网络威胁攻守博弈纵横二十年

安全专家在博弈过程中尝试主动出击,去挖掘存在的威胁隐患,鼓励发布、共享这些威胁隐患的信息,促使从业人员能更好地保护用户。

绿盟科技成立之初,国内信息技术刚刚起步,各大高校还没有设立安全专业,2001年的中美黑客大战如火如荼,白宫网站上飘扬的红色旗帜使“网络攻击”这个名词进入国内大众视野。随后,2003年出现的冲击波(Worm.Blaster)病毒通过一个最新的RPC漏洞进行传播,病毒席卷全球,让无数电脑反复重启,并同时对微软一个升级网站进行拒绝服务攻击,导致网站堵塞,用户无法通过该网站升级系统。此次网络攻击让正在进行信息化建设的企业和个人用户真正意识到网络安全防御的重要性。

“威胁”这个概念可以追溯到20世纪80年代,Adenrson用了“威胁”这一概念术语,其定义与入侵相同,将入侵企图或威胁定义为未经授权蓄意尝试访问信息、篡改信息、使系统不可靠或不能使用。Heady给出另外的入侵定义,入侵是指有关试图破坏资源的完整性、机密性及可用性的活动集合。Smaba从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄露、拒绝服务、恶意使用6种类型。早期网络黑客与安全专家正是围绕这些入侵的方法及使用的技术手段进行攻守博弈。

防火墙、入侵检测系统向入侵防御系统的转变

最早的网络安全防御系统是防火墙,其在本地网络与外界网络之间执行控制策略,对网络间传输的数据包依照制定的安全策略进行检测,以决定通信是否被允许。防火墙存在局限性和不足,其通常作用于已知协议的访问控制,如攻击者将恶意代码或攻击指令进行协议隐藏就可能逃逸防御。

同期出现的网络威胁检测系统是入侵检测系统,它通常位于防火墙之后,被认为是第二道安全闸门。入侵检测技术主要分为两大类:异常入侵检测和误用入侵检测,其提供了对内、外部攻击的实时检测,包含在网络受到威胁之初的拦截和响应入侵。入侵检测系统的不足在于,它只能检测攻击,而不能阻止攻击。

随着技术的发展,结合上述两种系统的联动技术应运而生,防火墙可以通过入侵检测系统及时发现策略之外的攻击行为,入侵检测也可以通过防火墙对来自外部的网络攻击行为进行阻断。

而完成这两种系统的融合、实现1+1>2的是迅速崭露头角的网络入侵防护系统。绿盟科技推出的“冰之眼”网络入侵防护系统,能提供从网络层、应用层到内容层的深度安全防护,具备实时、主动的防护能力,精确识别各种黑客攻击,并有效阻断攻击而不影响正常业务流量。

漏洞挖掘技术促进安全防御

安全专家在博弈过程中尝试主动出击,去挖掘存在的威胁隐患,鼓励发布、共享这些威胁隐患的信息,促使从业人员能更好地保护用户。漏洞挖掘是一个多种漏洞挖掘分析技术相结合、共同使用和优势互补的过程。常用的漏洞挖掘技术包括手工测试技术、Fuzzing技术、对比和二进制对比技术、静态分析技术、动态分析技术等。

随着越来越多专家投入其中,为大众所知的漏洞数据逐年增加,从2000年的1243条增长到2019年的20827条,为网络防御技术提供了坚实的知识储备。

漏洞库

早期做网络安全产品,安全研究员发现漏洞后对其进行命名,随着漏洞研究的深入,一些漏洞已经很难依靠名称区分,早期的安全研究机构和大型厂商开始使用漏洞库管理众多漏洞。漏洞库是进行网络安全隐患分析的基础,建设漏洞库有十分重要的意义。绿盟科技早在2000年就推出了漏洞库,历经20年的岁月,仍持续维护着漏洞库的更新,至今已收录45689条漏洞,包含主流漏洞信息以及公司研究员自主发现的漏洞信息。

漏洞库对安全防护产品也非常重要,在各个厂商的安全防护产品展示自身防护能力的时候,使用同一漏洞库的描述将直观地让用户了解防护效果。绿盟科技漏洞库兼容国家信息安全漏洞库(ChinaNationalVulnerabilityDatabaseofInformationSecurity,简称CNNVD)以及国家信息安全漏洞共享平台(ChinaNationalVulnerabilityDatabase,简称CNVD),此外还兼容国外的通用漏洞披露CVE,为国内外用户使用提供了便利。

Web安全的兴起

随着Internet技术的兴起,便捷的跨区域事务处理显得尤为重要,为了实现用户脱离程序的复杂安装而使用WWW浏览器进行跨地域的应用操作,相关的应用开发逐步从Client/Server架构转向了Browser/Server架构,用户端仅需要实现少量的事务逻辑,而主要的事务逻辑在服务器端进行实现。Browser/Server架构可以大大简化客户端电脑负载,减轻系统维护和升级的成本和工作量,从而降低总成本。解释型语言的不安全使用(对用户输入的内容没有做严格检查)催生了基于Web的攻击技术,例如SQL注入、跨站脚本攻击(XSS)、远程命令注入、跨站点请求伪造(CSRF)、CC攻击等,这些攻击导致企业或者个人敏感数据泄漏、服务器拒绝服务或者业务被接管,甚至有可能由于受到的攻击而背上法律责任。

针对Web攻击技术对网站安全威胁越来越严重,安全公司相应推出了WAF网站安全防护工具和Web安全评估工具。

工控安全引起大家关注

2010年的震网蠕虫病毒(又名Stuxnet病毒),一个席卷全球工业界的病毒,是一种精心构造的恶意代码,其中包含了多个可利用的漏洞,通过一套完美的入侵和传播流程,突破工业专用局域网的物理限制,针对现实世界中的工业基础设施展开攻击。通过周期性修改PLC的工作频率,造成PLC控制的离心机转速突然升高和降低,导致离心机发生异常震动和应力畸变,最终破坏离心机。

针对关键基础设施的攻击造成的损失给整个工业界敲响了警钟,各国开始明确指出工业控制系统信息安全面临着严峻的形势,并要求切实加强工业控制系统的信息安全管理。安全公司纷纷主动肩负起守卫之责,将工控安全定位为战略发展方向,利用传统攻防优势,立足“未知攻、焉知防”的思维,调研历史事件,分析网络攻击方式,以脆弱性为入口点,纷纷发布了针对工业控制系统的远程安全评估系统,先于攻击者发现工控业务系统存在的脆弱性,并提供缓解方案,其中绿盟工控漏洞扫描系统ICSScan是亚太地区第一个进入Gartner视野的工控安全专用检测产品。在已知威胁的基础上,为了更好地实现系统防护,切实保障工控业务的顺畅运行,安全防护产品如雨后春笋般浮现于工控业务市场,例如工业防火墙、工业安全网关、工业安全隔离装置以及纵向加密装置等。

随着攻击日益多样化、复杂化和攻击目标明确化,安全公司需要构建从平台到设备的分层安全架构,覆盖评估、防护、检测、相应的安全体系,提供全生命周期的安全防护。

工控安全防御体系的建设需要消除IT、OT、工程、财务、管理和执行领导的界限,联合多方力量才可以完成,绿盟科技作为发起单位,率先加入工业控制系统信息安全产业联盟,希望能聚集多家之长,共同抵御针对工业控制环境的网络攻击,为工业网络安全保驾护航。

物联网

当今社会物联网设备已经逐步渗透到人们生产、生活的方方面面,为人们及时了解自己周围环境以及辅助日常工作带来便利。但随着互联紧密度的增高,物联网设备的安全性问题也逐渐影响到人们的正常生活,甚至生命安全。

当前物联网中存在的威胁是显而易见的,从2014年曝光的Netcore路由器后门到2016年大规模爆发的Mirai恶意代码事件,从2017年的无人机多次入侵机场到2019年酒店偷拍摄像头引发全民恐慌,不但“物联网成为网络攻击中的重要环节”从预言变现实,而且物联网安全事件数量呈现出迅猛增长的趋势。超过百Gbps源于物联网的攻击已经成为现实,物联网场景下的安全对抗已经出现在这次变革的浪潮中,影响着千万企业或者普通个人。无论我们是否意识到,这场战役已经打响。

物联网应用中涉及多个参与方:物联网设备提供商、物联网平台提供商、物联网网络提供商、物联网应用提供商、普通用户、物联网安全提供商,每个参与方在考虑安全问题时侧重点也会有所不同,一个设计合理的物联网安全防护方案需抓住各需求点,才能切实将物联网安全落实到位。

随着环境和威胁的变化,安全防护思路也在逐渐变化。物联网的碎片化、动态性特点,造成单纯的依靠安全厂商进行常规的防护已然不够,只有融合多方力量,才能真正解决物联网安全问题,防护数以百亿计的物联网设备安全,保护广大人民群众的人身财产安全。

APT攻击

2009年高级可持续威胁(APT:AdvancedPersistentThreat)进入人们的视野,特别是“极光(Aurora)”攻击、“震网(Stuxnet)”病毒、“夜龙”攻击,让APT高级持续性威胁成为信息安全行业瞩目的焦点。APT作为一种精准、高效的新型网络攻击方式,被频繁用于各种重要网络攻击事件之中,在政治安全、国防安全、企业安全等多个重要领域被高度关注,并迅速成为信息安全最大的威胁之一。由于黑客普遍使用0Day、未知木马进行远程控制,木马攻击行为特征难以提取,给传统的入侵检测技术带来了巨大的挑战。如何准确地检测面向未知木马的APT攻击,提高APT的检测能力,及时发现网络中可能存在的APT攻击威胁,是网络安全公司维护网络秩序,保障社会安全的使命所在。对APT的研究分析发现,APT攻击主要体现在三个方面:

  • 以时间换空间:

以长期潜伏的攻击过程为代价,隐匿攻击行为的异常,同时不断擦除攻击痕迹,使得攻击效果显著提升。一些APT攻击潜伏期长达3个月之久,在此期间,攻击者有足够的时间窃取重要价值情报。

  • 攻击方案精心定制,绝不雷同

从多个APT案例中获知,APT攻击和普通攻击表现迥异,即使各个APT攻击之间选择的攻击技术手段都具有独特性,即便攻击的整体阶段或思路上存在相似性,但在具体的攻击行为或数据中差异巨大。

  • 先入为主,掌握攻击主导权

掌握攻防博弈先机,通过长期的前期准备,使用多种手段收集信息,拉开攻击和防御的信息不对称性,获得主导权。攻击者往往拥有较强的黑客能力和网络攻击技术,掌握着高超的漏洞挖掘和利用技术,了解攻防心理,运用社会工程学获得有效信息。

APT攻击目的非常明确——窃取特定目标核心机密资料。攻击者通常会综合利用钓鱼邮件(被90%的活跃APT组在初始访问阶段使用)、水坑站点、社会工程学,利用文档型漏洞制作诱饵文档,隐蔽隧道等多种技术手段绕过目标网络的层层防线,从外围到核心区域逐步攻克目标。在攻击工具和攻击技术上着重实用性,有的利用合法工具(大约一半的APT组织使用合法的管理工具和商业渗透测试软件)逃避检测,也有的自研发程序且实现攻击工具的语言多样,程序实现不讲究复用性。

随着安全公司对APT攻击的总结和深入分析,APT检测系统也随之进入市场。预计APT保护解决方案的全球市场收入将从2019年的超过43亿美元增长到2023年的超过94亿美元。现有APT检测系统建设还处于初级阶段。APT防护解决方案是一套集成的解决方案,用于检测、预防、对抗持久性恶意攻击。它可能包括但不限于:沙箱、EDR、CASB(CloudAccessSecurityBroker)、信誉网络,威胁情报管理和报告、取证分析等。因此,对于安全产品供应商来说,至关重要的是提供能够智能地识别和关联跨多个来源和渠道的潜在攻击信息的解决方案。

应急响应体系和威胁情报的出现

威胁情报的诞生源于攻防的不对等。随着黑客攻击的规模化、自动化、多样化、灵活化,传统的基于签名和规则的攻击检测和防御体系显得捉襟见肘。由于无法提前获取签名和规则信息,传统的基于“已知”规则的检测在遇到0Day、APT等“未知”威胁时,完全无法感知和防御。

2013年,Gartner发布《Defifinition:ThreatIntelligence》,其中给出了威胁情报的定义:威胁情报是关于资产所面临的现有或潜在威胁的循证知识,包括情境(上下文)、机制、指标、推论与可行性建议,这些知识可为威胁响应提供决策依据。

随后,2015年,SANS提出“网络安全的滑动标尺模型”,为企业安全建设提供了宏观上的指导和建议。滑动标尺模型从左到右,是企业逐步应对更高级网络威胁的过程,其中情报是继架构安全、被动防御、主动防御之后的进阶阶段。

SANS滑动标尺

威胁情报的出现驱动了应急响应体系甚至是网络安全防御体系的转型,即从静态的、基于规则被动防御,转变为动态的、自适应的主动防护体系,为下一代安全奠定了基础。孙子曰“知己知彼,百战不殆”,威胁情报正是网络攻防战场上“知己知彼”的关键。威胁情报最大的价值在于帮助防守方了解他们的对手(攻击者),包括攻击者的背景、思维方式、能力、动机、使用的攻击工具、攻击手法、攻击模式等。对攻击者了解越多,就能越好地识别威胁以便快速地做出响应。准确全面的威胁情报能够极大地扩展威胁防御的时空边界,是实施主动防御策略的关键。基于对“对手”的了解,威胁情报构建了威胁预警、攻击检测、响应处置、溯源取证、目标研判、情报拓展的防御方“生环”。在应急响应中,威胁情报通过为安全防御设备进行赋能,可以大大缩短安全设备对最新威胁的响应和处置时间,达到“单点感知,全网防御”的效果。

绿盟科技于2015年组建了威胁情报中心,并推出了绿盟威胁情报分析与共享平台(NTI)。依托绿盟科技在安全领域的长期积累,绿盟科技的情报来源不仅包含原创漏洞库、样本库、安全分析数据、产品运营反馈数据等绿盟科技特有的数据源,同时也涵盖了全面的互联网情报采集和广泛的第三方情报合作机构。基于绿盟大数据分析平台,结合安全情报专家对情报数据进行深度挖掘分析,获得高质量的多维度威胁情报,覆盖网络资产基础信息、指纹、漏洞、TTP、高级威胁分析结果等不同层面;通过NTIportal界面、API接口、订阅推送等不同输出方式将威胁情报与安全设备、客户和安全厂商进行共享,有效保护了客户的安全。

联合作者:李东宏、李文瑾、叶建伟

发表评论