2014年網(wǎng)絡(luò)安全成為熱議話題。2013年,在酣夢中的網(wǎng)絡(luò)安全界被斯諾登事件這一記重錘敲醒,2014年的年初,中央網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組成立了, 并且習(xí)總親自擔(dān)任組長。此小組一經(jīng)成立,立刻有人大力點(diǎn)贊。冰凍三尺非一日之寒,斯諾登事件曝光,折射出多少安全危機(jī)?網(wǎng)絡(luò)安全領(lǐng)導(dǎo)小組的成立相當(dāng)及時! 來聽聽國家領(lǐng)導(dǎo)人們怎么說:
“如今是個信息化的時代,經(jīng)歷這沒有硝煙的戰(zhàn)爭,沒有網(wǎng)絡(luò)安全就沒有國家安全”;
“中國網(wǎng)絡(luò)空間基本處于不設(shè)防的狀態(tài),我們現(xiàn)在所使用的通用芯片,都依賴于美國。95%的操作系統(tǒng)來自微軟。從移動領(lǐng)域來看,三大操作系統(tǒng)平臺都來自美國。而這些領(lǐng)域又是中國網(wǎng)絡(luò)安全隱患的根本所在”;
“西方出口到我國的關(guān)鍵大型設(shè)備和工業(yè)控制軟件中,秘密預(yù)設(shè)后門是一個不爭的事實(shí)”;
“中國既是網(wǎng)絡(luò)大國,同時又是信息竊取、網(wǎng)絡(luò)攻擊的主要受害國”;
……
不聽不知道,一聽嚇一跳!難道我們現(xiàn)在才意識到事態(tài)的嚴(yán)重性?沒有斯諾登,這場迷夢何時會醒?雖然聽起來有點(diǎn)讓人不寒而栗,不過,值得慶幸的是,這次事件給了中國網(wǎng)絡(luò)安全界一次劫后重生的機(jī)會,這只鳳凰浴火重生的時候到了。
不 過也不要一味指責(zé)我們對此什么都沒有做,是敵人太過強(qiáng)大!無論是中國政府還是國內(nèi)的一些廠商,也都在網(wǎng)絡(luò)安全界做過了一些努力,面對猛烈的進(jìn)攻,在一定程 度上會顯得有些不知所措也是情有可原的,防御永遠(yuǎn)跟在進(jìn)攻的后面,現(xiàn)在才悔悟原來我們根本不了解敵情,知己知彼才能百戰(zhàn)不殆,讓我們見識一下強(qiáng)勁的敵人:
APT進(jìn)攻是我們目前所能見識過的最危險(xiǎn)的攻擊之一
從上圖可以看出,這是一種新型的進(jìn)攻形式,從03年開始嶄露頭角,08年開始攻擊次數(shù)一路直線上升,并且目標(biāo)明確、持續(xù)性強(qiáng)、具有穩(wěn)定性。像臥底一樣與信程 序漏洞與業(yè)務(wù)系統(tǒng)漏洞進(jìn)行了融合,不易被察覺,并且有著超常的耐心,在用戶環(huán)境中存在一年以上,不斷收集用戶信息,不收集到重要情報(bào)誓不罷休。制作此類漏 洞的黑客們也并非等閑之輩,不惜使用多個高級的0day進(jìn)行攻擊,可謂藝高人膽大,目標(biāo)也不是普通用戶,而是擁有高價(jià)值敏感數(shù)據(jù)的高級用戶,特別是可能影 響到國家和地區(qū)政治、外交、金融穩(wěn)定的高級別敏感數(shù)據(jù)持有者、 甚至各種工業(yè)控制系統(tǒng)。
面對接踵而至的攻勢很多企業(yè)采用多種網(wǎng)絡(luò)安全防御技術(shù)檢測攻擊,如采用網(wǎng)絡(luò)防火墻、IDS、應(yīng)用防火墻、日志審計(jì)等措施。但是這些守護(hù)者是不是真如我們想象的那樣“靠譜”?
就拿防火墻來說:第 一代網(wǎng)絡(luò)防火墻可以控制對網(wǎng)絡(luò)的訪問,管理員可以創(chuàng)建網(wǎng)絡(luò)訪問控制列表(ACLs)允許或阻止來自某個源地址或發(fā)往某個目的地址及相關(guān)端口的訪問流量。卻 無法發(fā)現(xiàn)APT攻擊,不論這些攻擊來自防火墻內(nèi)部的還是外部,因?yàn)榉阑饓χ皇腔诰W(wǎng)絡(luò)層和會話層的攻擊,而APT攻擊一般都基于更高的協(xié)議層次。
狀 態(tài)檢測防火墻是防火墻技術(shù)的重大進(jìn)步,這種防火墻在網(wǎng)絡(luò)層的ACLs基礎(chǔ)上增加了狀態(tài)檢測方式,它監(jiān)視每一個連接狀態(tài),并且將當(dāng)前數(shù)據(jù)包和狀態(tài)信息與前一 時刻的數(shù)據(jù)包和狀態(tài)信息進(jìn)行比較,從而得到該數(shù)據(jù)包的控制信息,來達(dá)到保護(hù)網(wǎng)絡(luò)安全的目的。它能根據(jù)TCP會話異常及攻擊特征阻止網(wǎng)絡(luò)層的攻擊,通過IP 分拆和組合也能判斷是否有攻擊隱藏在多個數(shù)據(jù)包中。但狀態(tài)防火墻無法偵測很多應(yīng)用層的攻擊,如果一個攻擊隱藏在合法的數(shù)據(jù)包中,它仍然能通過防火墻到達(dá)應(yīng) 用服務(wù)器 。
再看看入侵檢測系統(tǒng):入侵檢測系統(tǒng)使用特征識別技術(shù)記錄并報(bào)警潛在的安全威脅。只是基于已知漏洞進(jìn)行檢測,不能對未知的攻擊進(jìn)行報(bào)警。目前大多數(shù)攻擊特征數(shù)據(jù)庫都是網(wǎng)絡(luò)層的攻擊。此外,可以通過加密,TCP碎片攻擊以及其他方式繞過入侵檢測系統(tǒng)的防御。
對此我們是不是應(yīng)該感到絕望?NO!可以看出黑客們的目標(biāo)很明確,我們的要求也很明確,在天平的兩頭對峙和博弈的我們需要一種能夠檢測此類攻擊并且能夠發(fā)現(xiàn)常規(guī)攻擊,對0day攻擊,已知漏洞的發(fā)現(xiàn)以及攻擊的分析能力的設(shè)備。
安恒APT攻擊(網(wǎng)絡(luò)戰(zhàn))檢測流程
這就是我們簡單明確的需求,APT攻擊預(yù)警平臺通過對流量進(jìn)行深度解析,發(fā)現(xiàn)流量中的惡意攻擊,提供了全面的檢測和預(yù)警的能力。在這里推薦一種解決方案——安恒APT攻擊(網(wǎng)絡(luò)戰(zhàn))預(yù)警平臺為此做了以下措施:
1、深度協(xié)議解析
利用各種檢測手段發(fā)現(xiàn)其中的惡意攻擊及0day攻擊。 目前解析的協(xié)議包括HTTP、SMTP、POP、FTP等。
APT攻擊預(yù)警平臺能檢測和預(yù)警一系列的攻擊,無論是已知的或未知的,并能夠阻止那些最常見的攻擊。如:基于web的惡意攻擊、基于文件的惡意攻擊、基于特征的惡意攻擊等。
2、WEB應(yīng)用攻擊檢測
能解碼所有進(jìn)入的請求,檢查這些請求是否合法或合乎規(guī)定;僅允許正確的格式或RFC遵從的請求通過。已知的惡意請求將被阻斷,非法植入到Header、Form 和URL中的腳本將被阻止,能夠阻止那些的攻擊如跨站點(diǎn)腳本攻擊、緩沖區(qū)溢出攻擊、惡意瀏覽、SQL注入等。
3、郵件攻擊檢測
對郵件協(xié)議進(jìn)行深度分析,記錄并分析每個郵件,并對其中的附件進(jìn)行分析并檢測,發(fā)現(xiàn)其中的安全問題。通過對附件進(jìn)行對已知攻擊特征的掃描、未知攻擊漏洞的掃描和動態(tài)分析的方式進(jìn)行測試,發(fā)現(xiàn)其中的攻擊。
4、0day攻擊檢測
安恒通過長期的研究,總結(jié)并提權(quán)各類0day攻擊的特點(diǎn)。在網(wǎng)絡(luò)流量中分析關(guān)心的文件。通過快速檢測算法,對目標(biāo)文件進(jìn)行檢測,發(fā)現(xiàn)其中的0day攻擊樣本。
通過檢測目標(biāo)文件中的shellcode以及腳本類文件中的攻擊特征,并結(jié)合動態(tài)分析技術(shù)可以有效檢測0day攻擊行為。
5、流量分析檢測
APT通常會結(jié)合人工滲透攻擊,在人工滲透攻擊中經(jīng)常使用掃描或病毒擴(kuò)散的過程。這些過程中,通常會產(chǎn)生大量的惡意流量。利用這些惡意流量特征,能檢測攻擊行為。
京公網(wǎng)安備 11010502049343號