一、傳統(tǒng)安全檢測(cè)體系的挑戰(zhàn)

下一代的威脅已經(jīng)流行，但由于攻擊的專業(yè)性和隱蔽性，其危害被大眾所認(rèn)知還需要較長(zhǎng)的時(shí)間。而其中最大的誤區(qū)在于，傳統(tǒng)的安全檢測(cè)體系能夠檢測(cè)到這些威脅，但是事實(shí)上，傳統(tǒng)安全檢測(cè)體系應(yīng)對(duì)下一代威脅時(shí)，往往是失效的，傳統(tǒng)安全檢測(cè)體系廣泛使用的檢測(cè)技術(shù)有：

基于簽名的檢測(cè)技術(shù)

這類技術(shù)，廣泛使用于傳統(tǒng)殺病毒廠商、IDS、IPS廠商，其技術(shù)原理是通過(guò)獲取已經(jīng)廣泛傳播的攻擊(漏洞、病毒、木馬)樣本，進(jìn)行特征分析與提取，然后將特征寫入檢測(cè)產(chǎn)品中進(jìn)行檢測(cè)，這種方式針對(duì)已知且長(zhǎng)期大量傳播的攻擊比較有效，但是針對(duì)廣發(fā)使用0DAY漏洞、NDAY漏洞變形以及特馬以及病毒木馬變形的下一代威脅則很困難。2013年，SANS發(fā)布了一篇測(cè)評(píng)報(bào)告，報(bào)告選取了國(guó)際知名的主流傳統(tǒng)安全檢測(cè)設(shè)備(HP TippingPoint IPS、Check Point Firewall with IPS Blade、Palo Alto Networks Firewall、Cisco ASA with integrated IPS、Fortinet FortiGate、Snort (in-line mode using Security Onion)，通過(guò)一個(gè)5年前的老漏洞(MS08-067)進(jìn)行變形來(lái)發(fā)起攻擊，以上主流設(shè)備無(wú)一能檢測(cè)到。(報(bào)告下載地址：http://www.sans.org/reading_room/whitepapers/intrusion/beating-ips_34137)，體現(xiàn)了傳統(tǒng)安全檢測(cè)技術(shù)在應(yīng)對(duì)下一代威脅時(shí)的尷尬。

主動(dòng)行為防御檢測(cè)技術(shù)

在實(shí)際運(yùn)行環(huán)境中基于運(yùn)行行為的主動(dòng)防御式檢查，這類技術(shù)，主要使用在殺毒廠商的桌面防御系統(tǒng)上，但由于實(shí)時(shí)監(jiān)控進(jìn)程行為，會(huì)影響用戶使用;同時(shí)由于大量的誤報(bào)，需要用戶對(duì)安全非常了解來(lái)作出判定，很難適應(yīng)企業(yè)級(jí)的需求。同時(shí)，攻擊者也研究出了不是對(duì)抗和繞過(guò)手段。#p#

二、新型威脅檢測(cè)技術(shù)

隨著APT攻擊從2009年開(kāi)始被美國(guó)重視以來(lái)，國(guó)際安全廠商逐步提出了一些新的檢測(cè)技術(shù)并用于產(chǎn)品中，并且取得了良好的效果，這些技術(shù)逐步被重視，開(kāi)始引領(lǐng)起下一代檢測(cè)技術(shù)的變革。主要有：

虛擬執(zhí)行分析檢測(cè)

通過(guò)在虛擬機(jī)上執(zhí)行檢測(cè)對(duì)抗，基于運(yùn)行行為來(lái)判定攻擊。這種檢測(cè)技術(shù)原理和主動(dòng)防御類似，但由于不影響用戶使用，可以最更深更強(qiáng)的檢測(cè)以及防止繞過(guò)和在虛擬機(jī)下層進(jìn)行檢測(cè)。另外可疑性可以由對(duì)安全研究更深入的人員進(jìn)行專業(yè)判定和驗(yàn)證。國(guó)外多家廠商APT檢測(cè)的產(chǎn)品主要使用該技術(shù)。

內(nèi)容無(wú)簽名算法檢測(cè)

針對(duì)內(nèi)容深度分析發(fā)現(xiàn)可疑特征，再配合虛擬執(zhí)行分析檢測(cè)。該技術(shù)需要對(duì)各種內(nèi)容格式進(jìn)行深入研究，并分析攻擊者負(fù)載內(nèi)容的原理性特征。該技術(shù)可以幫助快速過(guò)濾檢測(cè)樣本降低虛擬執(zhí)行分析檢測(cè)的性能壓力，同時(shí)虛擬執(zhí)行分析檢測(cè)容易被對(duì)抗，而攻擊原理性特征比較難繞過(guò)。國(guó)外幾個(gè)最先進(jìn)的APT檢測(cè)廠商檢測(cè)的產(chǎn)品里部分使用了該技術(shù)。

新的檢測(cè)技術(shù)面臨的問(wèn)題

事實(shí)求是的說(shuō)，新的威脅檢測(cè)技術(shù)產(chǎn)品使用后，再以前難以檢測(cè)的APT攻擊上，取得了比較明顯的效果，但應(yīng)該看到：這些效果是在攻擊者還不知道該類產(chǎn)品和相關(guān)技術(shù)原理或取得的，而隨著這些APT攻擊檢測(cè)技術(shù)的日益走向前臺(tái)，攻擊者也清楚了對(duì)抗者的存在和對(duì)抗技術(shù)的原理，之后的對(duì)抗必然產(chǎn)生，而且現(xiàn)有的檢測(cè)技術(shù)在對(duì)抗上面，并不占有優(yōu)勢(shì)，下面是一些可能APT對(duì)抗的手段分析：

◆邏輯執(zhí)行對(duì)抗：攻擊者可以使用如觸發(fā)時(shí)間邏輯，觸發(fā)條件邏輯，檢測(cè)虛擬機(jī)環(huán)境等多種手段來(lái)對(duì)抗虛擬執(zhí)行分析檢測(cè)。

◆云惡意對(duì)抗：攻擊者植入的是無(wú)惡意行為的代碼，通過(guò)檢測(cè)方難以知道的服務(wù)器端動(dòng)態(tài)條件，選擇性的下載惡意代碼來(lái)執(zhí)行以逃過(guò)檢測(cè)。

結(jié)論

APT攻擊的檢測(cè)與對(duì)抗，只是剛剛開(kāi)始，還有很多很長(zhǎng)的路需要走，這需要專業(yè)的研究和產(chǎn)品團(tuán)隊(duì)，長(zhǎng)期投入并研究攻擊者的手段并不斷改進(jìn)新的檢測(cè)技術(shù)和方法，同時(shí)提供更加體系化的檢測(cè)架構(gòu)，才能對(duì)抗APT攻擊帶來(lái)的挑戰(zhàn)。#p#

三、下一代安全檢測(cè)體系思想

即使不考慮人的意識(shí)與管理制度的問(wèn)題，只基于現(xiàn)有IT系統(tǒng)的脆弱性，我們也很難再IT基礎(chǔ)架構(gòu)上從根本上解決安全問(wèn)題，現(xiàn)有IT基礎(chǔ)沒(méi)有客觀技術(shù)標(biāo)準(zhǔn)定義惡意行為，加上大量很少考慮安全的IT產(chǎn)品的廣泛部署和應(yīng)用，注定APT攻擊的檢測(cè)與防御，其實(shí)是專業(yè)攻擊團(tuán)隊(duì)與防御團(tuán)隊(duì)，是人和人，在技術(shù)、安全理解與智力的對(duì)抗。對(duì)于檢測(cè)與防御者來(lái)說(shuō)，短板在于必須兼顧用戶的可用性易用性與習(xí)慣意識(shí)，并要在沖突時(shí)做出重大退讓，而且企業(yè)IT環(huán)境的云化、移動(dòng)化、軟件定義化必然帶來(lái)防御邊界的模糊，攻擊者進(jìn)入路徑過(guò)多，難以面面俱到，同時(shí)要考慮攻擊者潛在可能的對(duì)抗手段以及后續(xù)帶來(lái)的對(duì)方成本和檢測(cè)成本。這就意味：難以期待一個(gè)萬(wàn)能的藥方可以做到極致并全面解決問(wèn)題，而建立一個(gè)縱深、立體的檢測(cè)體系，才能適應(yīng)這種環(huán)境的變化。

下一代安全檢測(cè)體系，必須考慮基于如下角度來(lái)建立：

基于攻擊生命周期的縱深檢測(cè)體系

從攻擊者發(fā)起的攻擊生命周期角度，可以建立一個(gè)縱深檢測(cè)體系，覆蓋攻擊者攻擊的主要環(huán)節(jié)。這樣即使一點(diǎn)失效和被攻擊者繞過(guò)，也可以在后續(xù)的點(diǎn)進(jìn)行補(bǔ)充，讓攻擊者很難整體逃逸檢測(cè)。

◆信息收集環(huán)節(jié)的檢測(cè)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)進(jìn)行掃描、釣魚郵件等類型的刺探活動(dòng)，這些刺探活動(dòng)的信息傳遞到受害者網(wǎng)絡(luò)環(huán)境中，因此可以去識(shí)別這類的行為來(lái)發(fā)現(xiàn)攻擊準(zhǔn)備。

◆入侵實(shí)施環(huán)節(jié)的檢測(cè)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)有基于漏洞利用的載體、木馬病毒的載體傳遞到受害者網(wǎng)絡(luò)環(huán)境中，因此可以去識(shí)別這類的行為和載體來(lái)發(fā)現(xiàn)攻擊發(fā)起。

◆木馬植入環(huán)節(jié)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)釋放木馬并突破防御體系植入木馬。因此可以去識(shí)別這類的行為來(lái)發(fā)現(xiàn)入侵和入侵成功。

◆控制竊取與滲透環(huán)節(jié)：攻擊者在這個(gè)環(huán)節(jié)，會(huì)收集敏感信息，傳遞敏感信息出去，與控制服務(wù)器通訊，在本地滲透等行為。因此可以去識(shí)別已經(jīng)受害的主機(jī)和潛在被攻擊的主機(jī)。#p#

基于信息來(lái)源的多覆蓋檢測(cè)

從攻擊者可能采用的攻擊路徑的角度，可以建立一個(gè)覆蓋廣泛的檢測(cè)體系，覆蓋攻擊者攻擊的主要路徑。這樣避免存在很大的空區(qū)讓攻擊者繞過(guò)，同時(shí)增加信息的來(lái)源度進(jìn)行檢測(cè)。

◆從攻擊載體角度覆蓋：攻擊者發(fā)起攻擊的內(nèi)容載體主要包括：數(shù)據(jù)文件、可執(zhí)行文件、URL、HTML、數(shù)據(jù)報(bào)文等，主要發(fā)起來(lái)源的載體包括：郵件、HTTP流量和下載、IM通訊、FTP下載、P2P通訊。

◆雙向流量覆蓋：攻擊者在信息收集環(huán)節(jié)、入侵實(shí)施環(huán)節(jié)主要是外部進(jìn)入內(nèi)部的流量。但在木馬植入環(huán)節(jié)、控制竊取與滲透環(huán)節(jié)，則包含了雙向的流量。對(duì)內(nèi)部到外部的流量的檢測(cè)，可以發(fā)現(xiàn)入侵成功信息、潛在可疑已被入侵的主機(jī)等信息。

◆從攻擊類型角度覆蓋：覆蓋主要的可以到達(dá)企業(yè)內(nèi)容的攻擊類型，包括但不限于，基于數(shù)據(jù)文件應(yīng)用的漏洞利用攻擊、基于瀏覽器應(yīng)用的漏洞利用攻擊、基于系統(tǒng)邏輯的漏洞利用攻擊、基于XSS、CSRF的漏洞利用攻擊、惡意程序、信息收集于竊取、掃描、嗅探等。

◆從信息來(lái)源角度覆蓋：主要覆蓋網(wǎng)絡(luò)流來(lái)收集流量，但是考慮到加密流量、移動(dòng)介質(zhì)帶入的攻擊等方式，還需要補(bǔ)充客戶端檢測(cè)機(jī)制。同時(shí)為了發(fā)現(xiàn)更多的可疑點(diǎn)，針對(duì)主機(jī)的日志挖掘，也是一個(gè)非常重要的信息補(bǔ)充。#p#

基于攻擊載體的多維度檢測(cè)

針對(duì)每個(gè)具體攻擊載體點(diǎn)的檢測(cè)，則需要考慮多維度的深度檢測(cè)機(jī)制，保證攻擊者難以逃過(guò)檢測(cè)。

◆基于簽名的檢測(cè)：采用傳統(tǒng)的簽名技術(shù)，可以快速識(shí)別一些已知的威脅。

◆基于深度內(nèi)容的檢測(cè)：通過(guò)對(duì)深度內(nèi)容的分析，發(fā)現(xiàn)可能會(huì)導(dǎo)致危害的內(nèi)容，或者與正常內(nèi)容異常的可疑內(nèi)容。基于深度內(nèi)容的檢測(cè)是一種廣譜但無(wú)簽名檢測(cè)技術(shù)，讓攻擊者很難逃逸，但是又可以有效篩選樣本，降低后續(xù)其他深度分析的工作量。

◆基于虛擬行為的檢測(cè)：通過(guò)在沙箱中，虛擬執(zhí)行漏洞觸發(fā)、木馬執(zhí)行、行為判定的檢測(cè)技術(shù)，可以分析和判定相關(guān)威脅。

◆基于事件關(guān)聯(lián)的檢測(cè)：可以從網(wǎng)絡(luò)和主機(jī)異常行為事件角度，通過(guò)分析異常事件與發(fā)現(xiàn)的可疑內(nèi)容事件的時(shí)間關(guān)聯(lián)，輔助判定可疑內(nèi)容事件與異常行為事件的威脅準(zhǔn)確性和關(guān)聯(lián)性。

◆基于全局?jǐn)?shù)據(jù)分析的檢測(cè)：通過(guò)全局收集攻擊樣本并分析，可以獲得攻擊者全局資源的信息，如攻擊者控制服務(wù)器、協(xié)議特征、攻擊發(fā)起方式，這些信息又可以用于對(duì)攻擊者的檢測(cè)。

◆對(duì)抗處理與檢測(cè)：另外需要考慮的就是，攻擊者可以采用的對(duì)抗手段有哪些，被動(dòng)的對(duì)抗手段(條件觸發(fā))可以通過(guò)哪些模擬環(huán)境手段以達(dá)到，主動(dòng)的對(duì)抗手段(環(huán)境檢測(cè))可以通過(guò)哪些方式可以檢測(cè)其對(duì)抗行為。

下一代威脅檢測(cè)思想，就是由時(shí)間線(攻擊的生命周期)、內(nèi)容線(信息來(lái)源覆蓋)、深度線(多維度檢測(cè))，構(gòu)成一個(gè)立體的網(wǎng)狀檢測(cè)體系，攻擊者可能會(huì)饒過(guò)一個(gè)點(diǎn)或一個(gè)面的檢測(cè)，但想全面地逃避掉檢測(cè)，則非常困難。

我們認(rèn)為：只有逐步實(shí)現(xiàn)了以上的檢測(cè)體系，才是一個(gè)最終完備可以應(yīng)對(duì)下一代威脅(包括APT)的下一代安全檢測(cè)體系。當(dāng)然，對(duì)抗是逐步的，產(chǎn)品也是逐步的，新型的下一代威脅檢測(cè)產(chǎn)品會(huì)有一個(gè)逐步演化的過(guò)程。但只有最初的架構(gòu)和演進(jìn)的方向是明晰，且長(zhǎng)期投入到APT攻防對(duì)抗實(shí)戰(zhàn)演練中的安全企業(yè)，才能實(shí)現(xiàn)