網(wǎng)絡(luò)安全，尤其是Internet互聯(lián)網(wǎng)安全正在面臨前所未有的挑戰(zhàn)，這主要就是來(lái)自于有組織、有特定目標(biāo)、持續(xù)時(shí)間極長(zhǎng)的新型攻擊和威脅，國(guó)際上有的稱(chēng)之為APT(Advanced Persistent Threat，高級(jí)持續(xù)性威脅)攻擊，或者稱(chēng)之為“針對(duì)特定目標(biāo)的攻擊”。這些攻擊統(tǒng)稱(chēng)為新型威脅。

一般認(rèn)為，APT攻擊就是一類(lèi)特定的攻擊，為了獲取某個(gè)組織甚至是國(guó)家的重要信息，有針對(duì)性地進(jìn)行的一系列攻擊行為的整個(gè)過(guò)程。APT攻擊利用了多種攻擊手段，包括各種最先進(jìn)的手段和社會(huì)工程學(xué)方法，一步一步的獲取進(jìn)入組織內(nèi)部的權(quán)限。APT往往利用組織內(nèi)部的人員作為攻擊跳板。有時(shí)候，攻擊者會(huì)針對(duì)被攻擊對(duì)象編寫(xiě)專(zhuān)門(mén)的攻擊程序，而非使用一些通用的攻擊代碼。此外，APT攻擊具有持續(xù)性，甚至長(zhǎng)達(dá)數(shù)年。這種持續(xù)體現(xiàn)在攻擊者不斷嘗試各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。

對(duì)于這些單位而言，盡管已經(jīng)部署了相對(duì)完備的縱深安全防御體系，可能既包括針對(duì)某個(gè)安全威脅的安全設(shè)備，也包括了將各種單一安全設(shè)備整合起來(lái)的管理平臺(tái)，而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個(gè)階段。但是，這樣的防御體系仍然難以有效防止來(lái)自互聯(lián)網(wǎng)的入侵和攻擊，以及信息竊取等新型威脅。

新型威脅的綜合分析

APT攻擊主要呈現(xiàn)以下技術(shù)特點(diǎn)：

1、 攻擊者的誘騙手段往往采用惡意網(wǎng)站，用釣魚(yú)的方式誘使目標(biāo)上鉤。而企業(yè)和組織目前的安全防御體系中對(duì)于惡意網(wǎng)站的識(shí)別能力還不夠，缺乏權(quán)威、全面的惡意網(wǎng)址庫(kù)，對(duì)于內(nèi)部員工訪(fǎng)問(wèn)惡意網(wǎng)站的行為無(wú)法及時(shí)發(fā)現(xiàn);

2、 攻擊者也經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過(guò)濾系統(tǒng)大部分就是基于垃圾郵件地址庫(kù)的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，傳統(tǒng)的郵件內(nèi)容分析也難以奏效;

3、 還有一些攻擊是直接通過(guò)對(duì)目標(biāo)公網(wǎng)網(wǎng)站的SQL注入方式實(shí)現(xiàn)的。很多企業(yè)和組織的網(wǎng)站在防范SQL注入攻擊方面缺乏防范;

4、 初始的網(wǎng)絡(luò)滲透往往使用利用0day漏洞的惡意代碼，而企業(yè)和組織目前的安全防御/檢測(cè)設(shè)備無(wú)法識(shí)別這些0day漏洞攻擊;

5、 在攻擊者控制受害機(jī)器的過(guò)程中，往往使用SSL連接，導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測(cè)系統(tǒng)無(wú)法分析傳輸?shù)膬?nèi)容，同時(shí)也缺乏對(duì)于可疑連接的分析能力;

6、 攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定會(huì)向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒(méi)有明顯的指紋特征，這導(dǎo)致現(xiàn)有絕大部分基于特征庫(kù)匹配的檢測(cè)系統(tǒng)都失效了;

7、 還有的企業(yè)部署了內(nèi)網(wǎng)審計(jì)系統(tǒng)、日志分析系統(tǒng)，甚至是安管平臺(tái)，但是這些更高級(jí)的系統(tǒng)主要是從內(nèi)控與合規(guī)的角度來(lái)分析事件，而沒(méi)有真正形成對(duì)外部入侵的綜合分析。由于知識(shí)庫(kù)的缺乏，客戶(hù)無(wú)法從多個(gè)角度綜合分析安全事件，無(wú)法從攻擊行為的角度進(jìn)行整合，發(fā)現(xiàn)攻擊路徑。

因此，在APT這樣的新型威脅面前，大部分企業(yè)和組織的安全防御體系都失靈了。保障網(wǎng)絡(luò)安全亟需全新的思路和技術(shù)。

新型威脅的最新技術(shù)發(fā)展動(dòng)向

新型威脅自身也在不斷發(fā)展進(jìn)化，以適應(yīng)新的安全監(jiān)測(cè)、檢測(cè)與防御技術(shù)帶來(lái)的挑戰(zhàn)。以下簡(jiǎn)要分析新型威脅采取的一些新技術(shù)。

精準(zhǔn)釣魚(yú)。精準(zhǔn)釣魚(yú)是一種精確制導(dǎo)的釣魚(yú)式攻擊，比普通的定向釣魚(yú)(spear phishing)更聚焦，只有在被攻擊者名單中的人才會(huì)看到這個(gè)釣魚(yú)網(wǎng)頁(yè)，其他人看到的則是404 error。也就是說(shuō)，如果你不在名單之列，看不到釣魚(yú)網(wǎng)頁(yè)。如此一來(lái)，一方面攻擊的精準(zhǔn)度更高，另一方面也更加保密，安全專(zhuān)家更難進(jìn)行追蹤。

高級(jí)隱遁技術(shù)。高級(jí)隱遁技術(shù)是一種通過(guò)偽裝和/或修飾網(wǎng)絡(luò)攻擊以躲避信息安全系統(tǒng)的檢測(cè)和阻止的手段。高級(jí)隱遁技術(shù)是一系列規(guī)避安全檢測(cè)的技術(shù)的統(tǒng)稱(chēng)，可以分為網(wǎng)絡(luò)隱遁和主機(jī)隱遁，而網(wǎng)絡(luò)隱遁又包括協(xié)議組合、字符變換、通訊加密、0day漏洞利用等技術(shù)。

沙箱逃避。新型的惡意代碼設(shè)計(jì)越來(lái)越精巧，想方設(shè)法逃避沙箱技術(shù)的檢測(cè)。例如有的惡意代碼只有在用戶(hù)鼠標(biāo)移動(dòng)的時(shí)候才會(huì)被執(zhí)行，從而使得很多自動(dòng)化執(zhí)行的沙箱沒(méi)法檢測(cè)到可疑行為。有的惡意代碼會(huì)設(shè)法欺騙虛擬機(jī)，以逃避用虛擬機(jī)方式來(lái)執(zhí)行的沙箱。#p#

新型威脅的應(yīng)對(duì)之策

一、總體思路

2012年8月，RSA發(fā)布了著名的報(bào)告——《當(dāng)APT成為主流》。報(bào)告提及了現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷，導(dǎo)致很難識(shí)別APT攻擊?，F(xiàn)有的防護(hù)體系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和組織結(jié)構(gòu)，以及工作流程等等都存在不足。報(bào)告指出，應(yīng)對(duì)APT需要采取一種與以往不同的信息安全策略及方法。該方法更加注重對(duì)核心資產(chǎn)的保護(hù)，以數(shù)據(jù)為中心，從檢測(cè)威脅的角度去分析日志，注重攻擊模式的發(fā)現(xiàn)和描述，從情報(bào)分析的高度來(lái)分析威脅。

報(bào)告提出了7條建議：

1、 進(jìn)行高級(jí)情報(bào)收集與分析。讓情報(bào)成為戰(zhàn)略的基石。

2、 建立智能監(jiān)測(cè)機(jī)制。知道要尋找什么，并建立信息安全與網(wǎng)絡(luò)監(jiān)控機(jī)制，以尋找所要尋找之物。

3、 重新分配訪(fǎng)問(wèn)控制權(quán)?？刂铺貦?quán)用戶(hù)的訪(fǎng)問(wèn)。

4、 認(rèn)真開(kāi)展有實(shí)效的用戶(hù)培訓(xùn)。培訓(xùn)用戶(hù)以識(shí)別社會(huì)工程攻擊，并迫使用戶(hù)承擔(dān)保證企業(yè)信息安全的個(gè)人責(zé)任。

5、 管理高管預(yù)期。確保最高管理層認(rèn)識(shí)到，抗擊高級(jí)持續(xù)性攻擊的本質(zhì)是與數(shù)字軍備競(jìng)賽戰(zhàn)斗。

6、 重新設(shè)計(jì)IT架構(gòu)。從扁平式網(wǎng)絡(luò)轉(zhuǎn)變?yōu)榉指羰骄W(wǎng)絡(luò)，使攻擊者難以在網(wǎng)絡(luò)中四處游蕩，從而難以發(fā)現(xiàn)最寶貴的信息。

7、 參與情報(bào)交換。分享信息安全威脅情報(bào)，利用其他企業(yè)積累的知識(shí)。

Verizon發(fā)布的《2013年數(shù)據(jù)破壞調(diào)查報(bào)告》中則更加簡(jiǎn)明扼要的概括了應(yīng)對(duì)APT的最高原則——知己，更要知彼，強(qiáng)調(diào)真正的主動(dòng)安全是料敵先機(jī)，核心就是對(duì)安全威脅情報(bào)的分析與分享。

二、技術(shù)手段分析

從具體的技術(shù)層面來(lái)說(shuō)，為了應(yīng)對(duì)APT攻擊，新的技術(shù)也是層出不窮。

從監(jiān)測(cè)和檢測(cè)的角度，為了識(shí)別APT，可以從APT攻擊的各個(gè)環(huán)節(jié)進(jìn)行突破，任一環(huán)節(jié)能夠識(shí)別即可斷開(kāi)整個(gè)鏈條。

根據(jù)APT攻擊過(guò)程，我們可以從防范釣魚(yú)攻擊、識(shí)別郵件中的惡意代碼、識(shí)別主機(jī)上的惡意代碼、識(shí)別僵尸網(wǎng)絡(luò)(C&C)通訊、監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)滲出等多個(gè)環(huán)節(jié)入手。

而不論從哪個(gè)環(huán)節(jié)入手，都主要涉及以下幾類(lèi)新型技術(shù)手段：

基于沙箱的惡意代碼檢測(cè)技術(shù)。要檢測(cè)惡意代碼，最具挑戰(zhàn)性的就是利用0day漏洞的惡意代碼。因?yàn)槭?day，就意味著沒(méi)有特征，傳統(tǒng)的惡意代碼檢測(cè)技術(shù)就此失效。沙箱技術(shù)通俗的講就是構(gòu)造一個(gè)模擬的執(zhí)行環(huán)境，讓可疑文件在這個(gè)模擬環(huán)境中運(yùn)行起來(lái)，通過(guò)可疑文件觸發(fā)的外在行為來(lái)判定是否是惡意代碼。

沙箱技術(shù)的模擬環(huán)境可以是真實(shí)的模擬環(huán)境，也可以是一個(gè)虛擬的模擬環(huán)境。而虛擬的模擬環(huán)境可以通過(guò)虛擬機(jī)技術(shù)來(lái)構(gòu)建，或者通過(guò)一個(gè)特制程序來(lái)虛擬。

基于異常的流量檢測(cè)技術(shù)。傳統(tǒng)的IDS都是基于特征(簽名)的技術(shù)去進(jìn)行DPI分析，有的也用到了一些簡(jiǎn)單DFI分析技術(shù)。面對(duì)新型威脅，DFI技術(shù)的應(yīng)用需要進(jìn)一步深化?；贔low，出現(xiàn)了一種基于異常的流量檢測(cè)技術(shù)，通過(guò)建立流量行為輪廓和學(xué)習(xí)模型來(lái)識(shí)別流量異常，進(jìn)而識(shí)別0day攻擊、C&C通訊，以及信息滲出。本質(zhì)上，這是一種基于統(tǒng)計(jì)學(xué)和機(jī)器學(xué)習(xí)的技術(shù)。

全包捕獲與分析技術(shù)。應(yīng)對(duì)APT攻擊，需要做好最壞的打算。萬(wàn)一沒(méi)有識(shí)別出攻擊并遭受了損失了怎么辦?對(duì)于某些情況，我們需要全包捕獲及分析技術(shù)(FPI)。借助天量的存儲(chǔ)空間和大數(shù)據(jù)分析(BDA)方法，F(xiàn)PI能夠抓取網(wǎng)絡(luò)中的特定場(chǎng)合下的全量數(shù)據(jù)報(bào)文并存儲(chǔ)起來(lái)，進(jìn)行歷史分析或者準(zhǔn)實(shí)時(shí)分析。通過(guò)內(nèi)建的高效索引機(jī)制及相關(guān)算法，協(xié)助分析師剖絲抽繭，定位問(wèn)題。

信譽(yù)技術(shù)。信譽(yù)技術(shù)早已存在，在面對(duì)新型威脅的時(shí)候，它可以助其他檢測(cè)技術(shù)一臂之力。無(wú)論是WEB URL信譽(yù)庫(kù)、文件MD5碼庫(kù)、僵尸網(wǎng)絡(luò)地址庫(kù)，還是威脅情報(bào)庫(kù)，都是檢測(cè)新型威脅的有力武器。而信譽(yù)技術(shù)的關(guān)鍵在于信譽(yù)庫(kù)的構(gòu)建，這需要一個(gè)強(qiáng)有力的技術(shù)團(tuán)隊(duì)來(lái)維護(hù)。

綜合分析技術(shù)。所謂綜合分析，就是在前述所有技術(shù)之上的，并且涵蓋傳統(tǒng)檢測(cè)技術(shù)之上的，一個(gè)橫向貫穿的分析。我們已經(jīng)知道APT攻擊是一個(gè)過(guò)程，是一個(gè)組合，如果能夠?qū)PT攻擊最多環(huán)節(jié)的信息綜合到一起，有助于確認(rèn)一個(gè)APT攻擊行為。綜合分析技術(shù)要能夠從零散的攻擊事件背后透視出真正的持續(xù)攻擊行為，包括組合攻擊檢測(cè)技術(shù)、大時(shí)間跨度的攻擊行為分析技術(shù)、態(tài)勢(shì)分析技術(shù)、情境分析技術(shù)，等等。

人的技能。最后，要實(shí)現(xiàn)對(duì)新型攻擊的防范，除了上述新的監(jiān)測(cè)/檢測(cè)技術(shù)之外，還需要依靠強(qiáng)有力的專(zhuān)業(yè)分析服務(wù)做支撐，通過(guò)專(zhuān)家團(tuán)隊(duì)和他們的最佳實(shí)踐，不斷充實(shí)安全知識(shí)庫(kù)，進(jìn)行即時(shí)的可疑代碼分析、滲透測(cè)試、漏洞驗(yàn)證，等等。安全專(zhuān)家的技能永遠(yuǎn)是任何技術(shù)都無(wú)法完全替代的。