《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 設(shè)計(jì)應(yīng)用 > 四類APT安全解決方案面面觀
四類APT安全解決方案面面觀
來源:CCTIME飛象網(wǎng)
摘要: 今年的全球著名信息安全峰會(huì)RSA2013共有350家安全廠商參展,廠家數(shù)量超過了以往的RSA年會(huì)。單從技術(shù)熱點(diǎn)來看,這兩年的RSA峰會(huì)熱點(diǎn)并沒有太多變化,依然還是圍繞數(shù)據(jù)安全、企業(yè)安全管理、合規(guī)性、應(yīng)用程序安全、DLP等熱點(diǎn),而圍繞數(shù)據(jù)和企業(yè)安全的APT檢測(cè)成為了今年RSA大會(huì)的最熱門話題。
Abstract:
Key words :

     今年的全球著名信息安全峰會(huì)RSA2013共有350家安全廠商參展,廠家數(shù)量超過了以往的RSA年會(huì)。單從技術(shù)熱點(diǎn)來看,這兩年的RSA峰會(huì)熱點(diǎn)并沒有太多變化,依然還是圍繞數(shù)據(jù)安全、企業(yè)安全管理、合規(guī)性、應(yīng)用程序安全、DLP等熱點(diǎn),而圍繞數(shù)據(jù)和企業(yè)安全的APT檢測(cè)成為了今年RSA大會(huì)的最熱門話題。

 
    APT攻擊是近幾年來出現(xiàn)的一種高級(jí)攻擊,具有難檢測(cè)、持續(xù)時(shí)間長(zhǎng)和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測(cè)和防御方法在檢測(cè)和防御APT方面效果很不理想,因此,各安全廠商都在研究新的方法并提出了多種多樣的解決方案。筆者在今年RSA峰會(huì)現(xiàn)場(chǎng)收集了各安全廠商所宣傳的APT安全解決方案并進(jìn)行了梳理。在下文中,我們先回顧一下整個(gè)APT攻擊過程,對(duì)APT安全解決方案進(jìn)行分類,再介紹一些代表性廠商的APT安全解決方案,最后給出我們的建議。
 
    APT攻擊過程分解
 
    整個(gè)APT攻擊過程包括定向情報(bào)收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟:
 
    1、定向情報(bào)收集,即攻擊者有針對(duì)性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多,包括網(wǎng)絡(luò)隱蔽掃描和社會(huì)工程學(xué)方法等。從目前所發(fā)現(xiàn)的APT攻擊手法來看,大多數(shù)APT攻擊都是從組織員工入手,因此,攻擊者非常注意搜集組織員工的信息,包括員工的微博、博客等,以便了解他們的社會(huì)關(guān)系及其愛好,然后通過社會(huì)工程方法來攻擊該員工電腦,從而進(jìn)入組織網(wǎng)絡(luò)。
 
    2、單點(diǎn)攻擊突破,即攻擊者收集了足夠的信息后,采用惡意代碼攻擊組織員工的個(gè)人電腦,攻擊方法包括:1)社會(huì)工程學(xué)方法,如通過email給員工發(fā)送包含惡意代碼的文件附件,當(dāng)員工打開附件時(shí),員工電腦就感染了惡意代碼;2)遠(yuǎn)程漏洞攻擊方法,比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬,當(dāng)員工訪問該網(wǎng)站時(shí),就遭受到網(wǎng)頁代碼的攻擊,RSA公司去年發(fā)現(xiàn)的水坑攻擊(Wateringhole)就是采用這種攻擊方法。這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞,現(xiàn)有殺毒和個(gè)人防火墻安全工具無法察覺,最終結(jié)果是,員工個(gè)人電腦感染惡意代碼,從而被攻擊者完全控制。
 
    3、控制通道構(gòu)建,即攻擊者控制了員工個(gè)人電腦后,需要構(gòu)建某種渠道和攻擊者取得聯(lián)系,以獲得進(jìn)一步攻擊指令。攻擊者會(huì)創(chuàng)建從被控個(gè)人電腦到攻擊者控制服務(wù)器之間的命令控制通道,這個(gè)命令控制通道目前多采用HTTP協(xié)議構(gòu)建,以便突破組織的防火墻,比較高級(jí)的命令控制通道則采用HTTPS協(xié)議構(gòu)建。
 
    4、內(nèi)部橫向滲透,一般來說,攻擊者首先突破的員工個(gè)人電腦并不是攻擊者感興趣的,它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器,因此,攻擊者將以員工個(gè)人電腦為跳板,在系統(tǒng)內(nèi)部進(jìn)行橫向滲透,以攻陷更多的PC和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
 
    5、數(shù)據(jù)收集上傳,即攻擊者在內(nèi)部橫向滲透和長(zhǎng)期潛伏過程中,有意識(shí)地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn),進(jìn)行壓縮、加密和打包,然后通過某個(gè)隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。
 
    APT檢測(cè)和防御方案分類
 
    縱觀整個(gè)APT攻擊過程發(fā)現(xiàn),有幾個(gè)步驟是APT攻擊實(shí)施的關(guān)鍵,包括攻擊者通過惡意代碼對(duì)員工個(gè)人電腦進(jìn)行單點(diǎn)攻擊突破、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令,以及最后的敏感數(shù)據(jù)外傳等過程。當(dāng)前的APT攻擊檢測(cè)和防御方案其實(shí)都是圍繞這些步驟展開。我們把本屆RSA大會(huì)上收集到的APT檢測(cè)和防御方案進(jìn)行了整理,根據(jù)它們所覆蓋的APT攻擊階段不同,將它們分為以下四類:
 
    1、惡意代碼檢測(cè)類方案:該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破階段,它是檢測(cè)APT攻擊過程中的惡意代碼傳播過程。大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個(gè)人電腦,從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的,因此,惡意代碼檢測(cè)對(duì)于檢測(cè)和防御APT攻擊至關(guān)重要。很多做惡意代碼檢測(cè)的安全廠商就是從惡意代碼檢測(cè)入手來制定其APT檢測(cè)和防御方案的,典型代表廠商包括FireEye和GFISoftware。
 
    2、主機(jī)應(yīng)用保護(hù)類方案:該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個(gè)人電腦發(fā)送惡意代碼,這個(gè)惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此,如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施,確保員工個(gè)人電腦以及服務(wù)器的安全,則可以有效防御APT攻擊。很多做終端和服務(wù)器安全的廠商就是從這個(gè)角度入手來制定APT檢測(cè)和防御方案的,典型代表廠商包括Bit9和趨勢(shì)科技。
 
    3、網(wǎng)絡(luò)入侵檢測(cè)類方案:該類方案主要覆蓋APT攻擊過程中的控制通道構(gòu)建階段,通過在網(wǎng)絡(luò)邊界處部署入侵檢測(cè)系統(tǒng)來檢測(cè)APT攻擊的命令和控制通道。安全分析人員發(fā)現(xiàn),雖然APT攻擊所使用的惡意代碼變種多且升級(jí)頻繁,但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化,因此,可以采用傳統(tǒng)入侵檢測(cè)方法來檢測(cè)APT的命令控制通道。該類方案成功的關(guān)鍵是如何及時(shí)獲取到各APT攻擊手法的命令控制通道的檢測(cè)特征。很多做入侵檢測(cè)網(wǎng)關(guān)的廠商就是從這個(gè)角度入手來制定APT攻擊防御方案的,典型代表廠商有啟明星辰、飛塔等。
 
    4、大數(shù)據(jù)分析檢測(cè)類方案:該類方案并不重點(diǎn)檢測(cè)APT攻擊中的某個(gè)步驟,它覆蓋了整個(gè)APT攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路,它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志,然后進(jìn)行集中的海量數(shù)據(jù)存儲(chǔ)和深入分析,它可在發(fā)現(xiàn)APT攻擊的一點(diǎn)蛛絲馬跡后,通過全面分析這些海量數(shù)據(jù)來還原整個(gè)APT攻擊場(chǎng)景。大數(shù)據(jù)分析檢測(cè)方案因?yàn)樯婕昂A繑?shù)據(jù)處理,因此需要構(gòu)建大數(shù)據(jù)存儲(chǔ)和分析平臺(tái),比較典型的大數(shù)據(jù)分析平臺(tái)有Hadoop。很多做大數(shù)據(jù)分析和日志分析的廠商都是從這個(gè)角度入手來制定APT攻擊檢測(cè)防御方案的,典型的廠商有RSA和SOLERA。
 
    典型APT檢測(cè)和防御產(chǎn)品

    FireEye惡意代碼防御系統(tǒng)
 
    FireEye可以說是本次RSA大會(huì)上最火的公司,它所推出的基于惡意代碼防御引擎的APT檢測(cè)和防御方案最引人矚目。FireEye的APT安全解決方案包括MPS(MalwareprotectionSystem)和CMS(CentralManagement System)兩個(gè)組件,其中MPS是惡意代碼防護(hù)引擎,它是一個(gè)高性能的智能沙箱,可直接采集網(wǎng)絡(luò)流量,抽取所攜帶文件,然后放到沙箱中進(jìn)行安全檢測(cè);CMS是集中管理系統(tǒng)模塊,它管理系統(tǒng)中各MPS引擎,同時(shí)實(shí)現(xiàn)威脅情報(bào)的收集和及時(shí)分發(fā)。FireEye的MPS引擎有以下特點(diǎn):1)支持對(duì)Web、郵件和文件共享三種來源的惡意代碼檢測(cè);2)對(duì)于不同來源的惡意代碼,采取專門MPS硬件進(jìn)行專門處理,目的是提高檢測(cè)性能和準(zhǔn)確性;3)MPS支持除可執(zhí)行文件之外的多達(dá)20種文件類型的惡意代碼檢測(cè);4)MPS可支持旁路和串聯(lián)部署,以實(shí)現(xiàn)惡意代碼的檢測(cè)和實(shí)時(shí)防護(hù);5)MPS可實(shí)時(shí)學(xué)習(xí)惡意代碼的命令和控制信道特征,在串聯(lián)部署模式可以實(shí)時(shí)阻斷APT攻擊的命令控制通道。CMS除了對(duì)系統(tǒng)中多個(gè)MPS引擎進(jìn)行集中管理外,還可以連接到云中的全球威脅情報(bào)網(wǎng)絡(luò)來獲取威脅情報(bào),并支持將檢測(cè)到的新型惡意代碼情報(bào)上傳到云中,以實(shí)現(xiàn)威脅情報(bào)的廣泛共享。此外,F(xiàn)ireEye還可以和其它日志分析產(chǎn)品結(jié)合起來,形成功能更強(qiáng)大的信息安全解決方案。FireEye被認(rèn)為是APT安全解決方案的佼佼者,其產(chǎn)品被很多500強(qiáng)企業(yè)采購。
 
    Bit9的可信安全平臺(tái)
 
    Bit9可信安全平臺(tái)(Trust-basedsecurityPlatform)使用了軟件可信、實(shí)時(shí)檢測(cè)審計(jì)和安全云三大技術(shù),為企業(yè)網(wǎng)絡(luò)提供網(wǎng)絡(luò)可視、實(shí)時(shí)檢測(cè)、安全保護(hù)和事后取證等四大安全功能,從而可以檢測(cè)和抵御各種高級(jí)威脅和惡意代碼。Bit9解決方案核心是一個(gè)基于策略的可信引擎,管理員可以通過安全策略來定義哪些軟件是可信的。Bit9可信安全平臺(tái)默認(rèn)假設(shè)所有軟件都是可疑和禁止加載執(zhí)行的,只有那些符合安全策略定義的軟件才被認(rèn)為可信和允許執(zhí)行。Bit9可以基于軟件發(fā)布商和可信軟件分發(fā)源等信息來定義軟件的可信策略,同時(shí),bit9還使用安全云中的軟件信譽(yù)服務(wù)來度量軟件可信度,從而允許用戶下載和安裝可信度較高的自由軟件。這種基于安全策略的可信軟件定義方案其實(shí)是實(shí)現(xiàn)了一個(gè)軟件白名單,只有那些在軟件白名單中的應(yīng)用軟件才可以在企業(yè)計(jì)算環(huán)境中執(zhí)行,其它則是禁止執(zhí)行的,從而保護(hù)企業(yè)的計(jì)算環(huán)境安全。Bit9解決方案還包括一個(gè)可安裝在每個(gè)終端和服務(wù)器上的輕量級(jí)實(shí)時(shí)檢測(cè)和審計(jì)模塊,它是實(shí)現(xiàn)實(shí)時(shí)檢測(cè)、安全防護(hù)和事后取證的關(guān)鍵部件。Bit9的實(shí)時(shí)檢測(cè)和審計(jì)模塊將幫助你獲得對(duì)整個(gè)網(wǎng)絡(luò)和計(jì)算環(huán)境的全面可視性,通過它你可以實(shí)時(shí)了解到各終端和服務(wù)器的設(shè)備狀態(tài)和關(guān)鍵系統(tǒng)資源狀態(tài),可以看到各終端上的文件操作和軟件加載執(zhí)行情況;同時(shí),實(shí)時(shí)檢測(cè)和審計(jì)模塊還審計(jì)終端上的文件進(jìn)入渠道、文件執(zhí)行、內(nèi)存攻擊,進(jìn)程行為、注冊(cè)表、外設(shè)掛載情況等等。Bit9解決方案還包括一個(gè)基于云的軟件信譽(yù)服務(wù),它通過主動(dòng)抓取發(fā)布于互聯(lián)網(wǎng)上的軟件,基于軟件發(fā)布時(shí)間、流行程度、軟件發(fā)布商、軟件來源以及AV掃描結(jié)果計(jì)算各軟件信譽(yù)度。Bit9解決方案還支持從其它惡意代碼檢測(cè)廠商(比如FireEye)處獲取文件哈希列表,從而可以識(shí)別更多的惡意代碼和可疑文件。
 
    趨勢(shì)科技DeepDiscovery
 
    趨勢(shì)科技的DeepDiscovery專門為APT攻擊檢測(cè)而設(shè)計(jì),它采用網(wǎng)絡(luò)入侵檢測(cè)技術(shù)來檢測(cè)APT攻擊的命令控制通道,同時(shí),還可以通過在入侵檢測(cè)引擎上部署惡意代碼檢測(cè)沙箱來彌補(bǔ)傳統(tǒng)特征攻擊檢測(cè)的不足。DeepDiscovery方案包括檢測(cè)、分析、調(diào)整、響應(yīng)四個(gè)步驟。產(chǎn)品形態(tài)上包括Inspector和Advisor兩個(gè)組件。Inspector是個(gè)網(wǎng)絡(luò)入侵檢測(cè)引擎,依據(jù)獲取的威脅情報(bào)信息來檢測(cè)APT攻擊過程中的命令控制通道,Inspector可以通過Advisor及時(shí)獲取到趨勢(shì)科技的全球威脅情報(bào)信息,以便及時(shí)檢測(cè)到各種新型的APT攻擊命令控制通道;同時(shí),Inspector還包括一個(gè)VirtualAnalyzer組件,它是一個(gè)智能沙箱,用來分析捕獲的惡意代碼。Adivsor為一個(gè)管理組件,可以實(shí)現(xiàn)對(duì)各Inspector引擎的集中管理;同時(shí),它還包括一個(gè)可選的惡意代碼分析引擎,可以接收來自檢測(cè)引擎的惡意代碼,從而實(shí)現(xiàn)惡意代碼的集中分析;此外,Advisor還承擔(dān)了威脅情報(bào)的實(shí)時(shí)收集和分發(fā)工作,以實(shí)現(xiàn)各Inspector引擎之間威脅情報(bào)的廣泛共享。
 
    RSA的NetWitness
 
    RSANetWitness是一款革命性的網(wǎng)絡(luò)安全監(jiān)控平臺(tái),它可為企業(yè)提供發(fā)生在網(wǎng)絡(luò)中任何時(shí)間的網(wǎng)絡(luò)安全態(tài)勢(shì),從而協(xié)助企業(yè)解決多種類型的信息安全挑戰(zhàn)。RSANetWitness是一組軟件集合,針對(duì)APT攻擊的檢測(cè)和防御則主要由Spectrum、Panorama和Live三大組件實(shí)現(xiàn),其中,RSA NetWitness Spectrum是一款安全分析軟件,專門用來識(shí)別和分析基于惡意軟件的企業(yè)網(wǎng)絡(luò)安全威脅,并確定安全威脅的優(yōu)先級(jí);RSA NetWitness Panorama通過融合成百上千種日志數(shù)據(jù)源與外部安全威脅情報(bào),從而可可以實(shí)現(xiàn)創(chuàng)新性信息安全分析;RSA NetWitness Live是一種高級(jí)威脅情報(bào)服務(wù),通過利用來自全球信息安全界的集體智慧和分析技能,可以及時(shí)獲得各APT攻擊的威脅情報(bào)信息,極大縮短了針對(duì)潛在安全威脅的響應(yīng)時(shí)間。RSA NetWitness具有以下特點(diǎn):1)可對(duì)所有網(wǎng)絡(luò)流量和各網(wǎng)絡(luò)服務(wù)對(duì)象的離散事件進(jìn)行集中分析,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)的全面可視性,從而獲得整個(gè)網(wǎng)絡(luò)的安全態(tài)勢(shì);2)可以識(shí)別各種內(nèi)部威脅、檢測(cè)零日漏洞攻擊、檢測(cè)各種定向設(shè)計(jì)的惡意代碼和檢測(cè)各種APT攻擊事件和數(shù)據(jù)泄密事件;3)可對(duì)所捕獲的網(wǎng)絡(luò)和日志數(shù)據(jù)進(jìn)行實(shí)時(shí)上下文智能分析,從而為企業(yè)提供可行動(dòng)的安全情報(bào)信息;4)可以借助NetWitness監(jiān)控平臺(tái)的可擴(kuò)展性和強(qiáng)大分析能力來實(shí)現(xiàn)過程自動(dòng)化,從而減少安全事件響應(yīng)時(shí)間,并對(duì)變化的安全威脅做出及時(shí)調(diào)整。
 
    縱觀RSA2013大會(huì)上參展的主流APT攻擊檢測(cè)和方案后發(fā)現(xiàn),目前各廠家所推出的APT檢測(cè)防御方法都具有一定的局限性,主要表現(xiàn)為:很多APT攻擊檢測(cè)和防御方案都只能覆蓋到APT攻擊的某個(gè)階段,從而可能導(dǎo)致漏報(bào);很多APT安全解決方案只能檢測(cè)APT攻擊,并沒有提供必要的APT攻擊實(shí)時(shí)防御能力。我們認(rèn)為,理想的APT安全解決方案應(yīng)該覆蓋APT攻擊的所有攻擊階段,也就是說,我們的APT安全解決方案應(yīng)該包括事前、事中和事后三個(gè)處置階段,從而可能全面的檢測(cè)和防御APT攻擊。理想APT安全解決方案應(yīng)該同時(shí)具有檢測(cè)和實(shí)時(shí)防御能力,大數(shù)據(jù)分析和入侵檢測(cè)防御技術(shù)相結(jié)合,大數(shù)據(jù)智能分析平臺(tái)應(yīng)該是APT安全解決方案的核心,實(shí)現(xiàn)對(duì)APT攻擊事件的事后分析和情報(bào)獲?。煌瑫r(shí),還應(yīng)該配合主機(jī)應(yīng)用控制、實(shí)時(shí)惡意代碼檢測(cè)和網(wǎng)絡(luò)入侵防御等技術(shù),以實(shí)現(xiàn)對(duì)APT攻擊的時(shí)間檢測(cè)和防御。各APT安全廠商也已經(jīng)注意到這個(gè)問題,開始通過合作或者完善自身技術(shù)方法來改進(jìn)自己的APT檢測(cè)和防御方案,以彌補(bǔ)其不足,比如,Junior和RSA近期宣布在威脅情報(bào)共享上達(dá)成合作協(xié)議,Junior的安全產(chǎn)品可以使用RSANetWitnessLive提供的安全威脅情報(bào)信息,從而提升其安全網(wǎng)關(guān)的檢測(cè)能力;Bit9的可信安全平臺(tái)可以和FireEye產(chǎn)品集成,利用FireEye高性能智能沙箱和上億的惡意代碼庫識(shí)別惡意代碼,從而更有效地保障主機(jī)終端的安全;FireEye的惡意代碼防御引擎可以和第三方的安全事件分析平臺(tái)(SIEM)進(jìn)行集成,從而可以實(shí)現(xiàn)對(duì)APT攻擊的事后分析和取證。(啟明星辰葉潤國)
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。