江 瀚,郭 威,邓韵东
(云南电网信息中心,云南昆明, 650217)
一种基于等级保护的高级持续性威胁防护模型研究
江 瀚,郭 威,邓韵东
(云南电网信息中心,云南昆明, 650217)
随着信息安全技术的发展,各种网络攻击层出不穷,这当中,高级持续性威胁攻击(俗称APT攻击)属于较为新颖的同时也是危害和防护难度最大的攻击方式。本次研究针对APT攻击泛滥的问题,提出了基于等级保护制度的APT攻击防护模型。首先采用了从分析国内外APT攻击态势入手,提出了APT攻击模型,接着总结了APT攻击各阶段的手法,探讨了如何利用国家信息系统安全等级保护基本要求和信息系统等级保护安全设计技术要求去应对APT攻击模型和各阶段的攻击手法,从而提出了基于等级保护制度的APT防护模型。
高级持续性威胁;APT攻击模型;信息系统安全等级保护;基于等级保护APT防护模型
高级持续性威胁即APT(Adavanced Persistent Threat),是指针对明确目标的持续的、复杂的网络攻击,这个概念最早是在2006年左右由美国波音公司(The Boeing Company)提出的,在2010年Google公司承认遭受严重黑客攻击后,APT攻击成为信息安全行业热议的话题之一。
高级持续性攻击的“高级”是指攻击者有一个基于特定战略的缜密的计划,他们使用许多不同攻击类型来攻击同一目标,并且不断来回攻击。并且,这种攻击通常是以隐形且低调的方式进行的,APT攻击者都是隐形专家,他们采取措施来掩盖他们的踪迹,避免在日志中留下入侵的证据。
APT攻击者也使用社会工程技术和/或招募内部人员来获取有效登录凭证,APT攻击者经常利用僵尸网络,僵尸网络能够给他们提供更多资源来发动攻击,你的网络也可能在你不知情的情况下被用来作为犯罪工具:作为僵尸网络的一部分,用来攻击其他网络。
2.1 持续性: 攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年,攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下,让攻击完全处于动态发展之中,而当前我们的防护体系都是强调静态对抗能力很少有防护者有动态对抗能力,因此防护者或许能挡住一时的攻击,但随时间的发展,系统不断有新的漏洞被发现,防御体系也会存在一定的空窗期:比如设备升级、应用需要的兼容性测试环境等等,最终导致系统的失守。
2.2 终端性: 攻击者虽然针对的是重要的资产目标,但是入手点却是终端为主。再重要的目标,也是由终端的人来访问的。而人在一个大型组织里,是难以保证所有人的安全能力与安全意识都处于一个很高水准之上的。而做好每个人的终端防护比服务器端防护要困难很多。通过SQL注射攻击了WEB服务器,一般也是希望利用他攻击使用这些WEB服务器的终端用户作为跳板渗透进内网。
2.3 广谱信息收集性: 攻击者会花上很长的时间和资源,依靠互联网搜集,主动扫描,甚至真实物理访问方式,收集被攻击目标的信息,主要包括:组织架构,人际关系,常用软件,常用防御策略与产品,内部网络部署等信息。
2.4 针对性: 攻击者会针对收集到的常用软件,常用防御策略与产品,内部网络部署等信息,搭建专门的环境,用于寻找有针对性安全漏洞,测试特定的木马是否能饶过检测。
2.5 未知性: 攻击者依据找到的针对性安全漏洞,特别是0DAY,根据应用本身构造专门的触发攻击的代码。并编写符合自己攻击目标,但能饶过现有防护者检测体系的特种木马。这些0DAY漏洞和特种木马,都是防护者或防护体系所不知道的。
2.6 渗透性社工: 攻击者为了让被攻击者目标更容易信任,往往会先从被攻击者目标容易信任的对象着手,比如攻击一个被攻击者目标的电脑小白好友或家人,或者被攻击者目标使用的内部论坛,通过他们的身份再对组织内的被攻击者目标发起0DAY攻击,成功率会高很多。再利用组织内的已被攻击成功的身份再去渗透攻击他的上级,逐步拿到对核心资产有访问权限的目标。
2.7 隐蔽合法性: 攻击者访问到重要资产后,往往通过控制的客户端,分布使用合法加密的数据通道,将信息窃取出来,以饶过我们的审计和异常检测的防护。
2.8 长期潜伏与控制: 攻击者长期控制重要目标获取的利益更大。一般都会长期潜伏下来,控制和窃取重要目标。当然也不排除在关键时候破坏型爆发。
2013年4月份Verizon发布的《2013年数据破坏调查报告》分析了全球47000多起数据破坏安全事故,621宗确认的数据泄漏案例,以及至少4400万份失窃的记录。《报告》指出有高达92%的数据破坏行为来自外部,有19%的数据破坏行为来自国家级别的行为,利用脆弱的或者窃取到的用户身份访问凭据进行入侵的行为占到了76%,而各种黑客行为和恶意代码依然是主要的信息破坏手段。报告将包括APT攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国家或国家资助的组织、黑客活跃分子三类。FireEye发布的《2012年下半年高级威胁分析报告》详细分析了APT攻击的发展态势。《报告》指出,平均一个组织和单位每三分钟就会遭受一次恶意代码攻击,尤指带有恶意附件、恶意WEB链接、或者C&C通讯的邮件;在所有遭受攻击的企业和组织中,拥有核心关键技术的技术类企业占比最高;在定向钓鱼邮件(spear phishingemail)中经常使用通用的商业术语,具有很大的欺骗性;92%的攻击邮件都使用zip格式的附件。
在APT攻击中,攻击者会花几个月甚至更长的时间对"目标"网络进行踩点,针对性地进行信息收集,目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。当攻击者收集到足够的信息时,就会对目标网络发起攻击,这种攻击具有明确的目的性与针对性。发起攻击前,攻击者通常会精心设计攻击计划,与此同时,攻击者会根据收集到的信息对目标网络进行深入的分析与研究,这种攻击的成功率高、危害程度大。要预防这类攻击,首先,应该对这种攻击进行深入的探讨、研究,分析APT攻击可能会发生的网络环节或者业务环节等;其次要对我们自己的网络进行深入的分析,了解网络环境中存在的安全隐患,从而具有针对性地进行防护。
综合APT攻击流程,要预防APT攻击,从企业角度来考虑,主要需要从技术、运维和管理三个层面来防护。这三个层面的防护本质上讲是形成了一个防护技术框架。
4.1 技术防护
从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。
从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。
4.1.1 基础安全防护
APT攻击归根结底是由“人”发起的攻击,相比过去的单一攻击方式,其更加的智能化、灵活并能主动的去发现系统中存在的各种问题及漏洞。此类攻击将会使如今的IT系统受到更大的安全挑战。总结起来,APT攻击可以分为五个步骤,分别是:情报搜集、进入点、横向扩展、资料窃取、上传后门。
基于网络安全趋势的变化以及APT攻击的特点,对于APT攻击的防护已经不能只是单纯的单一防护了,需要多角度的整体配合才能对APT攻击取得比较好的防护效果。 首先便是加强基础安全防护,其含义便是对传统网络安全防护方案的深化和合理的执行,从而解决现阶段所暴露出来的安全问题。
4.1.2 安全漏洞检测
对于APT攻击防护,除了加强基本的安全防护措施,还有关键的点便是对APT攻击行为的有效检测机制。由于APT攻击的长期性和隐蔽性,而且其一般利用的0day漏洞等都有一定时效性,完全避免及防护0day漏洞的发生和利用是不可能的,一个合理的思路是在做好成体系的基础防护的基础上使用创新的APT攻击检测机制。
4.1.3 攻击行为检测
目前较为成熟的APT攻击行为检测方案是首先通过全流量审计设备进行全网流量审计,然后通过沙箱、异常检测等方式来识别异常APT攻击,同时由于APT攻击的时间点跨度较大,往往还需要存储相关的特征片段以便通过历史时间窗来发现APT攻击行为。此种方案虽然较为完整而全面,但需要耗费的资源较大,在大数据时代背景下,网络数据流量以及需要存储的数据量都是异常的庞大的,很显然超大数据吞吐及存储会成为此类技术方案的遇到的性能瓶颈,且其往往具有一定的滞后性,攻击者很可能已经入侵了系统,至少已经对在线服务器采取了一定的攻击行为才可能被监测到。
可采用蜜罐等技术来监测APT攻击行为,则既不会对现网服务器产生很大的影响,同时又能很好的控制并分析恶意攻击者的攻击行为。
蜜罐是一种技术,是通过被攻击来达到搜集攻击信息、防护真实服务器的目的。设计蜜罐技术的初衷是为了让黑客入侵,借此可以收集证据及信息,同时达到防护的功能。
4.2 安全运维防护
在网络上,综合起来一般分为三种通信流,既用户通信流、控制通信流以及管理通信流。用户通信流主要是网络用户之间传输的信息流,控制通信流则指各网络组件、网络服务或设备之间传输的用于建立用户连接等使用的通信流,管理通信流则是用户监控网络状况,控制网络设备部署等使用的通信流(如SNMP等协议)。
基础网络的稳定性只能由网络运营商来提供保障,对于网络基础防护需要做的首先便是对网络进出口的安全防护。在网络进出口中部署防火墙并配置相应的策略,只提供一些必须的对外服务如WEB服务、邮箱服务等给外部网络。还可部署入侵检测系统或入侵防御系统等网络安全设备,做到对基础网络进出口的基本安全防护。
首先防火墙对外网和内网进行了隔离,对于企业网络必须对外提供的服务,如WEB服务,邮件服务等,防止在防火墙设置的DMZ区中,其余企业内部网络可按照功能或业务划分成不同的内部网络,并对外隐藏。
抽象概念上的边界可范围物理边界和逻辑边界,在APT攻击防护基础模型或者框架中讲的边界则是重叠了物理边界和逻辑边界的定义。目的是进行边界防护所以需要首先界定出边界或者讲是防护的范围,这便是区域边界的概念。”域“是指单一授权通过专用或物理安全措施所控制的环境。由单一安全策略进行管理并无须考虑其物理位置的本地计算设备。”域“内的网络设备和其它网络设备的接入点我们可以理解为”区域边界“。
理解了”区域边界“的概念后对其划分便可通过划分安全域来实现。信息系统安全防护的目的是在技术可行和管理可行的前提下,将安全风险和隐患降低到一个可以接受的水平,要实现这个目标,只是考虑部署何种安全设备显示是无法达到目的的,更需要考虑的问题是如何在现有的网络架构上安装何种安全设备次啊能发挥最大的作用。这便需要一个结构清晰、可靠实用、扩展灵活的安全域划分方案来实现了。以下是安全域划分的一些基本原则:
a应根据设备的工作角色和对安全方面的不同需求进行划分。对于有相同工作角色和安全需求的设备可划分为一个安全域。
b安全域划分个数不应过多,安全策略上也不应过于复杂,否则将给后期的运维和安全管理造成很大的麻烦。
c安全域划分的目的是发挥整体效能,并不应该对原有网络架构进行彻底的推翻改造。在进行划分时应充分保护和利用已有的网络资产,避免投资浪费。
边界安全防护需要防止外部攻击和排除内部不良因素。域和域之间主要采用通过交换设备划分VLAN和防火墙来彼此策略隔离;在域内主要根据不同被保护对象的安全需求采用部署AAA、IDS和防病毒系统来完成。同时,还可加强边界的网络监测,部署入侵检测设备,由于APT攻击中很多流量都是加密的,所以对流量的分析、未知流量的识别也显得非常重要。2011年韩国农协银行遭遇APT攻击的案例中,攻击者通过控制了其外包团队雇员的计算机,而该企业对于外包人员计算机接入的边界防护又没有做好,导致被感染的计算机中的攻击代码被激活,删除了核心服务器中的数据,最终导致了韩国银行系统的瘫痪。
多级安全实质上是对单一级别边界安全的一种扩展。不同的安全域,其安全需求会有所不同,根据其资产特点、重要性以及安全需求的不同,可以将安全域划分成不同的安全级别。如可将安全域分为无秘密级别、秘密级别、绝密级别等。高低级别的安全域之间可以进行有限的数据交换。高级别安全域能够无限制的收取低级别安全域的数据,但高级别安全域的数据如果要发送到低级别的安全域则数据需要降权处理。可部署类似网闸等安全设备来实现数据隔离,通过使用数据审计设备来实现数据传输的监控。2011年EMC公司下属的RSA公司遭受入侵,最早就是一名级别较低的员工被钓鱼,主机随后被安装远控软件控制,然后一级级向上入侵,正是因为多级安全区分开,最后造成的后果并不是特别严重,而是在黑客入侵了相关管理员,准备入侵服务器后立马被RSA察觉并处理。
计算环境安全是指在组织内或者一定安全域内所有计算设备,包括用户终端、应用服务器、各种无线网络接入设备等的信息的可用性、完整性和保密性。值得注意的是,计算环境的安全是恶意内部攻击者的首道防线,也是外部攻击者的最后一道防线。目前在APT防护模型或者框架中,将计算环境安全细分为用户终端安全、系统应用程序安全以及服务器系统安全三大类。
攻击检测:
攻击检测安全防护是指对恶意用户攻击行为的一种监控和检测。该技术为基本的安全运维工作之一。传统的检测方案是使用基于特征的入侵检测设备或审计设备进行网络行为监控。在此基础上,还可使用蜜罐等技术来对APT攻击者的行为进行深入的研究,在保证不影响系统安全性的前提下分析和监控APT攻击者的所有操作,从而有效的跟踪最新的攻击技术并反过来提升自身的安全防护水平。
网络支撑:
安全日常运维的一个最重要的作用便是对网络安全进行一个支撑。在发生信息安全事件时能快速进行响应。
要高效的完成上述运维工作则需要建立信息安全运维体系。
系统运维是整个网络的权限"集中地",它的安全关乎整个网络的安全。建立信息安全运维体系对于一个组织提升整体信息安全水平来说都能起到很大的作用,具体的信息安全运维体系建设过程如下:
(1)建立安全运维监控中心
基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行。具体包括:
a.集中监控:采用开放的、遵循国际标准的、可扩展的架构,整合各类监控管理工具和监控信息,实现对资产进行集中监视、查看和管理智能化,这一般可利用现有的监控平台实现。
b.综合展现:合理规划和布控,整合来自各种不同的监控管理工具和信息源,进行标准化、归一化的处理。实现集中、综合展现。
c.快速定位和预警:经过同构和归并的信息,将依据相应的知识库、关联库等进行快速的预警。
(2)建立安全运维告警中心
基于规则配置和自动关联,实现对监控采集、同构、归并的信息的智能关联判别,并综合的展现信息系统中发生的预警和告警事件,帮助运维管理人员快速定位、排查问题所在。
(3) 建立安全运维事件响应中心
建立完善的安全运维事件响应中心,减少人工干预,缩短流程周期,减少人工错误,并实现对事件、问题处理过程中各个环节的追踪、监督和审计。建议可引入自动化的软件工具,以此来监控和跟踪安全运维事件响应的整个流程。
4.3 安全管理防护
在APT攻击防护模型或框架中,除了前面提到的技术层面、运维层面的安全防护外,安全管理层面的防护工作也显得非常的重要。安全管理工作要建立起一个信息安全管理体系还有加强信息安全培训工作。
信息安全体系的建设是整个企业网络安全工作中的重中之重,有完整、规范、科学的安全防御体系,才能保证各项信息安全防御工作顺利、有序地进行。信息安全防御体系的建设主要有:
(1)信息安全监测系统:能及时的监控系统中存在的信息安全问题,并形成管理制度化的上报这类问题。
(2)信息安全防御系统:能对碰到的信息安全攻击行为及信息安全事件进行有效的防御,形成管理制度化的防御流程机制。
(3)安全评估体系:对组织系统进行有效而全面的安全评估,并从管理制度上予以支撑。
(4)安全预警体系:对潜在的安全问题及安全事件做到有效跟踪和进行及时的预警,要从管理制度上予以保证。
(5)相关人员的职责分配:需要明确各个信息资产相关人员的职责分配,一旦该资产发生信息安全问题,则需要有相应的责任人问责机制。
信息安全体系建设的核心应该是建立信息安全保障体系,其应该贯穿在组织系统的整个生命周期中。信息安全风险评估则是整个体系建设的基础,需要首先对组织系统进行整体的安全风险评估。
对于信息安全管理工作,除了建立信息安全管理体系外,还应加强信息安全的培训工作。主要加强员工的信息安全技能水平和信息安全风险意识两方面的培训。通过搭建网络攻击试验平台,给员工进行信息攻防技能上的专门培训,提升该方面的业务水平,还可以通过对网络攻防案例以及重大信息安全时间的的专门研究学习来加强员工的信息安全意识。
本文首先对APT攻击的定义进行了介绍并分析了其特点,接着描述了对APT攻击的研究方法和范围,提出了APT攻击模型。最后从技术、运维、管理层面提出了针对APT攻击的防护模型和防护框架。
[1] Greg Day. 文章名[Advanced persistent threats-time to run for cover].
[2] Ali Lslam.文章名[2013:Attack Trends For The Year Ahead]
[3] Alex Lanstein.文章名[APTs By The Dozen:Dissecting Advanced Attacks]
[4] Eddie Schwartz.文章名[SPO-208-Getting Ahead of Targeted and Zero-Day Malware Using Multiple Concurrent Detection Methodoloies].
[5] Aaron Turner.文章名[MobileAPT:How Rogue Base Stations Can Root Your Devices]
江瀚,男,工程师,通信工程专业,主要从事信息安全工作。
郭成,男,助理工程师,信息技术专业,主要从事信息安全工作。
邓韵东,男,助理工程师,主要从事软件开发和信息系统测评工作。
A Study Of Advanced Persistent Threat Protection Model Based On Hierarchy Protection
Jiang Han,Guo Wei,Deng Yundong
(Yunnan State Grid Network Information Center,Yunnan KunMing,650217)
Various kinds of Network Attacks has appeared along with the development of Information Security Technology.Among them,the APT Attack is claimed as the latest and most dangerous one,that was also the most difficult to detect.Targeted at excessive APT Attacks,this research accordingly comes up with APT attack protection model.Starting with an analysis of international and domestic APT Attack situation, the research brings up APT attack protection model,and concludes the ways in which APT attacks, and ends up with providing protection models and solutions.
Advanced Persistent Threat;APT attack model;Information system security level protection;APT protection model based on Hierarchical Protection
云南电网年度科技基金资助项目“高级持续性威胁检测研究”(K-YN2013-148)