当攻击变成了一种精致的工程艺术,如“神对手”一般了无痕迹时,安全防御反倒“简单”了。仔细思索一番,这是真的。
日前,第三届网络安全冬训营再次于冰城哈尔滨举办。在冬训营的开幕式上,中共黑龙江省委网络安全和信息化领导小组办公室主任李耀东表示,网络安全拼的不是资金、不是规模,而是技术,中国的网络安全需要有技术实力和民族情怀的网络安全技术专家队伍的有力支撑。而本次冬训营的主办方安天就拥有这样一群有技术实力和民族情怀的网络安全技术专家。
技术驱动实现“弹道有痕”
胖乎乎的大胡子、“我自欲为江海客”的安天大BOSS肖新光给自己的定位一直都是“首席技术架构师、反病毒老兵”,在他看来“安全工作者与安全威胁间进行的本身就是一场永不终止的心力长跑,双方不止是进行力量的抗衡,同样也是心灵与意志间的较量。”
每次提到安天,笔者脑海里出现的第一个词永远都是“技术”。安天是纯技术型的网络安全企业,其在技术上的深厚沉淀也推动着安天逐渐从单纯的反病毒上游企业转变为提供多维度高级安全防护的“下一代网络安全企业”。
而近几年安天对“方程式(Equation)”、“海莲花(APT-TOCS)”、“HangOver”等各类典型AP T攻击的深度跟踪、分析、研究,使其发现“弹道有痕”(在警界资深的弹道分析人员能够逆向从弹头向弹道进行分析,逐步还原犯罪现场)在网络安全领域同样适用。再狡猾的恶意攻击,其实都可以有办法让其现形。
恶意攻击的魔抓正在从虚拟空间伸向现实世界
当今的安全威胁正在走向纵深化与泛在化,随着互联网 向传统领域延伸,随着各类智能终端向更广泛范围扩展,网络攻击开始从空间走向实体。
.pdf、.ppt、.doc、.wps……如今各种文档文件都可以用于攻击,USB设备、打印机设备、显示器、键盘、端口……各类外设也都在被攻击者所利用,而被寄予很高安全期望的可信计算也在面临恶意攻击的严峻威胁。哪怕是物理隔离的网络,攻击者也能够通过劫持物流链的方式实现对其的突破。
世界上的超级大国已经实现了传统、电磁、网络的三位一体,其可以不依赖网络投放、不依赖(被攻击方)网络回传、不到达终端、不依赖直接后门和信息系统优势,只需借助在各类基础设施方面的优势,超级大国就可以随时随地发起各类网络攻击。
神对手——A平方PT
APT——高级可持续性威胁,这个最初于2006年由美国空军上校Greg Rattray创造的术语开启了新的威胁时代,现在APT攻击已经横扫全球绝无死角,而斯诺登则让人们开始正视APT的攻击威力。
肖新光表示,震网病毒并不是一个单纯的APT攻击,而是更为高级的APT——A2PT(A平方PT)。A2PT是“神一样的对手”,其有着充足的0day储备;载荷部分高度复杂、高度模块化;本地加密抗分析、网络严格加密通讯和伪装;不一定通过网络植入,可能为人工植入和物流链劫持;基本上完整普及了无文件载体技术、内存分段抗分析;持久化向深度扩展(固件),向广度扩展(防火墙、邮件网关、局域网内横向移动);完整覆盖所有(含移动)操作系统平台。简单的说就是A2PT可以想怎么干就怎么干,对于被攻击者而言,面对A2PT却如“一帘幽梦,风过了无痕”——怎么死的都不知道。
你踹门厉害,我就拖你到内网里群K!——掐断APT的作业链
不过APT攻击并不是凭空产生的,其还是既有攻击思路与方法的综合,所以面对体系化的进攻,需要实施足够纵深的安全防御。APT攻击环环相连,A2PT更是极为精密的线性攻击体系,但这反过来也意味着其整体攻击体系十分脆弱,任何一点作业链被截断就会使得整体攻击无效。
所以,“新的布防点需要建立起来,在入口与关键内网进行深度检测与缓存。”恶意攻击者虽然在攻击的第一步“把门踹倒”上拥有了很大优势,但其进入内部网络后仍然需要持续的横向移动才能最终到达攻击目标,而这一阶段也正是防御者与之惨烈肉搏的时候。可以通过对可疑行为、可疑文件进行分析,及时发现0day漏洞等方式,从不同维度对恶意攻击者层层狙击、实施捕捉。
新的安全布防点不是凭空产生的,其需要与传统安全设备相互对接。传统安全防护设备虽然面临APT攻击已经力不从心,但并不意味着这些设备就可以“取消”,而是需要深挖并扩展其安全防护能力(其实许多攻击能够得逞,往往是由于安全设备的防护能力仅仅开在了最低档),例如通过传统安全设备解决前置分析,过滤已知恶意代码,在此基础上再通过白名单、安全基线、安全可视化等手段完成高纬度的安全防御。所有传统、新型安全防护设备结伴而行、互通有无,才能实现主动、智能的安全防护。
新型网络安全观:站在更高处——削皮?!
其实,现在中国国内对于网络安全的认知还存在许多盲点,例如:过多强调以隔离换取安全,而忽视信息有效链接和整合是重要的安全手段;过多强调信息技术的自我短板,不积极在安全环节上有效布防;过度强调主要对手的基础优势,缺乏对对手攻击作业方式和作业路径的系统研判;过度看重网站安全,针对重要基础设施网络被入侵、信息被窃取问题,投入甚少。“对于互联网,需要关注网络攻击带来的纵深挑战,需要关注对手的实际行为。”
面对新型恶意攻击,需要形成新的网络安全观。肖新光提出,当前的安全观需要从基于合规的安全方法论向能力型安全观转化,从治理型安全观向战略博弈的安全观转变,需要扩大视野,从边界型安全观向国土型安全观转变,需要点点皆边界、点点皆防御的安全观——这很像是在给土豆削皮,一层层不停的削下去,直至将恶意攻击消于无形。
变身塔防高手,让攻击跟你走——妖孽,现形!
在本次冬训营上,塔防理念的提出者黄晟认为,要找出体系化攻击的薄弱环节,如塔防游戏一般利用“先发优势”布置起一道道安全防线,对恶意攻击层层消弱、阻截。通过网络拓扑控制进攻者的攻击路径,通过纵深防御形成多道防线,且每道防线都要针对能够通过前道防线的攻击者特点,部署避免损失的防御后手及防“逃逸”的后手(例如停机、系统环境科隆诱拐攻击者等等),让恶意攻击落入防御者的节奏里,逼迫其逐渐显形,使其在有利于防御者的环境下作战。
在以私有云为例时黄晟提出,云计算平台存在多层次迭代的依赖关系,底层管理平台大量使用通用软件开发,复杂度不亚于一套中小型信息系统。云计算引入了更多系统,这使其会具有更多被攻击面。但细细看来,云计算还是既有IT技术的延续、发展,依然受传统软硬件技术生态圈的影响,因此传统攻击手段依然具有威胁性,需要依靠传统防护手段作为私有云安全防护的基础。
那么,对于私有云可以考虑实施分层控制体系:底层严格控制,保障交付层灵活应用;各层功能内聚,降低运行依赖;分层自治,将云管理系统作为信任中心,接受统一管控;多层纵深控制,固化底层行为;收缩硬件管理访问接口,形成管理专网。
长点心吧CISO们
借用某小品里的一句经典台词“CISO呐,你可长点心吧”,如今的安全防御体系已经不能像以前那样粗糙、放任自流,现在要吃透业务系统架构,对每个环节都实施精细、精准的安全防御,确保整体安全防御能力达到甚至超过企业业务的安全基线,同时又不会对企业业务的正常运行造成负面影响。
未来的网络安全攻防更多的将是一场智力的对决,战争迷雾会不时的出现,却又在下一刻被打破。攻者虚虚实实,防者实实虚虚。恶意攻击者可能最后才会发现,其所窃取到手的“高价值信息”其实只是一堆垃圾代码,而其行踪早已暴露于防守者的视线之下。