01 APT防御的難點分析
APT攻擊的專業性強、復雜度高,因此對其防范相對困難。攻擊者在暗處通過社會工程學等手段收集大量信息,而被攻擊者毫不知情,這樣的信息不對稱也造成了APT攻擊的防御難點。
APT攻擊行為特征難以提取、攻擊渠道多元化、攻擊空間不確定等特點恰好也形成對其防御的難點。首先,APT一般通過零日漏洞獲取權限,但通過獲取和分析相應攻擊的特征來識別攻擊行為通常具有滯后性,這將導致實時監測APT攻擊變得很困難,更何況APT注重動態行為和靜態文件的隱蔽性,如構建隱蔽通道、加密通道等;其次,APT攻擊渠道的多元化導致很難使用單一的技術手段建立通用的防御機制;最后,APT攻擊空間的不確定性,如任何一個階段、任何一個網絡、任何邊緣或非核心的節點等都有可能成為攻擊目標,導致其安全防護效果的不確定性。
“持續性”和“社會工程學”的混合攻擊方式是防御APT的另一難點。APT的持續時間長久,就如同人體的慢性疾病,潛伏一段時間后可能隨時爆發。據統計,APT攻擊從產生到被發現的平均耗時約為5年,是否能夠保證在5年的時間內一直關注某些數據?這在物理世界都很難堅持,更何況在數據無所不在的網絡空間。大數據的特點就是數據規模大、分布無所不在,即數據的價值密度變得更小、更分散,從而導致更難聚焦于高價值的數據,這正是大數據本身所帶來的攻擊檢測難點。然而,攻擊者則恰好可能一直持續關注著某些敏感數據,這就將造成APT攻擊防不勝防。
02 APT防御的基本方法
APT是多樣攻擊方式的組合,因此也需要對其進行多方位的檢測防御。
1. 惡意代碼檢測
大多數APT攻擊都是通過惡意代碼來攻擊員工個人電腦,從而突破目標網絡和系統防御措施。因此,惡意代碼檢測對于檢測和防御APT攻擊至關重要。
惡意代碼的檢測主要分為兩種:基于特征碼的檢測技術和基于啟發式的檢測技術。
基于特征碼的檢測技術是通過對惡意代碼的靜態分析,找到該惡意代碼中具有代表性的特征信息(指紋),如十六進制的字節序列、字符串序列等,然后再利用該特征進行快速匹配。因此,基于特征碼檢測過程一般分3個步驟:第一步是特征分析,反病毒專家通過對搜集的惡意樣本進行分析,抽取特征碼;第二步是特征碼入庫,即將特征碼加入特征數據庫;第三步是安全檢測,即對可疑樣本進行掃描,利用已有的特征數據庫進行匹配,一旦匹配成功,則認定為惡意代碼,并輸出該惡意代碼的相關信息。
基于啟發式的檢測技術是通過對惡意代碼的分析獲得惡意代碼執行中通用的行為操作序列或結構模式,這些行為序列和模式一般在正常文件中很少出現,如修改某個PE文件的結構、刪除某個系統關鍵文件、格式化磁盤等,然后再把每一個行為操作序列或結構模式按照危險程度排序并設定不同的危險程度加權值,在實施檢測時,若行為操作序列或結構模式的加權值總和超過某個指定的閾值,即判定為惡意代碼。啟發式檢測技術進行檢測時閾值的設定是關鍵,若閾值設定過大,則可能忽略某些危險操作,容易造成漏報,但若設定過小,可能把某些正常的行為序列組合判定為惡意操作,則容易誤報。因此要通過實驗,調整參數以達到最佳檢驗效果。
2. 主機應用保護
不管攻擊者通過何種渠道向員工個人電腦發送惡意代碼,該惡意代碼必須在員工個人電腦上執行才能控制整個電腦。因此,若能加強系統內各主機節點的安全措施,確保員工個人電腦以及服務器的安全,則可以有效防御APT攻擊。
3. 網絡入侵檢測
安全分析人員發現,雖然APT攻擊所使用的惡意代碼變種多且升級頻繁,但惡意代碼所構建的命令控制通道通信模式并不經常變化。因此,可采用傳統入侵檢測方法來檢測APT的命令控制通道,關鍵是如何及時獲取APT攻擊命令控制通道的通信模式特征。
4. 大數據分析檢測
大數據分析是一種網絡取證思路,它全面采集網絡設備的原始流量及終端和服務器日志,進行集中的海量數據存儲和深入分析,可以在發現APT攻擊的蛛絲馬跡后,通過全面分析海量日志數據來還原APT攻擊場景。大數據分析檢測因涉及海量數據處理,因此需要構建Hadoop、Spark 等大數據存儲和分析平臺,并通過機器學習對數據進行分析,從而檢測出是否受到攻擊。例如,利用k-means聚類算法和ID3決策樹學習算法進行網絡異常流量檢測,使用基于歐氏距離的k-means聚類算法對正常流量行為和異常流量行為進行訓練,最后結合ID3決策樹判斷是否發生流量異常。
03 APT防御的產品路線
隨著APT攻擊的流行,不少安全廠商也推出了APT安全解決方案,下面介紹幾個APT檢測和防御產品。
1. FireEye
FireEye 的 APT 解決方案包括 MPS(Malware Protection System)和CMS(CentralManagement System)兩大組件。其中,MPS是惡意代碼防護引擎,是一個高性能的智能沙箱,可直接采集流量、抽取攜帶文件等,然后放到沙箱中進行安全檢測。FireEye的MPS引擎有以下特點。
(1)支持對Web、郵件和文件共享3種來源的惡意代碼檢測。
(2)對于不同來源的惡意代碼,采取專門 MPS 硬件進行專門處理,目的是提高檢測性能和準確性。
(3)MPS支持除可執行文件之外的多達20種文件類型的惡意代碼檢測。
(4)MPS可支持旁路和串聯部署,以實現惡意代碼的檢測和實時防護。
(5)MPS 可實時學習惡意代碼的命令和控制信道特征,在串聯部署模式可以實時阻斷APT攻擊的命令控制通道。
CMS是集中管理系統模塊,管理系統中各MPS引擎,同時實現威脅情報的收集和及時分發分享。CMS除了對系統中多個MPS引擎進行集中管理外,還可連接到云中的全球威脅情報網絡來獲取威脅情報,并支持將檢測到的新惡意代碼情報上傳到云平臺,實現威脅情報的同步共享。此外,FireEye還可與其他日志分析產品融合,形成功能更強大的APT安全防御解決方案。
2. Bit9
Bit9可信安全平臺(Trust-based Security Platform)采用軟件可信、實時檢測審計和安全云三大技術,提供網絡可視、實時檢測、安全保護和事后取證等四大企業級安全功能,從而實現強大的惡意代碼檢測和各類高級威脅的抵御能力。
Bit9解決方案核心是一個基于策略的可信引擎,管理員可以通過安全策略來定義可信軟件。Bit9可信安全平臺默認所有軟件都是可疑并禁止加載執行,只有符合安全策略定義的軟件才被認為可信并允許執行。Bit9可以基于軟件發布商和可信軟件分發源等定義可信策略,同時還可使用安全云提供的軟件信譽服務來度量軟件可信度,從而允許用戶下載和安裝可信度高的自由軟件。基于安全策略的可信軟件定義方案事實上采用了軟件白名單機制,即在軟件白名單中的應用軟件才能在企業計算環境中執行,其他都被禁止執行,以此保護企業的計算環境安全。
Bit9解決方案中安裝在每個終端和服務器上的輕量級實時檢測和審計模塊,是實現實時檢測、安全防護和事后取證的關鍵部件。實時檢測模塊可以實現對整個網絡和計算環境的全面可視,實時了解終端和服務器的設備狀態和關鍵系統資源狀態,包括終端上的文件操作和軟件加載執行情況;審計模塊還可審計終端上的文件進入渠道、文件執行、內存攻擊、進程行為、注冊表、外設掛載情況等。
Bit9解決方案還提供一個基于云的軟件信譽服務,即通過主動抓取發布在云上的軟件信息,包括軟件發布時間、流行程度、軟件發布商、軟件來源、AV 掃描結果等來計算軟件信譽度。同時,還支持從第三方惡意代碼檢測廠商(如 FireEye 等)獲取文件散列列表,有效識別更多的惡意代碼和可疑文件。
3. RSA NetWitness
RSA NetWitness是一款革命性的網絡安全監控平臺,針對APT攻擊的檢測和防御主要由Spectrum、Panorama和Live三大組件實現。其中,RSA NetWitness Spectrum是一款安全分析軟件,專門用來識別和分析基于惡意軟件的企業網絡安全威脅,并確定安全威脅的優先級;RSA NetWitness Panorama通過融合成百上千種日志源與外部安全威脅情報,從而實現創新性信息安全分析;RSA NetWitness Live是一種高級威脅情報服務,通過利用來自全球信息安全界的集體智慧和分析技能,及時獲得各種APT攻擊的威脅情報信息,可極大縮短針對潛在安全威脅的響應時間。
總體而言,RSA NetWitness具有以下特點。
(1)網絡全流量和服務對象離散事件的集中分析,實現網絡的全面可視性,從而獲得整個網絡的安全態勢。
(2)識別各種內部威脅、檢測零日漏洞攻擊、檢測各種特定惡意代碼和APT攻擊事件以及數據泄密事件等。
(3)網絡日志數據的實時上下文智能分析,為企業提供可讀的安全情報信息。
(4)檢測與防御分析過程的自動化,最小化安全事件響應時間。
04 APT防御的發展趨勢
當前主流廠商提供的APT防御產品,主要存在如下問題。
(1)不能很好實現APT攻擊全過程檢測,容易導致攻擊漏報。
(2)不能全面提供APT攻擊的實時防御,難以實現主動防御。
(3)不能精準執行APT攻擊的態勢感知,缺乏安全預警機制。
從功能上看,一個完整的APT安全檢測與防御解決方案應該覆蓋APT攻擊的所有階段,即應該解決事前智能檢測、事中應急響應和事后分析防御等3個層面。從技術上看,APT安全解決方案應該配置主機應用控制、實時惡意代碼檢測、入侵防御等關鍵技術,實現對APT攻擊的實時檢測和防御。同時,也需要將入侵檢測防御和大數據分析技術相結合,實現基于大數據的安全態勢感知與智能預警分析將成為APT安全解決方案的核心,實現對APT攻擊事件的情報信息獲取及其深度分析。隨著人工智能2.0時代的到來,基于深度學習的APT主動防御服務平臺也成為一種技術發展趨勢。
