公共图书馆应对未知威胁APT攻防技术的浅析

陈 清

(江西省图书馆，江西 南昌 330046)

1 引言

近几年，安全威胁的性质已经发生了根本性的变化，专业的黑客攻击从以前恶作剧形式或者技术炫耀性质，已经逐步转变到为了商业、利益、政治、宗教等具有明确目的性的恶意行为。为了攻陷传统的安全检测及防御措施，黑客们变得比以前更具耐性，而且层出不穷的0-Day、“未知”恶意软件及APT(advanced persistent threat,高级持续性威胁)等攻击的迅速发展给整个网络现有的网络安全防御体系提出了一个巨大的难题。

面对日益升级的安全风险问题，如何在现有的安全保护下应对越来越先进的攻击手段，保护读者信息不被泄露，是公共图书馆信息主管部门的主要任务之一。

2 未知威胁的主要攻击方式和阶段

现在很多公共图书馆都意识到内部数据及读者信息的重要性，但是仍然只是做到边界的安全及从物理上隔离了网络层的数据传输，在逻辑上数据流是不能阻止的。也就是说重要数据信息与外部环境在真正意义上没有隔绝，恶意盗窃者通过逻辑上就能盗取到想要的内部数据及读者信息。RSA就是利用了FLASH 0DAY漏洞被APT攻击，攻入RSA内网安全保护后，SECURID令牌种子被恶意盗窃者窃取，某国核设施级别相当高的物理隔离网络，恶意盗窃者利用技术摆渡和7个0DAY攻击，并成功地渗透到网络当中，这些攻击案例都是真实存在的。RSA遭受SecurID窃取攻击流程如图1所示。

图1 RSA遭受SecurID窃取攻击流程

传统攻击手段与APT攻击相比有很大不同。首先，恶意盗窃者基本上是从各类终端或者工作人员寻找突破口，当公共图书馆的内网用户及接入单位越来越多时，作为信息安全的管理部门就无法保证接入用户及单位的个人终端(笔记本、PAD、手机)完全安全。其次，APT攻击渗透方式是采用了工程学并结合恶意软件(木马、钓鱼软件、病毒等)来进行攻击，相关边界安全设备或其他安全工具的检测被透码的方式轻易绕过，使得恶意盗窃者通过安全的加密通道获取公共图书馆的重要资产及读者信息数据，同时还能做到很强的隐匿性，数据窃取者自身的身份、攻击位置和盗取行为都得到很好地隐藏。

APT攻击具有多阶段渗透的显著特征，攻击持续时间较长。根据其特征可以分为四个阶段：前期的嗅探、中期的干扰、后期的窃听和结尾的疏散。这四个阶段一般都是逐步进行的，但并不排除一些有针对性的攻击，只是为了实现某个特定目标，而进行的某一阶段或多个阶段的重复。

2.1 嗅探

嗅探是攻击者为发动攻击时，针对攻击目标提前收集各方面数据的阶段。大量关键信息通过各种社会工程学技术被攻击者轻易地收集，比如公共图书馆内部员工信息、图书馆业务流程信息、读者数据以及图书馆内部和外部网络的关键数据。同时结合传统的渗透攻击手段收集设备信息、网络流量流向、系统版本、应用系统、业务开放端口、员工信息、管理措施等信息，然后对收集到的信息进行多维度的分类和策略分析，从而分析出被攻击的重要数据信息，并针对目标数据可能存在的缺陷漏洞来进行攻击。

同时，攻击者还会实时地收集各种各样的0day数据，编写窃取数据的代码和程序，从而选择合理有效的成功率高的攻击计划。

2.2 入侵

在收集到大量数据的前提下，黑客的攻击手段更加多样并且更具有针对性，例如定时定点的查看被攻击者的文件、图片、音频、视频等各种类型数据，从而获得黑客所需数据，另外也可以冒充运维管理员、内部工作人员等可靠身份，从而以远程协助的方式在用户后台运行恶意程序(木马软件、病毒软件)或者开启部分安全漏洞，在被攻陷用户毫不知情的情况下，将用户的服务请求按照黑客自定义频率和内容重定向到指定任意的恶意地址，被攻击者将收到无用或恶意的电子信息，同时通过修改网站页面及后台的链接地址等方式，从而打乱图书馆信息管理部门的工作节奏和防范措施。

虽然攻击手段和攻击工具不断变化升级，但它们的目的是渗透到目标对象的网络环境中。普通员工、运维人员、管理人员等角色都是他们渗透目标。所有的攻击行为都伪装成正常行为，整个过程严格且准确，所有的入侵都是正常的业务数据的形式，使目标不易察觉，无法做到提前预防。

2.3 潜伏

有经验的入侵者在成功入侵到目标对象的网络中后，一般都不会急于获取数据信息，而是先隐藏自己，这样做的目的是为了避免以前的入侵行为和数据被盗之间存在的真实关联，同时，还在寻找进行下一次窃取数据的最佳时机。

在通常情况下，当潜伏在目标对象网络中的恶意软件检测到内部环境符合要求并具备攻击条件时，提前设定好的恶意嵌入式程序开始执行，必要的情况下攻击者进行远程的手动操作。根据攻击者的不同目的，轻者通过VPN等加密通道或者建立一条比较安全的连接进行传输数据，严重者直接修改或者销毁关键数据，这对用户来说是灭顶之灾。

2.4 撤离

大多数攻击者在达成目的后，为了隐藏真实的攻击过程，不留下任何犯罪踪迹，会对登录修改日志信息、设备的策略配置参数、应用状态信息、全网监控数据进行删除及销毁，从而做到保护攻击者的自身安全。再根据之前嗅探和入侵时所收集的数据作为判断依据，使各方面日志、参数配置等数据恢复成正常状态，而且不会影响到被攻击者正在使用的网络及业务环境，这样，被攻击者就不会在日常的维护与监管中发现业务存在异常，攻击者在窃取到想要的数据同时，也保护了自己的安全。

图2 安全防护服务模型

3 未知威胁的可行防护措施

目前针对传统的安全防护体系(如图2所示)存在以下问题：安全检测基本上是靠安全规则和已知的威胁特征库(入侵、病毒)；安全问题的处理能力滞后,对潜在的未知威胁缺乏感知能力,对模块之间缺乏关联分析能力。

通过加强安全管理能力和提高安全措施，并且使用根据信息数据安全思维研发的产品和系统，可以实现业务系统及核心数据的安全可控。但是，在绝大多数的公共图书馆网络系统中，运维人员或业务发展都不具备相对应的安全能力。例如，有时由于他们受限于开发能力、管理技巧、运维保障，需要使用第三方服务或产品。这些对于信息主管部门都是不可控的安全内容。因此，图书馆要对使用的产品供应链的安全性与保修范围以及外包驻场人员访问权限、监管力度、问责方式等进行管理。除此之外，提高对无特征未知威胁的认识可能更为重要。

在目前现有的网络环境与安全防范技术条件下，如遇到未知威胁的攻击时，如何能够具备更多的防御思维及治理手段，笔者根据长期从事安全信息管理的经验，对安全攻击事件中的事前和事中分别提出部分建议，以供参考。

首先，目前图书馆业内大多数安全设备基本上根据已知威胁特症库进行比对来发现攻击，或者等攻击已经完成后，发现业务与网络的异常、数据的丢失或者日志的查看，才发现自己单位的网络被攻击、数据被窃取，之后再采取一些补救措施，总体来说都是非常被动的。事实上，现有安全防御产品都无法从源头上进行安全防护。

针对公共图书馆的业务自动化系统及网络运行环境进行监测和评估，建立一套能提前预防系统，首先要分析哪些重要的业务数据需要保护，它与其他数据有何关联，因此，可以制定一个初步的安全防护标准，接着对数据之间的关联进行进一步分析，从而分析出哪些数据存在威胁。具体可以对微观层面的数据权限关系进行分析，把可能存在的潜在威胁模拟成安全漏洞，再根据漏洞形式分析出在系统中的表现，通过在系统中表现出来的形式实施对应的安全手段。可以通过这种方式获得系统安全策略，完成安全要求，然后对安全策略、安全功能和安全实施验证，最终可以形成一套高覆盖率、流程完整的安全测试方法。

其次，及时发现已经出现的安全事件中的问题。对正在进行中的漏洞、恶意攻击等行为可通过技术手段及时发现，从应用层面分析。漏洞包括内存层面的漏洞、脚本层面的漏洞二大类。基于漏洞层面的分析，主要是通过站点分析技术、0day攻击检测技术、恶意链路分析技术，恶意代码分析技术以及网络边界和终端联动的等技术，沙箱检测技术之所以能够比较准确地检测到各类型应用层上的攻击，就是上述技术组合应用的体现。可以说，对纵深创建一套防御体系，就是APT安全防御的核心技术，其中包括0-day木马对抗与检测、0-day漏洞触发与检测、识别加密隧道以及威胁事件关联与分析。

对于0-day木马检测技术，引擎采用沙箱检测技术，判断难点是难以识别恶意攻击点，因而只能作为0-day漏洞的一个补充技术。0-day可以立刻判断出对方的恶意行为，然后准确无误地分析出漏洞行为特征，通过智能分析将攻击特征、攻击行为，迅速加入到智能学习中，并关联到其他特征库。

针对加密数据的可靠识别可以分为两类[1]：一是加密的协议隧道，加密协议隧道的数据更为安全，受保护的层面更高更加复杂一些；二是未加密的协议隧道，未加密协议通道是对通过的异常流量和行为进行分析进而发现潜在威胁。未知威胁的APT攻击这种手法早就普遍使用，因此要不断充实外部分析内容，在对外部关联数据进行判断同时，还需对站点的信息进行分析，从而对远程连接对象进行有效识别并判断其行为的可信度，这一点要真正实现有一定难度。

针对APT这种无特征多变化的攻击方式，我们可以凭借收集的海量数据，并对其进行分析，配合已部署的安全防护模块进行联合防护。通过分析APT攻击手段，我们也能采用此方法来进行安全保护，许多安全事件看似独立，其实它与各方面都是有着密切的关联。通过分析平时的一些不寻常的流量特征，网络服务、业务流向、数据外传的微小变动，有价值的安全信息有可能被挖掘出来。安全隐患的集中数据挖掘如图3所示。

图3 安全隐患的集中数据挖掘

我们所需要做的就是把相关的一些数据相结合并关联在一起，包括流量特征与属性、审计日志、数据通信设备、安全设备、安全事件、终端信息、人员信息等，只要有足够的数据量和覆盖范围，一些潜在的安全隐患或被隐藏的未知威胁就能够被及时发现，无论攻击者使用什么攻击方法或者使用什么攻击工具，基本上都是有迹可循，最终能被发现的。

4 结束语

正所谓道高一尺，魔高一丈。由于高级威胁和0-day攻击极其隐蔽，能高度地绕开或规避检测，导致目前很多传统的基于特征库比对的安全防范设备与方法都无法查出和防御类似于未知威胁或0-day攻击的攻击行为，所以现在的信息安全防范模型正在从基于威胁的保护转变到面向风险的保护。

因此，形成一个具有深层次的且有关联性分析的防御体系，对防御未知威胁，特别是APT检测识别体系上具有重要意义。完善的渗透检测识别技术，对异常流量和行为进行分析，并对结果加以识别与判断，能够防御各种攻击0-day漏洞以及木马病毒等恶意程序。以上就是针对未知威胁并结合当前现有技术提出的检测体系。

[参考文献]

[1]黄达理,薛质.进阶持续性渗透攻击的特征分析研究[J].信息安全与通信保密,2012(5):87-89.