码是来自第一银行英国伦敦分行电脑主机和2 个存储电话录音的硬盘,而并非台湾总行直接被入侵。这表明,黑客通过前期侦察准确的定位伦敦分行作为入侵的初始目标,并了解其内部网络互联互通的情况。

2) 武器构建阶段

主要是创建用于攻击的武器,比如邮件中的恶意代码附件、假冒网站或网站挂马、远程控制通信服务器等。台湾第一银行ATM 事件中,黑客创建的恶意代码主要包括控制ATM 吐钞的程序、读取ATM 系统和卡夹信息的程序、清除痕迹的程序以及与黑客后台远程通信的程序。

3) 突防利用与安装植入阶段

主要是利用系统或网络漏洞、管理机制漏洞、人性弱点等将恶意代码投递到内部目标,获得对系统的控制权。台湾第一银行事件中,就是利用伦敦分行作为突破口,将恶意代码植入。

4) 通信控制与达成目标阶段

主要是与外部黑客远程控制服务器进行连接,周期性的确认其存活状态,接受指令完成数据窃取、信息收集、破坏等最终任务。台湾第一银行事件中,黑客通过远程命令操控,将恶意代码植入了ATM 版本升级的主机服务器,并利用ATM 升级的契机,将恶意代码下发至第一银行各ATM,最后在指定时间下达了吐钞指令。

根据以上作案过程的分析,有以下几个主要的薄弱点环节:

1) 传统的边界隔离措施无法对抗精准的APT 攻击

传统的边界隔离主要是依靠防火墙、路由器ACL 等对不同安全等级的网络区域进行划分,比如生产、办公、测试、开发、互联网、第三方等。

一方面,由于客观上总是存在外部接入内部的网络渠道,而且随着互联网的发展,内外部互联互通信息的需求越来越多,攻击者总能找到入侵内部的一条可以用的通道,可能是邮件、貌似正常的web 网页数据上传、第三方数据传输通道、企业各分支机构管理不善开了例外的终端等等;

另一方面,到目前为止,已经开通的防火墙和ACL 策略由于管理不善、信息更新滞后等原因,也可能存在少量未及时调整和删除的冗余策略、范围过大策略等边界收紧不到位的情况。因此,基于防火墙和路由器的边界隔离措施面对信息收集能力和针对性很强的APT 攻击者,是无能为力的。

2) 传统的基于特征码的恶意代码监测存在滞后性和局限性

一是类似IPS、WAF 和防病毒这样的防护工具,属于对已知固定恶意代码进行特征识别的一种静态分析方法,无法有效应对恶意代码变形、加壳等隐蔽手段;

二是APT攻击通常利用看似合法的输入和非明显恶意特征但非常针对性的程序代码。因此,在事发之前,我们不可能提前识别出全部的恶意代码特征,这种传统的基于恶意代码静态监测的方式存在较大不足。

3) 突破边界后的内部网络防护能力不足

由于传统的防御体系侧重于互联网、第三方等边界的网络安全防护,对于突破边界后在内网埋伏、感染、操控内部服务器及数据的恶意行为识别和监测缺乏有效手段。

例如台湾第一银行事件中,恶意代码从伦敦分行传播至ATM 软件分发服务器,并进一步感染ATM 目标服务器,在整个内部转播路径以及目标ATM 服务器安装了异常代码文件都没有被发现。

4) 单打独斗式的防御,无法面对有组织有计划的针对性攻击

面对近几年陆续发现的多起swift 事件,其幕后黑手直指臭名昭著的Lazarus 黑客组织。如此专业化组织严密的黑客组织,仅靠企业自身进行防护显得力不从心。

如何快速提前获取0day 攻击恶意代码特征与文件路径、黑客远程控制服务器IP 地址、钓鱼邮件地址、假冒网站异常威胁情报,并及时与内部防护系统联动,成为企业安全防护的重要保障关键能力之一。

5) 缺乏海量数据的关联分析和可视化分析能力

从一系列安全事件来看,从植入没有明显恶意特征的代码到分行服务器、到利用软件升级契机下发ATM 升级软件、再到黑客复用现有的网络端口进行外部远程控制通信,单独看每一个步骤可能无法准确判断单个行为是否是恶意攻击,但是如果将整个路径上的行为串起来看是很有可能发现异常行为的。

例如建立一种基于外部连接的异常分析模型,当发现ATM管理服务器与外部通讯时,分析通讯的进程、相关程序文件的安装时间、来源以及传播路径,并检查下游ATM 设备通讯流量情况,并通过可视化手段可以直观的还原出,ATM 设备通过内部管理服务器作为跳板与外部进行异常连接的情况。

当然,这一方面需要大量的信息安全日志数据作为支撑,包括内外网边界及关键路径上的网络流量情况、服务器设备的异常行为检测情况、恶意远程通讯IP 地址等外部威胁情报等,另一方面需要有实时快速处理海量数据和建模关联分析的能力,以及可视化展现能力,毕竟可疑事件最终还是需要人工准确判断。

(图片来源于网络)

以上关键环节的薄弱点正是我们目前静态的、被动式防御体系的薄弱点,传统的安全防护体系已经逐渐不能适应外部攻击防护的需要。以下结合业界研究分析及实践情况,就如何构建新一代安全防护体系谈几点思路。

构建数据驱动的自适应安全防护体系

正如刚才描述的静态被动式安全防护体系弱点,新一代信息安全防护体系应该朝着如下的四个方向进行转变:

1) 由被动监控向主动预防转变。

2) 由边界安全向全网安全转变。

3) 由静态特征识别向动态异常分析转变。

4) 由系统安全向业务驱动安全为转变。

最终,信息安全的所有问题本质上将转变为大数据分析问题。

传统的应急式安全响应中心将转变为持续安全响应中心。为了实现这个目标,我们将从以前以Policy 策略、Protect 防护、Detect 检测、Response 响应四个阶段组成的PPDR 安全防护体系,转变为以Gartner 最新提出的并获得业界主流安全企业和研究机构认可的PPDR 安全防护体系。

即以Predict 预测、Protect 防护、Detect 检测、Response 响应四个阶段组成的新PPDR 闭环安全防护模型,并且在不同阶段引入威胁情报、大数据分析、机器学习、云防护等新技术和服务,从而真正构建一个能进行持续性威胁响应、智能化、协同化的自适应安全防护体系。

预测阶段

该阶段的目标是获得一种攻击“预测能力”,可从外部威胁情报中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。

该情报将反馈到防护阶段和检测功能,从而构成整个威胁处理流程的闭环。这里面有两个关键要素:一是威胁情报本身;二是对威胁情报的利用。

所谓威胁情报,是指一组基于证据的描述威胁的关联信息,包括威胁相关的环境信息、手法机制、指标、影响以及行动建议等。可进一步分为基础数据、技术情报、战术情报、战略情报4 个层次。

基础数据, 例如PE 可执行程序样本、netflow 网络流数据、终端日志、DNS 与whois 记录等;

技术情报, 例如恶意远程控制服务器地址、恶意网站、电话、钓鱼邮件地址、恶意代码HASH 值、修改的特定注册表项、系统漏洞、异常账号、洗钱手法等;

战术情报, 包括已发现的外部攻击者和目标信息、攻击手段和过程、可能造成的攻击影响、应急响应建议等;

战略情报, 主要指社会、政治、经济和文化动机、历史攻击轨迹和目标趋势、攻击重点、攻击组织的技术能力评估等。

利用这些情报成为后续防护、检查和响应的基础,我们可以与现有防护系统充分结合,自下而上在网络、系统、终端、应用、业务各个层面进行外部攻击的有效预防。

例如,可以将恶意远程控制服务器地址纳入网络流分析检测工具中,及时阻断可疑的外部连接情况;将互联网上已检测到的恶意代码特征、异常行为模式等同步到IPS、HIDS、沙箱工具;通过APP等提示并拦截客户对假冒网站的访问;根据外部攻击的手法和目标等情报信息,主动调整DDos和WAF 的防护策略等等。

相关资料显示,65%的企业和政府机构计划使用外部威胁情报服务增强安全检测和防护能力。威胁情报的引入,是从被动式防护专向主动式预防的重要基石。

安全防护阶段

该阶段的目标是通过一系列安全策略集、产品和服务可以用于防御攻击。

这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作,主要分为加固与隔离、漏洞与补丁管理、转移攻击等三个方面。

加固与隔离方面,大部分企业在系统、网络及终端方面进行了大量的投入和系统建设,包括使用防火墙、VLAN 等对不同网络安全区域进行隔离和访问策略控制,终端的802.1x 准入控制与隔离,各类系统、网络设备的安全补丁以及安全配置加固。

但是在应用方面特别是web应用和移动app 安全加固方面还做的不够,包括没有限制用户输入字符串的长度、使用了SQL语句拼接且没有主动过滤非法字符、未安装限制频繁撞库的验证码控件、未在后台限制频繁交易次数等。

这些加固控制措施都是必须结合应用自身特点进行设置,并非简单通过IPS、DDoS、WAF 等防护设备就能阻挡此类利用正常应用对外服务渠道和业务逻辑发起的外部攻击。

因此,应进一步加大对应用安全加固问题的重视,如应用安全代码检测和应用安全设计应该放在更重要的位置,特别是对逐渐引入的生物特征识别与认证技术、物联网技术的安全性研究,作为从系统安全到业务驱动安全转变的重要支撑。

漏洞与补丁管理方面,尽管大多数企业都引入了漏洞扫描工具,并建立了漏洞发现、分析、补丁修复的完整工作机制,但漏洞与补丁管理最容易在两个方面产生疏漏,一是漏洞情报获取的滞后,二是设备资产梳理不清。非常容易导致信息安全的木桶效应,即一块短板导致整个防线崩溃。

漏洞情报获取的时效性提升可以纳入到前面说讲的威胁情报收集工作中,尽可能从外部更快速的渠道获取并以可机读的方式与防护系统联动;设备资产清单梳理方面,资产的梳理范围和颗粒度划分、以及信息采集的自动化程度是制约设备资产请安管理工作取得实质性成效的重要因素。

然而现实中,大多数企业都不重视物联网设备如视频监控、自助机具等如今可以被入侵或当作攻击肉鸡的联网设备清单,缺少Struts2、Open SSL 等组件分布情况快速收集的能力等。

转移攻击方面,简单来说,该功能可是企业在黑客攻防中获得时间上的非对称优势,通过蜜罐、系统镜像与隐藏等多种技术使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏、混淆系统接口和系统信息。

此项技术对于研究攻击者手法、检测防护系统不足甚至刻画黑客的攻击画像等都十分有利,但考虑到该类技术的应用场景复杂性,引入时应考虑更加全面充分。

(图片来源于网络)

安全检测阶段

该阶段的主要目标是及时发现各类外部直接的或潜伏的攻击。在这个阶段是传统安全防护体系中,各个企业投入最大且最为依赖的部分,因此也是构建数据驱动的自适应安全防护架构最需要做出改变的阶段。

一是从传统的只重视边界流量(如互联网与第三方入口的IPS)的安全检测,发展为全流量检测或至少具备任一网络关键路径流量的检测能力,因为攻击者不可避免地会绕过传统的拦截和预防机制,一旦进入内部传统的检测防护机制就难以发现。

二是从静态的基于特征码的检测,如目前的IPS、防病毒、WAF 等,发展到基于异常的动态检测,正如前面提到的,很多APT 攻击者利用的是0day 漏洞或者利用经过多态和变形的恶意代码进行攻击,无法被传统基于特征码的检测手段发现,但通过异常行为分析是有可能发现的。

目前业界主要通过进入沙箱检测技术,将网络、终端、邮件等系统中获取到的可执行文件等在沙箱环境运行,并观察相关进程创建或调用、文件或资源访问行为、注册表修改等是否存在异常。

然而,沙箱逃逸技术的蓬勃发展(即通过主动识别沙箱环境而不执行相关代码、利用时间差埋伏一段时间再启动等),使得对于异常的分析不能完全依赖于沙箱,而是通过异常流量检测、机器学习、关联分析等大数据分析手段进行自适应安全检测。

三是加大云平台的安全监测能力。随着Iaas、Paas 等云平台的不断扩充,越来越多的企业核心业务正逐渐从传统的服务器迁移至私有云或混合云。除了云平台带来的扩展灵活性、高可用性、运维便捷性外,也会带来新的安全挑战。

虚拟化层hypervisor 的安全漏洞与安全控制问题,如虚拟机逃逸问题,会产生一锅端的较大风险;安全设备和安全防护手段的虚拟化软件化将带来攻击面的扩大。

云上应用的数据高度集中,用户及权限管理方面管控不严格也存在客户信息泄露风险;系统、网络和存储资源复用,既给数据有效隔离和保护带来挑战,也存在安全风险传导的隐患;原有实体网络之间的网络边界、实体设备之间的物理边界已经模糊,不同安全等级的网络区域整合到了一个网络区域中,给网络边界防护带来挑战;不同安全级别的信息系统使用云平台上同样的资源,对安全分级保护和安全管理增加难度和复杂度。

但反过来云平台也会给安全防护带来积极的一面,如网络隔离的灵活多样和更精细的颗粒度;全局网络流量的镜像抓取与检测更加容易;安全防护设备虚拟化后的灵活定制能力等。

因此,我们可以通过几个方面综合提升云平台的安全检测能力进而降低整个云平台的安全风险。

首先,实现云平台跨虚拟机内部的全流量采集与监测,例如目前有很多针对openstack 的流量监控方案;

其次,通过软件定义安全的方式,充分利用安全防护设备的软件化虚拟化,实现个性化流量监测策略,例如针对不同的web 应用业务实现不同的WAF 策略,而无需像以往一样受限与固定硬件设备的一些掣肘;

再次,实现不同安全防护设备的云化集中监测能力,云平台自身的特性和云计算的强大能力使得各类安全检测设备云化后,安全日志等安全检测信息的整合集中与关联能力更容易获得。

四是从系统安全检测发展到重视应用和业务层面安全问题的检测能力。对于资金欺诈、撞库洗库、恶意频繁交易等业务层面的安全检测能力也应该得到进一步加强,主要包括:

(1)外部威胁情报引入与反欺诈系统的联动,例如恶意钓鱼网站、恶意IP等;

(2)反欺诈系统监控变量、模型与规则的丰富,例如生物认证信息、移动终端位置信息、更加丰富的移动和固定终端的设备指纹信息等;

(3)基于机器学习的异常流量检测和反欺诈交易行为检测。

综上所述,持续而严密的异常动态安全检测是自适应安全架构的核心,全网流量检测、沙箱技术、大数据分析能力、面向业务安全的检测技术等,共同构成了我们构建下一代信息安全防护体系的核心能力建设目标。

安全响应阶段

该阶段的目标是一旦外部攻击被识别,将迅速阻断攻击、隔离被感染系统和账户,防止进一步破坏系统或扩散。

常用的隔离能力包括,终端隔离、网络层IP 封禁与隔离、系统进程、账户冻结、应用层阻断和主动拒绝响应等。这些响应措施在新一代数据驱动的自适应安全防护体系中最重要的目标是能够跟基于大数据的安全检测系统进行有效对接,自动根据检测结果进行触发或者提示人工判断后自动触发。

因此,在建立下一代安全防护体系过程中,必须把响应阶段与安全检测阶段一体化考虑。同时,在做好自身的响应准备时还要充分考虑外部服务商、合作方的共同应急响应或风险传导控制。

一是一些应用攻击的影响控制需要应用系统侧采取验证码控件、后台交易频率限制、输入过滤等措施进行真正有效的应急处理,但通常这类措施受限与供应商或内部开发团队的影响上线周期过长,因此要提前建立快速响应机制。

二是使用CDN 服务情况下面临外部攻击时,恶意攻击的阻断和地址封禁等需要CDN厂商同步实施,但其封禁时效性以及CDN 自身入侵防护能力可能存在不足。如何第一时间从CDN 获取详细信息、如何在CDN 侧响应过慢时主动切换CDN 或者切回源站、如何考核督促CDN 等都是需要高度重视的问题。

三是系统层面快速阻断与隔离手段通常较网络隔离与封禁等使用的较少,例如进程中止与隔离、文件锁定与隔离、用户会话中断与用户锁定等。

四是回溯能力不足,一方面需要构建大数据分析平台,还原和展现事件发生前后关键路径上所发生的一切,利用运营商、安全厂商、BAT 等互联网大数据威胁情报进行溯源和快速响应。

结语

本文结合日益突出的APT 攻击问题,针对性的提出了目前传统静态防御技术体系和应急式威胁响应防护机制的不足,并按照PPDR 模型,简要描述了构建下一代数据驱动的安全防护体系建设四个阶段(安全预测、安全防护、安全检测、安全响应)的建设目标、内容和关键技术思路,打造一个内外联动的、预防为主的、具有整体威胁感知和快速响应处理能力的持续信息安全响应平台。

作者

金海旻,博士,高级工程师,主要从事应用密码学、网络攻防与数据库安全相关研究。

顾骏,本科,高级工程师,主要从事国内外信息安全管理体系理论与实践、企业级病毒防护体系、身份认证技术与应用、金融IC 卡技术等相关研究。

金晶,本科,高级工程师,主要从事信息安全审计与取证技术、数据安全相关技术、ZOS 大型主机安全技术等相关研究。

(本文选自《信息安全与通信保密》)

声明:本文来自信息安全与通信保密杂志社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。