近几年曝光的一些信息安全事件,使得APT(Advanced Persistent Threat,高级持续性威胁)攻击逐渐引起业界的广泛关注,这一被外界赋予神秘外衣的攻击行为已在全球多个国家的政府和企业内部发生。
顾名思义,所谓APT可以从高级与持续两个方面理解,一是它有比较明确的攻击目标,采用多种侦查手段全方位搜集情报,并利用多种入侵技术;二是攻击准备和攻击过程的持续时间都很长,直至达到其目的。
回顾过往发生过的典型APT攻击案例,无论是RSA SecurID遭窃取攻击,谷歌极光攻击事件,伊朗核电站震网攻击事件等等,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉对象网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式,并最终致使用户遭受巨大损失。
对于用户来说,普遍关心的是如何有效发现并阻止APT攻击,对于整个安全服务的产业来说,也在思考如何为客户提供防御APT的能力。伴随着这一攻击行为的愈演愈烈,安全防御能力的建设过程无疑需要加快。
APT事件的样本集之外
由于APT本身带有高度的定向性和隐蔽性,“迄今为止,中国的网络安全厂商和团队虽然曝光了很多漏洞,但真正就一个以中国为目标进行的一套作业链的揭示依然缺乏有效进展。”安天实验室首席技术架构师肖新光在2014中国互联网安全大会上如是说。
对于一个传统的反恶意代码团队来说拥有海量的样本集,却往往不知道哪一个样本集归属于哪个事件,如何把事件和样本之间的关系建立起来是APT分析的关键之处。
当然,样本集是APT分析的一部分,而且是研究APT最有效、最直接的资源,“但我们匮乏的是它投放、回传的过程。”肖新光说,像震网这样纵深行的APT攻击,对它分析的工作量不在样本集上,而是在于对手场景的仿真、模拟,这个过程超出了我们现有的研究能力和成本。
也就是说,安全服务团队手里拥有小偷作案的痕迹,有他丢在现场的作案工具,却缺少其撬锁时的录像或逃跑时的轨迹。
大数据的联合防控
对安全服务团队的挑战还体现在其他方面,360企业安全产品总监韩志立指出,其一是APT往往具备高级逃逸技术,或者是0day等先进方法的恶意软件。多态和变形使安全团队掌握的攻击特征总不及时,并且数以亿计的规模是检测引擎无法承载。其二,由于攻击者具备内网合法权限,无需使用攻击手段,击者针对现有监控措施,有意识规避,致使传统内网检测方案无法监控内网持续渗透。
从以上不难理解“没有任何一个单独的产品能够实现APT百分百的防御”这一说法。
所以APT防御是一个综合的解决方案,需要在黑客的研究、渗入、数据发现、数据捕获和数据传出等阶段进行全面的防护,这样就需要多个产品之间的协同配合。
国家信息技术安全研究中心特种技术检测处队长曹岳建议用大数据的联合防控来抵御APT,对长时间、全流量数据进行深度分析,以沙箱方式、异常检测模式解决特征匹配的不足,将传统基于实时时间点的检测转变为基于历史时间窗的检测,通过流量的回溯和关联分析发现APT蛛丝马迹。
其中,不可缺少的是要建立专业的事件响应团队,及时查看安全设备的告警信息,快速处理各种安全威胁。
安全情报共享 产业链合作
要实现APT的纵深防御,绝不能形成安全孤岛,必须要多个安全产品之间相互协作。站在更高的角度看,安全厂商之间需要互通情报,协同工作。
众所周知,美国建立了网络安全的完善体系,原国家网络信息安全技术研究所所长云晓春在互联网安全大会上重点介绍了美国反APT的“产业联盟”,无论是FireEye、Bit9、Palo Alto等都是在各自专业领域上的佼佼者,它们充分发挥各自优势、利用自身专业技术,通过安全情报的共享建立了密不透风的一堵墙。
显然,中国在技术标准、监管体制、产业的联合引导上还不足,产业的分工较为同质与分散,只有建立广泛的合作体系与安全框架的蓝图,加强产业链合作才能形成网络安全尤其是APT的有效防御。
