应对APT攻击的最新技术_第1页
应对APT攻击的最新技术_第2页
应对APT攻击的最新技术_第3页
应对APT攻击的最新技术_第4页
应对APT攻击的最新技术_第5页
全文预览已结束

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、应对APT攻击的最新技术2013-11-08网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要 就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的 称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击,或者称之为 “针对特定目标的攻击”。这些攻击统称为新型威胁。一般认为,APT攻击就是一类特定的攻击,为了获取某个组织甚至是国家 的重要信息,有针对性地进行的一系列攻击行为的整个过程。APT攻击利用了多 种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组 织内部的权限。APT往往利用组织内部的人员作为

2、攻击跳板。有时候,攻击者会 针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。此外,APT 攻击具有持续性,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段, 以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能 既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备整合起来的 管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是, 这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取等新 型威胁。新型威胁的综合分析APT攻击主要呈现以下技术特点:1、攻击者的

3、诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而 企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、 全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;2、攻击者也经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装 成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地 址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往 都是0day漏洞,传统的邮件内容分析也难以奏效;3、还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多 企业和组织的网站在防范SQL注入攻击方面缺乏防范;4、初始的网络渗透往往使用利用

4、0day漏洞的恶意代码,而企业和组织目 前的安全防御/检测设备无法识别这些0day漏洞攻击;5、在攻击者控制受害机器的过程中,往往使用SSL连接,导致现有的大部 分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力;6、攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定 会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征,这 导致现有绝大部分基于特征库匹配的检测系统都失效了 ;7、还有的企业部署了内网审计系统、日志分析系统,甚至是安管平台,但 是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对 外部入侵的综合分析。由于知识库的缺乏,

5、客户无法从多个角度综合分析安全事 件,无法从攻击行为的角度进行整合,发现攻击路径。因此,在APT这样的新型威胁面前,大部分企业和组织的安全防御体系都 失灵了。保障网络安全亟需全新的思路和技术。二、新型威胁的最新技术发展动向新型威胁自身也在不断发展进化,以适应新的安全监测、检测与防御技术带 来的挑战。以下简要分析新型威胁采取的一些新技术。精准钓鱼。精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼 (spear phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页, 其他人看到的则是404 error。也就是说,如果你不在名单之列,看不到钓鱼网 页。如此一来,一方面攻击的精准

6、度更高,另一方面也更加保密,安全专家更难 进行追踪。高级隐遁技术。高级隐遁技术是一种通过伪装和/或修饰网络攻击以躲避信 息安全系统的检测和阻止的手段。高级隐遁技术是一系列规避安全检测的技术的 统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、 通讯加密、0day漏洞利用等技术。沙箱逃避。新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检 测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自 动化执行的沙箱没法检测到可疑行为。有的恶意代码会设法欺骗虚拟机,以逃避 用虚拟机方式来执行的沙箱。三、新型威胁的应对之策(一)总体思路2012年8月,RSA发布了著

7、名的报告一一当APT成为主流。报告提及 了现在组织和企业中现有的安全防护体系存在一些缺陷,导致很难识别APT攻 击。现有的防护体系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和组织结构,以及 工作流程等等都存在不足。报告指出,应对APT需要采取一种与以往不同的信息 安全策略及方法。该方法更加注重对核心资产的保护,以数据为中心,从检测威 胁的角度去分析日志,注重攻击模式的发现和描述,从情报分析的高度来分析 威胁。报告提出了 7条建议:1、进行高级情报收集与分析。让情报成为战略的基石。2、建立智能监测机制。知道要寻找什么,并建立信息安全与网络监控机制, 以寻找所要寻找之物。3、重新分

8、配访问控制权。控制特权用户的访问。4、认真开展有实效的用户培训。培训用户以识别社会工程攻击,并迫使用 户承担保证企业信息安全的个人责任。5、管理高管预期。确保最高管理层认识到,抗击高级持续性攻击的本质是 与数字军备竞赛战斗。6、重新设计IT架构。从扁平式网络转变为分隔式网络,使攻击者难以在 网络中四处游荡,从而难以发现最宝贵的信息。7、参与情报交换。分享信息安全威胁情报,利用其他企业积累的知识。Verizon发布的2013年数据破坏调查报告中则更加简明扼要的概括了 应对APT的最高原则知己,更要知彼,强调真正的主动安全是料敌先机, 核心就是对安全威胁情报的分析与分享。(二)技术手段分析从具体的

9、技术层面来说,为了应对APT攻击,新的技术也是层出不穷。从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破, 任一环节能够识别即可断开整个链条。根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、 识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环 节入手。而不论从哪个环节入手,都主要涉及以下几类新型技术手段:基于沙箱的恶意代码检测技术。要检测恶意代码,最具挑战性的就是利用 0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测 技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境,让可疑文件在 这个模拟环境中

10、运行起来,通过可疑文件触发的外在行为来判定是否是恶意代 码。沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境。 而虚拟的模拟环境可以通过虚拟机技术来构建,或者通过一个特制程序来虚拟。基于异常的流量检测技术。传统的IDS都是基于特征(签名)的技术去进行 DPI分析,有的也用到了一些简单DFI分析技术。面对新型威胁,DFI技术的应 用需要进一步深化。基于Flow,出现了一种基于异常的流量检测技术,通过建 立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯, 以及信息渗出。本质上,这是一种基于统计学和机器学习的技术。全包捕获与分析技术。应对APT攻击,需要做好

11、最坏的打算。万一没有识 别出攻击并遭受了损失了怎么办?对于某些情况,我们需要全包捕获及分析技术 (FPI)。借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特 定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析。通过内 建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题。信誉技术。信誉技术早已存在,在面对新型威胁的时候,它可以助其他检 测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库,还 是威胁情报库,都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的 构建,这需要一个强有力的技术团队来维护。综合分析技术。所谓综合分析,就是在

12、前述所有技术之上的,并且涵盖传 统检测技术之上的,一个横向贯穿的分析。我们已经知道APT攻击是一个过程, 是一个组合,如果能够将APT攻击最多环节的信息综合到一起,有助于确认一 个APT攻击行为。综合分析技术要能够从零散的攻击事件背后透视出真正的持 续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势 分析技术、情境分析技术,等等。人的技能。最后,要实现对新型攻击的防范,除了上述新的监测/检测技术 之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实 践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等 等。安全专家的技能永远是任何技术都无法

13、完全替代的。黑客学院(Hacker Academy)的联合创始人兼首席运营官Aaron Cohen认为, 现在系统可以攻击的路径太多,了解系统要比如何防守系统容易的多,黑客总是 能找到系统最脆弱的短板。FireEye的首席安全战略官Richard Bejtlich同意这个观点,他表示:“在 网络空间里进攻方占着先手,防守方处于被动。”但Bejtlich认为,即使攻击 者获得未授权的访问,也不代表着他就“赢”了。因为访问的最终目的是盗取数 据和破坏系统,在这之前还不能称之为赢,而防守方所要做就是阻止这种情况的 发生。太多的安全人员把精力浪费到战略上并不重要的事务中,这才是最大的问 题。Cohen

14、表示,之所以坏人显得比好人聪明,是因为那些失败的安全防范,并 不是专业人员在做,而是一些传统的IT人员,一些被网络钓鱼或社会工程手段 欺骗的其他部门的职员,甚至还有第三方承包商,为攻击者打开了方便之门。“人们的愚蠢没有补丁可打”不过安全专家都一致同意,防护能力应该能够提高,但要做到这一点,良 好的安全培训是必不可少的。“从大学教育的水平统计,已经有一段时间没有培育出足够的信息安全专 业人员。”赛门铁克网络安全组的高级经理Michael Garvin表示。然而这还只 是开始,未来需要的安全人员不只是信息安全专业的大学生,还需要具有实际操 作、现实经验的职业人员。如同飞行员在真正上机前要在模拟环境

15、试飞上千小时, 才能通过不断的重复形成安全环境中的肌肉记忆。Bejtlich对此表示赞同:“我不会听一个没有时间做企业安全工作的教授 讲信息安全课。” Cohen则表示:“中学和大学教育在信息安全方面比较落后, 从书本上无法得到真正的培训”。Cohen建议,网络安全培训必需更加注重实际 操作,有点类似于职业学校。”然而,如果学院或大学想要提升信息安全课程的教学质量,则需要专业人 员的合作。Avecto职业服务副总裁Andrew Avanessian认为:“大学院校与职 业服务机构和信息安全圈的关系需要加强,信息安全业界要联合大学院校并在技 术与技能方面给予指导和建议,这是不断变化的信息安全环境

16、的需要。”Avanessian认为,除了获得计算机学位以外,在安全事业的道路上还有很 多途径。比如攻读数学,或工程和管理。Bejtlich则认为,除了学术培训和技 术能力,还需要战略性的思考,把运营、政策和战略结合起来。而后者正是大多 数技术人员所缺乏的。“战略思想比技能缺口更加重要,太多的安全人员把精力浪费到战略上并 不重要的事务中,这才是最大的问题。”Kellermann也对此表示赞同。他表示俄罗斯黑客的聪明之处就在于“他们 战略性的思考所采取的每一步行动,如同下国际象棋,无论是进攻方还是防守方, 都会考虑8步到12步之多。”所有的安全专家都同意,仅仅给予安全工作人员更好的培训是不够的,企 业中的所有员工都需要加强安全技术和安全意识的培训。Avanessian表示:“

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论