- 互聯網安全的40個智慧洞見:2015年中國互聯網安全大會文集
- 360互聯網安全中心
- 8151字
- 2019-07-30 11:25:30
序
從民用攻擊的防御到高級攻擊的捕獲
齊向東
一、網絡攻防的層次與演進
網絡安全是一場無休止的攻防戰,攻擊技術、防御技術與安全服務都在這種不斷的對抗中升級和演進。而與技術和產品同時進化的,還有我們對安全問題的關注點與認知。
十幾年前,安全工作者們普遍關注的是木馬、病毒、掛馬、釣魚等純粹的民用安全問題。事實上,當網絡終端缺乏基本有效的安全防護時,普通網民成為網絡攻擊的主要目標是必然的。當所有人都面臨著同樣嚴峻的安全威脅時,當每天都有幾十萬甚至上百萬臺電腦被木馬感染時,很少會有人去關心那些隱藏在海量攻擊事件中的個體差異。
進入21世紀的第二個十年,隨著電腦安全軟件以及第三方打補丁技術的普及,個人電腦安全保護問題得到了初步的解決,單個木馬病毒的大規模傳播事件已經基本絕跡。此時,移動互聯網的安全性問題開始受到安全工作者們越來越多的關注。而特別值得一提的是,以CSDN泄密事件為標志,商業網站及商業系統的安全性問題,包括入侵、篡改、拖庫、撞庫、個人信息泄漏,以及DDoS(Distributed Denial of Service,分布式拒絕服務)攻擊等,也都開始成為安全工作者們關注的重心和焦點。
而到了2015年,安全工作者們的關注點又再次發生了巨大的轉變和飛躍。在這一年里,業界同仁們最愛談論的前沿話題是“APT攻擊”(Advanced Persistent Threat,高級持續性攻擊),這是一種針對性、隱蔽性極強的網絡攻擊行為。而引發這場關注的是2015年5月,360發布的一份APT研究報告《OceanLotus數字海洋的狩獵者》。該報告披露了一個對境內特定目標持續攻擊長達4年之久的境外專業黑客組織。這也是國內企業發布的首份專業的APT研究報告。報告發布后,立即引起了整個行業的關注和熱議。隨后,安天、綠盟、啟明星辰等多家專業的安全廠商都紛紛展開了不同角度、不同程度的APT研究。
關于APT的研究,歐美國家起步較早,2006年就已經有相關的概念被提出,2010年以后開始受到廣泛的關注。而國內關于APT的研究則相對起步較晚。造成這種情況的主要原因有以下幾個方面。
第一,盡管國內安全廠商在民用安全技術方面已經處于世界領先水平,但APT攻擊的針對性強,隱蔽性高,使用一般的、傳統的民用安全技術,很難發現;
第二,APT攻擊的主要目標不是普通個人,而是特定的組織機構,包括政府、大企業和研究機構等,而國內傳統的企業安全服務商,受到技術條件和相關體制的限制,大多不具備充分的數據收集和數據分析的能力,因此很難在實踐中捕獲真正的APT攻擊;
第三,APT組織大多擁有政府背景,相關研究比較敏感,國內安全企業在這方面的研究和成果披露都會比較謹慎。
不過,國內安全企業也有自己獨特的優勢。尤其是像360這樣的互聯網安全企業,其擁有的互聯網技術與大數據技術的能力基礎,是絕大多數國外安全廠商所不具備的。因此,雖然我們在APT方面的研究起步晚于歐美國家,但我們的進步卻非常之快。截至2015年年底,360威脅情報中心已經監測到針對中國境內目標發動APT攻擊的境外高級攻擊組織多達29個,其中15個APT組織曾經被國外安全廠商披露過,另外14個APT組織為360威脅情報中心首先發現并監測到的。而除了360之外,其他多家傳統企業安全服務商也紛紛展開了各種與APT相關的安全研究,從而使APT的研究一下子成為行業研究的前沿熱點。
APT的研究與發現與傳統的安全技術方法有很大的不同。傳統的安全技術更加注重對已知威脅的防御能力。典型的檢測方法就是用各種已知的樣本對安全產品或防御系統進行測試,以查殺率和誤殺率作為產品能力的評判指標。但實際上,隨著網絡形態的日益復雜化,未知威脅越來越多,特別是在APT等高級攻擊中,未知威脅才是最主要的安全威脅。因此,能否發現或看見未知的威脅,就成為應對高級攻擊能力的關鍵所在。
以APT為代表的高級網絡攻擊,無論是從攻擊思想,攻擊目標,攻擊技術,還是攻擊影響來看,都與民用領域和一般商用領域的網絡攻擊有著巨大的不同。這也就使得我們不可能簡單使用一般的民用安全技術來應對APT攻擊。目前,國內外關于APT攻擊的檢測與防御技術有很多不同的方法。但從實踐效果看,以大數據為基礎的新型安全技術體系最具發展前景。
二、民用攻擊與高級攻擊的對比
一般來說,黑客針對普通網民發動的網絡攻擊是一種成本攻擊和概率攻擊,攻擊目標并不確定,但攻擊目的主要是為了獲取經濟利益。而如APT這樣的高級攻擊,則是一種價值攻擊、定向攻擊,攻擊目標非常明確,攻擊目的主要是情報竊取。如果做一個形象的比喻,一般的民用攻擊就像是“入室行竊的小偷”,而高級網絡攻擊則更像是一個專業的“寶石大盜”。
入室行竊的小偷通常并不會選擇固定的偷盜對象,也不是專門選定最有錢的住戶去偷,而是會盡可能地選擇那些容易得手的住戶去下手。比如,一個小區里家家的窗戶都裝上了護欄,只有幾家沒有裝,那么小偷自然就會優先從這幾家沒有安裝護欄的住戶下手。小偷之所以會這樣做,實際上就是一種成本與收益的綜合考慮,小偷也會綜合考慮下手的難度、被抓的風險和盜竊收益之間的關系。有的人家很有錢,但如果下手難度太大,小偷就不會輕易下手。而且聰明的小偷一旦在一個住戶那里得手,為了防止被抓,通常不會在同一個小區反復作案。
針對普通網民的網絡攻擊也是這樣。攻擊者總是會盡可能地選擇那些系統沒打補丁、沒裝安全軟件、缺乏安全意識、防護水平較低的用戶去下手。至于被黑的人具體是誰,攻擊者其實并不太關心。而攻擊一旦成功,不論是盜號、劫持、釣魚還是其他惡意行為,最終對用戶造成的損失主要就是財產損失以及一定程度的電腦破壞。而且除非是用戶在錢款被盜之后長期不采取任何有效的補救措施,否則,通常情況下,攻擊者很少會在一個普通網民的電腦或手機上反復作案。騙成一筆,攻擊者就會立即轉向其他的目標。也就是說,電腦不裝安全軟件或安全軟件不是最強的用戶,是整個互聯網安全的短板,這些短板用戶是互聯網上的重災區。
而寶石大盜的做法則完全不同。寶石大盜一旦盯上了某顆寶石,不論其防護多么嚴密,都會想方設法去盜取;而且越是對于防護嚴密的寶石,越會采取長期的、有針對性的作案策劃;以及相對比較復雜、高級的作案手段;在得到寶石之前不會輕易停手。這有點像我們熟悉的一部著名電影《碟中諜》中所講述的故事:雖然主人公想要盜取的東西在一棟大樓里經過了層層嚴密的高科技保護,但主人公還是想盡各種辦法,歷經各種危險,最終成功盜取了被保護的東西。大有一種不達目的誓不罷休的勁頭。
如APT這樣的高級網絡攻擊也是如此。由于被攻擊的組織的網絡系統中存在著價值無法用金錢來估算的機密的情報信息,因此,攻擊者會通過對目標機構、目標人群的長期研究和持續攻擊,有的時候甚至是不計代價的網絡攻擊,來實現對機密信息的竊取。攻擊者的攻擊目標和攻擊目的都非常的明確,他們既不會因為被攻擊目標防御嚴密而罷手,也不會得手一次就跑路走人,而是會長期的、對同一目標進行持續不斷的網絡攻擊,直至自己的攻擊行為暴露為止。
高級攻擊與民用攻擊還存在其他一些明顯的區別。
從攻擊范圍來看:在民用攻擊中,攻擊者往往會不斷對大量不同的目標發動攻擊,由于攻擊的目標比較廣泛,因此通常情況下都很難完全逃過安全軟件的監控;但高級攻擊則恰恰相反,被攻擊的目標人群非常有限,甚至可能少到個位數,因此,被發現和監控的難度就非常大。
從攻擊技術來看:在民用攻擊中,攻擊者所使用的技術手段通常不會特別高級,這一方面是由于開發者的水平有限——高水平的攻擊者往往會選擇價值更高的攻擊目標而不是普通網民,另一方面也是由于攻擊普通網民不需要太高超的技術水平,攻擊者也會考慮攻擊成本;但在有組織的高級網絡攻擊中,攻擊者往往會使用非常復雜的技術手段,如免殺技術、加密技術、云控技術、環境分析技術、自我銷毀技術,以及漏洞利用技術等多種高級技術手段,來盡可能隱藏自己并突破專業的安全防護。很多APT組織甚至能夠利用多個高危0day漏洞發動攻擊,使被攻擊的目標防不勝防。
從攻擊隱蔽性來看:在民用攻擊中,盡管攻擊者在攻擊成功之前會盡可能地隱藏自己,可一旦目的達成,錢款到手,往往就會很快被受害者發現,并暴露自己的攻擊意圖,隨后,攻擊者就會立即跑路走人,正所謂“打一槍換一個地方”;但在高級網絡攻擊中,攻擊者則始終會盡可能的長期隱藏自己,即使攻擊得手,也還會繼續隱藏自己并力求不斷擴大戰果。
從攻擊途徑來看:在民用攻擊中,攻擊者大多是通過社交工具、電商網站、電話短信、搜索引擎等公開途徑對目標實施攻擊,這些攻擊大多處于公開或半公開的狀態,很容易被第三方監測和發現;而在高級攻擊中,攻擊者最常用的攻擊方式是魚叉郵件和水坑攻擊,前者是向指定攻擊目標發送含有惡意代碼的郵件,后者則是在指定目標日常上網的必經之路上設置陷阱,這些攻擊方法都比較隱蔽,不容易被第三方監測和發現。
例如,某APT組織黑掉了一個企業的官方網站后,在網站上植入了一個偽裝成Flash更新的木馬程序。當該企業員工訪問這個網站時,就會看到Flash的更新提示,不明所以的員工一旦運行了更新包,電腦也就中招了。
從社會工程學角度來看:民用攻擊中使用的社工手法大多具有通用性,至少是普遍適合某一類人群;而高級攻擊中所使用的社工手法,針對性則特別強,攻擊者甚至會長期對目標的業務領域、工作背景、行業情況進行長期深入研究后,再對目標展開社會工程學攻擊。
比如,在我們已經截獲的一些APT攻擊中,攻擊者向特定目標發送的魚叉郵件中帶有病毒,但郵件的標題和附件的文件名卻很有針對性和欺騙性:如“國家***的緊急通報”“最新***照片與信息.jpg”“本周工作小結及下周工作計劃”“2015年1月12日下發的緊急通知”“商量好的合同”等。對于相關組織或企業的特定工作人員來說,一般很難識別出其中的破綻,他們很可能看到郵件后就會趕緊打開郵件并下載附件,于是電腦就中招了。甚至還有攻擊者會冒充行業會議的組織者,與攻擊目標進行很多輪次的郵件往來交互,最終才使目標成功中招。
三、民用攻擊與高級攻擊防御技術的對比
面對不同類型的攻擊,安全策略也必然會有所不同。過去十年間,安全服務關注的大多是普遍發生的民用攻擊,而在最近一兩年間,高級攻擊的發現與防御才成為國內安全工作者關注的焦點。
從基本安全策略來看:對于民用攻擊來說,安全服務考慮的重點自然是如何進行有效的防御;而對于高級網絡攻擊來說,則應以“一定防不住”為出發點制定安全策略,優先考慮的不是如何防,而是如何才能夠看見和發現新的威脅。
從防護優先級來看:在民用攻擊中,安全服務會優先查殺和防御那些攻擊范圍廣、感染量大的木馬病毒,而對于偶發的個例攻擊,則可能會在兼顧效率的原則下,有選擇地忽略;但在高級網絡攻擊中,即便是只有一個用戶被攻擊,安全服務也不能輕易的將其忽略,因為這一個用戶就有可能是一個高價值APT目標。
從防御的深度來看:在民用攻擊中,安全服務只要能成功阻止攻擊,就算是防御成功了,通常不會特別關心攻擊的源頭和背后的攻擊者;但在面對高級攻擊時,安全服務就必須要具有關聯分析和溯源分析的能力,因為只要攻擊的源頭還存在,那么對特定目標的攻擊就不會停止。從這個角度看,民用攻擊中的安全服務就像是小區保安,只管保護,不管抓人,也不管破案;而高級攻擊中的安全服務則像是偵探或警察,必須有能力分析現場,追捕嫌疑人。
從核心技術手法來看:民用攻擊的防御主要靠的是具體的攻防技術,包括驅動、引擎、沙箱、云端技術等多個方面;但高級攻擊的發現主要靠的是數據技術,包括數據采集、數據分析與數據呈現等多個方面。沒有大規模、翔實的數據記錄,就不太可能發現那些隱蔽性極強的高級攻擊;同樣,如果沒有足夠效率的數據關聯分析技術,也無法真正有效地追蹤攻擊者的實時變化。當我們需要在一個企業的內部網絡中發現高級攻擊時,就需要對這個企業內部網絡的數據進行充分的采集和記錄;而當我們需要在整個互聯網上分析或捕獲高級攻擊時,則需要我們對整個互聯網的數據有充分的采集和記錄,并且有足夠的大數據處理能力來快速的從海量數據中撈出針一樣細小的高級攻擊事件。
四、新一代安全理念:數據驅動安全
數據驅動安全,這不僅是當下公認的新一代網絡安全理念,同時也是2015年中國互聯網安全大會的主題。數據能力必將成為未來安全企業競爭力的核心要素,特別是在高級網絡攻擊的發現過程中,數據的作用至關重要。那么,從安全的角度看,數據能力究竟包括哪些方面呢?第一是安全數據的采集能力。
顯然,數據本身是數據能力的基礎,沒有充分的數據采集,就談不上任何的數據能力。而數據采集的能力又可以分為以下幾個方面:一是安全數據的歷史積累,如過去若干年的惡意樣本庫、惡意網址庫、查殺記錄等,這對于很多傳統的安全企業和新入行的安全企業來說,的確是一個極大的挑戰;二是最新安全數據的采集能力,這種能力主要取決于安全企業的終端用戶數以及安全服務業務的覆蓋面;三是相關領域的數據采集能力,因為安全事件并不是孤立的網絡事件,它與網絡服務器、DNS解析、網站頁面內容等很多其他方面的網絡信息密切相關,能夠在多大的程度上采集相關領域的數據,決定了安全服務分析的范圍以及有多大的可擴展空間;四是數據采集的維度與粒度,只有足夠豐富的維度和足夠細密的粒度才能保證數據對真實攻擊的呈現是充分的、完整的。
第二是數據的關聯分析能力。
無論是在企業網絡內部還是在整個互聯網上,都會有各種各樣不同的數據在不斷地產生。但能否將這些數據進行有價值的關聯分析,則是發現未知威脅和高級攻擊的關鍵所在。比如,企業內網中可能部署了私有云、防火墻、IPS、IDS、終端管控、終端殺毒等多種安全產品,每個安全產品都會不斷地產生各種安全數據,但由于這些產品往往來自不同的供應商,統計規則、統計角度也各有不同,所以它們之間的數據往往很難實現聯動分析。
但實際上,數據之間往往存在著內在的關聯性。例如,當防火墻監測到一個流量異常時,其對應的攻擊可能是終端上感染了一個木馬,如果終端與防火墻的數據能夠進行真正有效的實時關聯分析,我們就有可能形成聯動效果和快速的威脅發現能力。所以說,能夠將多少種不同維度、不同源頭的安全數據進行有效的關聯分析,也是數據能力的重要組成部分。
第三是機器學習的能力。
對于網絡中實時產生的海量數據,完全使用人工分析顯然是不可能的,這時,機器學習就顯得特別重要。機器學習與人工智能技術,是大數據分析的必備能力。
以往,我們會使用機器學習技術來進行惡意程序的樣本分析。360自主研發的QVM引擎就是全球第一個通過機器學習技術實現的人工智能殺毒引擎,它很好地解決了海量樣本的快速分析與識別問題。而現如今,機器學習在很多其他的安全大數據領域也已經取得了突破。
比如,流量識別在傳統安全技術領域一直是一個讓人頭疼的問題,特別是協議還原技術,既考驗分析系統對層出不窮的各種網絡協議的翻譯能力,同時還會對服務器造成巨大的計算壓力,成本很高。但現在,我們通過機器學習技術,已經可以實現在不解包數據流,不進行任何協議還原,甚至在完全不知道流量包采用的是什么通信協議的情況下,直接通過數據包本身特征分析,對流量進行快速的識別和分類,其準確性、識別效率和可擴展性都遠遠優于傳統的方法。
第四是數據的快速檢索與分析能力。
在網絡對抗中,特別是與高級網絡攻擊的對抗中,分析的速度將決定對抗的勝負。如果攻擊者可以在一分鐘之內完成一次攻擊,而分析者卻需要用一個月的時間才能完成對這一次攻擊的分析,那么即使等到分析結果出來了,也沒有什么實際的意義了。所以,我們必須設法使數據分析與檢索的速度能夠與攻擊者的速度相匹配,甚至比攻擊者速度還要快。這時我們就會發現,如果能夠將搜索引擎的大數據處理技術與互聯網安全技術相結合,就會形成一個完美的組合。而這也正是現代安全大數據引擎技術的核心之一。
例如,在我們已經開發出來的天眼分析系統中,要從90多億條惡意程序樣本庫中檢索到某一個惡意樣本的攻擊歷史及各種網絡關聯信息,檢索時間僅為秒級。而這種超級的檢索與分析速度,正是我們能夠在僅僅不到一年的時間里,就捕獲了29個境外APT組織,并且能夠完整還原這些組織的攻擊歷史的秘密所在。
第五是數據的可視化分析能力。
不過,機器再厲害,安全問題也離不開人工專家的分析。但是,人的肉眼是很難直接讀取海量的數據符號的,這就需要有可視化分析技術的幫助。可視化技術是現代網絡安全技術的一項重要的輔助技術。安全數據的可視化技術可以幫助安全人員更加迅速而有效地分析安全問題,捕獲安全線索,發現未知威脅。安全可視化技術是安全“看見”能力重要的“外在”表現形式。
比如,我們在世界互聯網大會上展示的天眼系統,實際上就是一套前臺展示可視化系統。該系統對各個高級攻擊組織發動的歷史攻擊進行了一個可視化呈現。我們可以在系統中看到不同時間里,境外高級攻擊組織對境內不同類型目標的攻擊行為監測。這屬于數據展示的可視化技術。
同時,可視化技術更重要的應用是數據分析的可視化技術,這是為安全分析人員使用的一種技術分析工具。比如,天眼系統的后臺分析系統。運用這一系統,我們就可以快速地分析惡意樣本、服務器以及受害者之間的關聯,并迅速地定位網絡攻擊者。
五、未來的高級安全服務:威脅情報
如果我們在一個企業的內網系統中部署了足夠多的數據采集設備,也完全有能力及時地分析和處理各種不同維度的安全數據,是否就已經具備了高級網絡攻擊的發現能力了呢?我們說,這還是遠遠不夠的。因為一個單純部署在內網系統中的數據監測與分析系統,還缺少一個最重要的技術支撐——威脅情報。
這就好比我們去追捕一個金店劫匪,僅僅在金店里設置監控探頭是遠遠不夠的,我們還需要在店鋪周邊的街道上部署一系列的監控探頭,這樣才能夠對劫匪的來路和去路進行全程追蹤。發現高級攻擊也是同樣的道理。僅僅依靠企業自身網絡的內部數據是遠遠不夠的,還需要來自外部的,甚至是整個互聯網上的數據情報,才有可能實現對高級攻擊的完整分析。而這種來自外部的網絡安全情報信息,就是威脅情報。
威脅情報的重要意義在于威脅信息的擴展與延伸。例如,我們在某個企業內部網絡中截獲了一個新的攻擊樣本,但單單憑借這一個樣本,可能很難實現對攻擊者的溯源和對攻擊目的、攻擊組織的深入分析。但借助安全服務商提供的互聯網威脅情報信息,分析人員就有可能快速地找到更多的同源樣本,發現若干的主控服務器,進而全景式地了解攻擊者的攻擊范圍、攻擊手法和攻擊歷史,甚至找到幕后的組織集團及其后臺背景。當我們對攻擊者的了解達到這種深度以后,即便不能完全消滅攻擊者,也可以實現切實有效的針對性防御措施。
威脅情報的另外一個重要意義就是威脅的預警與提前防御。比如,某個大型企業遭到了APT攻擊并且被我們截獲,那么,跟它同類型的其他大型企業也很有可能遭到同一組織或同一手法的高級攻擊。如果這個還未遭遇攻擊的企業能夠提前獲得自身潛在攻擊者的威脅情報,那么就完全有可能提前做好防御,避免攻擊者的入侵。再比如,我們如果已經發現某類企業網站系統存在重大的安全漏洞,那么,通過威脅情報,就可以預警所有同類的網站盡快修復相關漏洞,以免被攻擊。
我們在實踐中還嘗試了另外一種特殊的、全新的威脅情報獲取方式,這就是安全輿情監測。我們通過搜索引擎技術,對全球所有的安全類網站、黑客社區和黑客社交賬號進行了監測,通過關注“圈內人士”的關注熱點,也可以提前獲取很多潛在的攻擊信息。例如,2014年,我們就是通過這種方式從網上截獲了一段“心臟出血”漏洞的攻擊代碼;而同年Sony被黑事件發生后,我們也發現,其實幾個月前,就已經有知名的黑客組織在黑客社區里公開討論如何攻擊Sony,并且被我們的安全輿情監測系統所截獲。只是很遺憾,我們當時并沒有充分意識到這一信息的重要性。但這些事例表明,通過安全輿情監測實現威脅態勢的提前感知是完全可行的技術路線。
需要說明的是,威脅情報的產生方法并不唯一,但其中最重要,也是最具實際價值的產出方式,仍然是大數據的方法。
2015年8月,360成立了國內首個可以實際商用的威脅情報中心——360威脅情報中心,目前已經有數十家國內外安全企業和互聯網企業成為了360威脅情報中心的注冊會員,并且360也已經開始以安全服務的形式,向我們的企業客戶推送高價值的威脅情報信息。
六、結語
以2015年為標志,我們已經進入了數據驅動安全的新安全時代。而從民用攻擊的防御到高級攻擊的捕獲,也意味著中國本土的安全企業在技術能力與服務水平上已經上升到了一個全新的高度,并且我們至少在某些方面,已經在全球范圍內達到了領先的水平。