随着APT 攻击事件的日益增多,其组织化、潜伏性、持续性、利用0day 漏洞的攻击特点,导致大多数企业采用的传统的基于防火墙、IPS 等边界防护以及病毒恶意特征代码检测等静态安全防护体系已经越来越不能适应外部攻击者和攻击手段的变化,改进、重构攻击防御体系已势在必行。
一、黑客攻击模式
物联网难以避免遭黑客攻击。黑客可以通过渗透并利用成千上万个不安全的设备来发起DDoS攻击。它们可能破坏基础设施,让网络瘫痪,并且随着物联网进入我们的日常生活,这些攻击很可能使真实的人类生命处于危险之中。有专家预测,到2025年,将有750亿个联网的loT设备运行不安全的嵌入式固件,从而导致全世界不确定数量的的关键系统和数据有可能被泄露。
黑客攻击的过程主要分为以下几个阶段:
①侦察跟踪阶段
主要是发现确认目标,收集目标网络、服务状态、相关人员电子邮件、社交信任关系,确定入侵可能的渠道。
②武器构建阶段
主要是创建用于攻击的武器,比如邮件中的恶意代码附件、假冒网站或网站挂马、远程控制通信服务器等。
③突防利用与安装植入阶段
主要是利用系统或网络漏洞、管理机制漏洞、人性弱点等将恶意代码投递到内部目标,获得对系统的控制权。
④通信控制与达成目标阶段
主要是与外部黑客远程控制服务器进行连接,周期性的确认其存活状态,接受指数据窃取、信息收集、破坏等最终任务。
黑客的攻击成功主要还是基于我们目前静态的、被动式防御体系的薄弱点,传统的安全防护体系已经逐渐不能适应外部攻击防护的需要。如何构建新一代安全防护体系成了当前的紧急工程。
二、构建数据驱动的自适应安全防护体系
为了构建数据驱动的自适应安全防护体系,传统的应急式安全响应中心将转变为持续安全响应中心。将从前的Policy 策略、Protect 防护、Detect 检测、Response 响应四个阶段组成的PPDR 安全防护体系转变为以Gartner 最新提出以Predict 预测、Protect 防护、Detect 检测、Response 响应四个阶段组成的新PPDR 闭环的PPDR 安全防护体系,并且在不同阶段引入威胁情报、大数据分析、机器学习、云防护等新技术和服务,从而真正构建一个能进行持续性威胁响应、智能化、协同化的自适应安全防护体系。
预测阶段
该阶段的目标是获得一种攻击“预测能力”,可从外部威胁情报中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到防护阶段和检测功能,从而构成整个威胁处理流程的闭环。这里面有两个关键要素:一是威胁情报本身;二是对威胁情报的利用。
所谓威胁情报,是指一组基于证据的描述威胁的关联信息,包括威胁相关的环境信息、手法机制、指标、影响以及行动建议等。可进一步分为基础数据、技术情报、战术情报、战略情报4 个层次。
基础数据, 例如PE 可执行程序样本、netflow 网络流数据、终端日志、DNS 与whois 记录等;
技术情报, 例如恶意远程控制服务器地址、恶意网站、电话邮件地址、恶意代码HASH 值、修改的特定注册表项、系统漏洞、异常账号等;
战术情报, 包括已发现的外部攻击者和目标信息、攻击手段和过程、可能造成的攻击影响、应急响应建议等;
战略情报, 主要指社会、经济和文化动机、历史攻击轨迹和目标趋势、攻击重点、攻击组织的技术能力评估等。
利用这些情报成为后续防护、检查和响应的基础,我们可以与现有防护系统充分结合,自下而上在网络、系统、终端、应用、业务各个层面进行外部攻击的有效预防。
相关资料显示,65%的企业和政府机构计划使用外部威胁情报服务增强安全检测和防护能力。威胁情报的引入,是从被动式防护专向主动式预防的重要基石。
安全防护阶段
该阶段的目标是通过一系列安全策略集、产品和服务可以用于防御攻击。
这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作,主要分为加固与隔离、漏洞与补丁管理、转移攻击等三个方面。
加固与隔离方面,大部分企业在系统、网络及终端方面进行了大量的投入和系统建设,包括使用防火墙、VLAN 等对不同网络安全区域进行隔离和访问策略控制,终端的802.1x 准入控制与隔离,各类系统、网络设备的安全补丁以及安全配置加固。
漏洞与补丁管理方面,尽管大多数企业都引入了漏洞扫描工具,并建立了漏洞发现、分析、补丁修复的完整工作机制,但漏洞与补丁管理最容易在两个方面产生疏漏,一是漏洞情报获取的滞后,二是设备资产梳理不清。非常容易导致信息安全的木桶效应,即一块短板导致整个防线崩溃。
转移攻击方面,简单来说,该功能可是企业在黑客攻防中获得时间上的非对称优势,通过蜜罐、系统镜像与隐藏等多种技术使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏、混淆系统接口和系统信息。
此项技术对于研究攻击者手法、检测防护系统不足甚至刻画黑客的攻击画像等都十分有利,但考虑到该类技术的应用场景复杂性,引入时应考虑更加全面充分。
安全检测阶段
该阶段的主要目标是及时发现各类外部直接的或潜伏的攻击。在这个阶段是传统安全防护体系中,各个企业投入最大且最为依赖的部分,因此也是构建数据驱动的自适应安全防护架构最需要做出改变的阶段。
一是从传统的只重视边界流量(如互联网与第三方入口的IPS)的安全检测,发展为全流量检测或至少具备任一网络关键路径流量的检测能力,因为攻击者不可避免地会绕过传统的拦截和预防机制,一旦进入内部传统的检测防护机制就难以发现。
二是从静态的基于特征码的检测,如目前的IPS、防病毒、WAF 等,发展到基于异常的动态检测,正如前面提到的,很多APT 攻击者利用的是0day 漏洞或者利用经过多态和变形的恶意代码进行攻击,无法被传统基于特征码的检测手段发现,但通过异常行为分析是有可能发现的。
目前业界主要通过进入沙箱检测技术,将网络、终端、邮件等系统中获取到的可执行文件等在沙箱环境运行,并观察相关进程创建或调用、文件或资源访问行为、注册表修改等是否存在异常。
安全响应阶段
该阶段的目标是一旦外部攻击被识别,将迅速阻断攻击、隔离被感染系统和账户,防止进一步破坏系统或扩散。
常用的隔离能力包括,终端隔离、网络层IP 封禁与隔离、系统进程、账户冻结、应用层阻断和主动拒绝响应等。这些响应措施在新一代数据驱动的自适应安全防护体系中最重要的目标是能够跟基于大数据的安全检测系统进行有效对接,自动根据检测结果进行触发或者提示人工判断后自动触发。
因此,在建立下一代安全防护体系过程中,必须把响应阶段与安全检测阶段一体化考虑。同时,在做好自身的响应准备时还要充分考虑外部服务商、合作方的共同应急响应或风险传导控制。
三、结语
APT攻击问题日益凸显,数据安全防护体系需要不断感知安全形势,传统静态防御技术体系和应急式威胁响应防护不断加强,建立全方位的网络安全防御体系,加快保护信息安全,保障网络安全。