近年來,網絡空間的安全形勢發生了巨大改變, APT攻擊增長趨勢呈指數級發展,并逐漸演變成了各種社會工程學攻擊與各類0day漏洞利用的綜合體,成為最具威脅的網絡攻擊方式。
面對APT 傳統安全體系面臨防御之困
與過去主要來自病毒和木馬的安全威脅不同,APT攻擊破壞性之大、隱蔽性之強等特性,讓如今企業所面臨的網絡安全風險愈加復雜。與此同時,以APT攻擊為代表的未知威脅非常容易擊穿傳統技術手段組成的網絡安全防御體系,其威脅遠遠大于普通的木馬病毒。
在專注于網絡分析技術研究與產品開發的科來看來,利用各種系統漏洞或軟件漏洞進行滲透的惡意代碼已成為目前APT攻擊的主要手段,而利用或盜用合法的認證簽名,利用瀏覽器漏洞和水坑攻擊將替代郵件攻擊將成為APT攻擊發展的趨勢,與此同時,攻擊者也更注重對沙盒的反檢測技術,從而躲避安全廠商的動態檢測技術。
而就目前對APT攻擊的防御現狀來看,傳統的安全軟件多以防范病毒和木馬為主,無法有效防范漏洞攻擊。只有當漏洞被黑客大規模攻擊時,安全廠商才有機會監測到漏洞。而傳統的防火墻、入侵檢測、安全網關、殺毒軟件和反垃圾郵件系統等檢測技術也主要是網絡邊界和主機邊界進行檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。這種滯后響應的方式已經無法適應新的安全形勢。
APT攻擊來襲如何應對?
科來認為,對APT攻擊的防御與傳統的安全防護理念有所不同, APT攻防是一個對抗的過程,攻防雙方都在不斷更新自己的技術手段。而發展至今,應對APT的手段也是多種多樣:黑白名單、動態檢測技術、大數據分析、全流量數據審計等是目前應用較多的防御方式。
但從安全角度來說,某一種防御技術或在某一階段設置安全策略的效果是有限的。科來指出,防御APT攻擊,最重要的是要在事前事后都做好應對方案。在以上眾多的APT防御手段中,動態檢測技術是目前一種較為有效的檢測手段,其可以記錄樣本運行后的所有行為,以此判斷出是否是惡意的APT攻擊代碼。但這一技術也有其不足之處:有些高級的木馬會做虛擬機檢查,如果發現是虛擬機,則不會執行攻擊行為,避免暴露自己。因此,動態檢測技術也不是萬能的,虛擬機環境不匹配,也無法誘導木馬的攻擊行為。
由此,基于此硬件模擬的虛擬化動態檢測技術應運而生,其能夠模擬硬件的所有指令,讓木馬無法檢測是一個虛擬環境,具有防木馬反檢測的能力。據了解這也是Fire eye采用的技術,而目前國內只有科來在應用該項技術。
但對APT攻擊的防御絕非如此簡單,科來強調:對于APT攻擊而言,沒有百分之百的安全防護手段,在攻擊成功后,用戶還必須轉變思維,做到快速發現威脅,快速響應威脅,以實現發現防御APT。對此,科來研發了一套防御APT方案和思路。
具體而言,在虛擬化動態檢測技術應用之后,從流量中便無法再獲得攻擊樣本,木馬會通過隱蔽信道技術,通過加密或躲到正常通訊里進行C&C通訊,為了躲避檢測,通訊數據量非常少,要想區分這些數據如大海撈針。可正是因為想隱藏才會產生可疑的行為數據,此時通過建立異常行為模型,用異常流量檢測技術來發現分析隱藏在正常通訊中的特殊編碼、心跳等數據,為進一步取證分析提供線索。
然而,智者千慮難免一失。除了以上手段,全流量安全審計也是APT分析的重要保障,亦是對未知攻擊分析取證的必要手段。無論攻擊者如何隱藏,只要攻擊通過網絡,必然會產生相應數據,企業只有做到全流量數據記錄,同時對網絡數據進行深度分析,并建立企業私有云,才能做到發現追蹤取證防御APT。
科來APT防御解決方案及思路
基于以上思路,科來開發了一套完整的APT防御解決方案,分為前端、分析中心和后臺,涵蓋了異常流量分析、動態分析和全流量回溯分析的技術。
在這套方案中,用戶可以憑借異常流量和動態分析技術發現網絡的異常和未知的高危文件型木馬,使用全流量記錄設備--回溯系統來調取攻擊數據進行數據包級的分析。同時,該系統還具有阻斷功能,可以阻斷高危的會話和域名訪問,保護內部用戶,做到及時的止損。這樣,便使得APT解決方案從異常發現到取證和阻斷能夠形成一個閉環的工作模式。
具體而言,這套APT攻擊解決方案的優勢在于:
1、該解決方案采用分布式部署、集中管理,為用戶搭建私有安全云的管理平臺,更符合國內對安全管理的需求。
2、基于硬件模擬的動態分析技術,更能應對不斷升級的木馬反檢測技術;且具備更強大的處理性能,科來單臺分析后臺能為用戶提供同時并發運行40個虛擬機進行惡意樣本檢查,處理樣本的能力是普通的8-10倍。
3、基于行為異常的流量檢測技術貫穿于整個解決方案,能夠同時對攻擊前、中、后的流量進行深入檢查,發現有效的APT攻擊線索。
4、全流量數據審計,是APT分析的重要保障,也是對未知攻擊分析取證的必要手段,科來海量數據的回溯分析能力,1TB數據的檢索時間低于3秒鐘,并可進行多維度關聯分析,準確快速確定潛在威脅,并全面評估事件的危害。
作為一種有針對性的攻擊手段,APT在平時很難被察覺到,也很難像木馬、病毒等被掃描出來,因此對于用戶來說,即使是使用了APT防御解決方案,也很難實際感受到其優劣和帶來的價值。但無數的APT攻擊案例告訴我們,對于用戶而言,一旦APT攻擊實施成功,其對企業帶來的影響是空前巨大的。因此,除了部署APT攻擊防御解決方案,科來同時也為企業提出了以下幾條APT攻擊防御建議:
首先,在思想上企業的安全部門要高度重視。其次,在APT攻擊的目標鎖定和信息采集階段,從技術上難以防范,需要從管理制度上進行防御。而在APT攻擊的滲透階段,可以通過硬件模擬動態分析技術、黑白名單、異常流量檢測、全流量審計技術、大數據分析等手段實施防御,這就涉及到了對未知攻擊的檢測能力和對流量的深度分析能力。而此時,科來的APT完整解決方案便成為企業可以選擇的多維防御方案。
結語
盡管APT攻擊已經呈愈演愈烈之勢,但目前大部分的企業對APT攻擊都停留在聽說過的層面,只有很少的一部分用戶對APT造成的危害非常了解。這一現狀也就決定了大部分國內企業均缺乏有效的防御手段,因此科來認為,目前市場急需專門應對APT的完整解決方案,而不單單是在傳統安全產品上稍作改動的下一代安全產品。
而放眼全球,APT攻擊上升到國家網絡空間對抗一定是不可避免的,網絡空間戰早已經打響,APT攻擊是其中的主要方式之一。國外在網絡安全方面非常注重投入和規劃,并且擁有包括根域名服務器、操作系統、加密、芯片交換機、路由器等資源可利用。相較而言,我國對抗APT攻擊所要建的防御體系,就不僅僅只是惡意代碼的動態檢測了。對于國內安全廠商來講,在APT攻擊防御的道路上,仍舊任重而道遠。
京公網安備 11010502049343號