今日頭條
官方微信
官方抖音
資訊頻道引言
隨著APT 攻擊事件的日益增多,其組織化、潛伏性、持續(xù)性、利用0day 漏洞的攻擊特點,導(dǎo)致大多數(shù)企業(yè)采用的傳統(tǒng)的基于防火墻、IPS 等邊界防護(hù)以及病毒惡意特征代碼檢測等靜態(tài)安全防護(hù)體系已經(jīng)越來越不能適應(yīng)外部攻擊者和攻擊手段的變化,也越來越不能適應(yīng)更加開放、邊界更加模糊、日益復(fù)雜而又漏洞百出的各類系統(tǒng)和應(yīng)用程序的發(fā)展趨勢。
基于攻擊能力隨著時代的變化而顯著提升,改進(jìn)、重構(gòu)已經(jīng)相對滯后的攻擊防御體系已勢在必行。
本文依據(jù)對典型APT 攻擊事件過程的分析,提煉出的被攻擊者安全防護(hù)體系的薄弱環(huán)節(jié),并依據(jù)業(yè)界最新提出的PPDR 安全防護(hù)體系建設(shè)理論,結(jié)合作者多年工作實際經(jīng)驗,闡述了傳統(tǒng)信息安全防護(hù)體系的未來建設(shè)發(fā)展的目標(biāo)與方法,實現(xiàn)從靜態(tài)特征檢測到動態(tài)異常檢測的轉(zhuǎn)變、從邊界防護(hù)向全網(wǎng)防護(hù)的轉(zhuǎn)變、從被動防御到充分利用威脅情報進(jìn)行主動防護(hù)的轉(zhuǎn)變。
外部攻擊模式與薄弱點利用要點分析
根據(jù)近幾年比較著名的APT 攻擊事件的分析,黑客攻擊的過程主要分為以下幾個階段:
1)偵察跟蹤階段
主要是發(fā)現(xiàn)確認(rèn)目標(biāo),收集目標(biāo)網(wǎng)絡(luò)、服務(wù)狀態(tài)、相關(guān)人員電子郵件、社交信任關(guān)系,確定入侵可能的渠道。例如臺灣第一銀行ATM 吐鈔事件中,惡意代碼是來自第一銀行英國倫敦分行電腦主機和2 個存儲電話錄音的硬盤,而并非臺灣總行直接被入侵。這表明,黑客通過前期偵察準(zhǔn)確的定位倫敦分行作為入侵的初始目標(biāo),并了解其內(nèi)部網(wǎng)絡(luò)互聯(lián)互通的情況。
2) 武器構(gòu)建階段
主要是創(chuàng)建用于攻擊的武器,比如郵件中的惡意代碼附件、假冒網(wǎng)站或網(wǎng)站掛馬、遠(yuǎn)程控制通信服務(wù)器等。臺灣第一銀行ATM 事件中,黑客創(chuàng)建的惡意代碼主要包括控制ATM 吐鈔的程序、讀取ATM 系統(tǒng)和卡夾信息的程序、清除痕跡的程序以及與黑客后臺遠(yuǎn)程通信的程序。
3) 突防利用與安裝植入階段
主要是利用系統(tǒng)或網(wǎng)絡(luò)漏洞、管理機制漏洞、人性弱點等將惡意代碼投遞到內(nèi)部目標(biāo),獲得對系統(tǒng)的控制權(quán)。臺灣第一銀行事件中,就是利用倫敦分行作為突破口,將惡意代碼植入。
4) 通信控制與達(dá)成目標(biāo)階段
主要是與外部黑客遠(yuǎn)程控制服務(wù)器進(jìn)行連接,周期性的確認(rèn)其存活狀態(tài),接受指令完成數(shù)據(jù)竊取、信息收集、破壞等最終任務(wù)。臺灣第一銀行事件中,黑客通過遠(yuǎn)程命令操控,將惡意代碼植入了ATM 版本升級的主機服務(wù)器,并利用ATM 升級的契機,將惡意代碼下發(fā)至第一銀行各ATM,最后在指定時間下達(dá)了吐鈔指令。
根據(jù)以上作案過程的分析,有以下幾個主要的薄弱點環(huán)節(jié):
1) 傳統(tǒng)的邊界隔離措施無法對抗精準(zhǔn)的APT 攻擊
傳統(tǒng)的邊界隔離主要是依靠防火墻、路由器ACL 等對不同安全等級的網(wǎng)絡(luò)區(qū)域進(jìn)行劃分,比如生產(chǎn)、辦公、測試、開發(fā)、互聯(lián)網(wǎng)、第三方等。
一方面,由于客觀上總是存在外部接入內(nèi)部的網(wǎng)絡(luò)渠道,而且隨著互聯(lián)網(wǎng)的發(fā)展,內(nèi)外部互聯(lián)互通信息的需求越來越多,攻擊者總能找到入侵內(nèi)部的一條可以用的通道,可能是郵件、貌似正常的web 網(wǎng)頁數(shù)據(jù)上傳、第三方數(shù)據(jù)傳輸通道、企業(yè)各分支機構(gòu)管理不善開了例外的終端等等;
另一方面,到目前為止,已經(jīng)開通的防火墻和ACL 策略由于管理不善、信息更新滯后等原因,也可能存在少量未及時調(diào)整和刪除的冗余策略、范圍過大策略等邊界收緊不到位的情況。因此,基于防火墻和路由器的邊界隔離措施面對信息收集能力和針對性很強的APT 攻擊者,是無能為力的。
2) 傳統(tǒng)的基于特征碼的惡意代碼監(jiān)測存在滯后性和局限性
一是類似IPS、WAF 和防病毒這樣的防護(hù)工具,屬于對已知固定惡意代碼進(jìn)行特征識別的一種靜態(tài)分析方法,無法有效應(yīng)對惡意代碼變形、加殼等隱蔽手段;
二是APT攻擊通常利用看似合法的輸入和非明顯惡意特征但非常針對性的程序代碼。因此,在事發(fā)之前,我們不可能提前識別出全部的惡意代碼特征,這種傳統(tǒng)的基于惡意代碼靜態(tài)監(jiān)測的方式存在較大不足。
3) 突破邊界后的內(nèi)部網(wǎng)絡(luò)防護(hù)能力不足
由于傳統(tǒng)的防御體系側(cè)重于互聯(lián)網(wǎng)、第三方等邊界的網(wǎng)絡(luò)安全防護(hù),對于突破邊界后在內(nèi)網(wǎng)埋伏、感染、操控內(nèi)部服務(wù)器及數(shù)據(jù)的惡意行為識別和監(jiān)測缺乏有效手段。
例如臺灣第一銀行事件中,惡意代碼從倫敦分行傳播至ATM 軟件分發(fā)服務(wù)器,并進(jìn)一步感染ATM 目標(biāo)服務(wù)器,在整個內(nèi)部轉(zhuǎn)播路徑以及目標(biāo)ATM 服務(wù)器安裝了異常代碼文件都沒有被發(fā)現(xiàn)。
4) 單打獨斗式的防御,無法面對有組織有計劃的針對性攻擊
面對近幾年陸續(xù)發(fā)現(xiàn)的多起swift 事件,其幕后黑手直指臭名昭著的Lazarus 黑客組織。如此專業(yè)化組織嚴(yán)密的黑客組織,僅靠企業(yè)自身進(jìn)行防護(hù)顯得力不從心。
如何快速提前獲取0day 攻擊惡意代碼特征與文件路徑、黑客遠(yuǎn)程控制服務(wù)器IP 地址、釣魚郵件地址、假冒網(wǎng)站異常威脅情報,并及時與內(nèi)部防護(hù)系統(tǒng)聯(lián)動,成為企業(yè)安全防護(hù)的重要保障關(guān)鍵能力之一。
5) 缺乏海量數(shù)據(jù)的關(guān)聯(lián)分析和可視化分析能力
從一系列安全事件來看,從植入沒有明顯惡意特征的代碼到分行服務(wù)器、到利用軟件升級契機下發(fā)ATM 升級軟件、再到黑客復(fù)用現(xiàn)有的網(wǎng)絡(luò)端口進(jìn)行外部遠(yuǎn)程控制通信,單獨看每一個步驟可能無法準(zhǔn)確判斷單個行為是否是惡意攻擊,但是如果將整個路徑上的行為串起來看是很有可能發(fā)現(xiàn)異常行為的。
例如建立一種基于外部連接的異常分析模型,當(dāng)發(fā)現(xiàn)ATM管理服務(wù)器與外部通訊時,分析通訊的進(jìn)程、相關(guān)程序文件的安裝時間、來源以及傳播路徑,并檢查下游ATM 設(shè)備通訊流量情況,并通過可視化手段可以直觀的還原出,ATM 設(shè)備通過內(nèi)部管理服務(wù)器作為跳板與外部進(jìn)行異常連接的情況。
當(dāng)然,這一方面需要大量的信息安全日志數(shù)據(jù)作為支撐,包括內(nèi)外網(wǎng)邊界及關(guān)鍵路徑上的網(wǎng)絡(luò)流量情況、服務(wù)器設(shè)備的異常行為檢測情況、惡意遠(yuǎn)程通訊IP 地址等外部威脅情報等,另一方面需要有實時快速處理海量數(shù)據(jù)和建模關(guān)聯(lián)分析的能力,以及可視化展現(xiàn)能力,畢竟可疑事件最終還是需要人工準(zhǔn)確判斷。
以上關(guān)鍵環(huán)節(jié)的薄弱點正是我們目前靜態(tài)的、被動式防御體系的薄弱點,傳統(tǒng)的安全防護(hù)體系已經(jīng)逐漸不能適應(yīng)外部攻擊防護(hù)的需要。以下結(jié)合業(yè)界研究分析及實踐情況,就如何構(gòu)建新一代安全防護(hù)體系談幾點思路。
構(gòu)建數(shù)據(jù)驅(qū)動的自適應(yīng)安全防護(hù)體系
正如剛才描述的靜態(tài)被動式安全防護(hù)體系弱點,新一代信息安全防護(hù)體系應(yīng)該朝著如下的四個方向進(jìn)行轉(zhuǎn)變:
1) 由被動監(jiān)控向主動預(yù)防轉(zhuǎn)變。
2) 由邊界安全向全網(wǎng)安全轉(zhuǎn)變。
3) 由靜態(tài)特征識別向動態(tài)異常分析轉(zhuǎn)變。
4) 由系統(tǒng)安全向業(yè)務(wù)驅(qū)動安全為轉(zhuǎn)變。
最終,信息安全的所有問題本質(zhì)上將轉(zhuǎn)變?yōu)榇髷?shù)據(jù)分析問題。
傳統(tǒng)的應(yīng)急式安全響應(yīng)中心將轉(zhuǎn)變?yōu)槌掷m(xù)安全響應(yīng)中心。為了實現(xiàn)這個目標(biāo),我們將從以前以Policy 策略、Protect 防護(hù)、Detect 檢測、Response 響應(yīng)四個階段組成的PPDR 安全防護(hù)體系,轉(zhuǎn)變?yōu)橐訥artner 最新提出的并獲得業(yè)界主流安全企業(yè)和研究機構(gòu)認(rèn)可的PPDR 安全防護(hù)體系。
即以Predict 預(yù)測、Protect 防護(hù)、Detect 檢測、Response 響應(yīng)四個階段組成的新PPDR 閉環(huán)安全防護(hù)模型,并且在不同階段引入威脅情報、大數(shù)據(jù)分析、機器學(xué)習(xí)、云防護(hù)等新技術(shù)和服務(wù),從而真正構(gòu)建一個能進(jìn)行持續(xù)性威脅響應(yīng)、智能化、協(xié)同化的自適應(yīng)安全防護(hù)體系。
預(yù)測階段
該階段的目標(biāo)是獲得一種攻擊“預(yù)測能力”,可從外部威脅情報中學(xué)習(xí),以主動鎖定對現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊,并對漏洞劃定優(yōu)先級和定位。
該情報將反饋到防護(hù)階段和檢測功能,從而構(gòu)成整個威脅處理流程的閉環(huán)。這里面有兩個關(guān)鍵要素:一是威脅情報本身;二是對威脅情報的利用。
所謂威脅情報,是指一組基于證據(jù)的描述威脅的關(guān)聯(lián)信息,包括威脅相關(guān)的環(huán)境信息、手法機制、指標(biāo)、影響以及行動建議等。可進(jìn)一步分為基礎(chǔ)數(shù)據(jù)、技術(shù)情報、戰(zhàn)術(shù)情報、戰(zhàn)略情報4 個層次。
基礎(chǔ)數(shù)據(jù), 例如PE 可執(zhí)行程序樣本、netflow 網(wǎng)絡(luò)流數(shù)據(jù)、終端日志、DNS 與whois 記錄等;
技術(shù)情報, 例如惡意遠(yuǎn)程控制服務(wù)器地址、惡意網(wǎng)站、電話、釣魚郵件地址、惡意代碼HASH 值、修改的特定注冊表項、系統(tǒng)漏洞、異常賬號、洗錢手法等;
戰(zhàn)術(shù)情報, 包括已發(fā)現(xiàn)的外部攻擊者和目標(biāo)信息、攻擊手段和過程、可能造成的攻擊影響、應(yīng)急響應(yīng)建議等;
戰(zhàn)略情報, 主要指社會、政治、經(jīng)濟(jì)和文化動機、歷史攻擊軌跡和目標(biāo)趨勢、攻擊重點、攻擊組織的技術(shù)能力評估等。
利用這些情報成為后續(xù)防護(hù)、檢查和響應(yīng)的基礎(chǔ),我們可以與現(xiàn)有防護(hù)系統(tǒng)充分結(jié)合,自下而上在網(wǎng)絡(luò)、系統(tǒng)、終端、應(yīng)用、業(yè)務(wù)各個層面進(jìn)行外部攻擊的有效預(yù)防。
例如,可以將惡意遠(yuǎn)程控制服務(wù)器地址納入網(wǎng)絡(luò)流分析檢測工具中,及時阻斷可疑的外部連接情況;將互聯(lián)網(wǎng)上已檢測到的惡意代碼特征、異常行為模式等同步到IPS、HIDS、沙箱工具;通過APP等提示并攔截客戶對假冒網(wǎng)站的訪問;根據(jù)外部攻擊的手法和目標(biāo)等情報信息,主動調(diào)整DDos和WAF 的防護(hù)策略等等。
相關(guān)資料顯示,65%的企業(yè)和政府機構(gòu)計劃使用外部威脅情報服務(wù)增強安全檢測和防護(hù)能力。威脅情報的引入,是從被動式防護(hù)專向主動式預(yù)防的重要基石。
安全防護(hù)階段
該階段的目標(biāo)是通過一系列安全策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。
這個方面的關(guān)鍵目標(biāo)是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作,主要分為加固與隔離、漏洞與補丁管理、轉(zhuǎn)移攻擊等三個方面。
加固與隔離方面,大部分企業(yè)在系統(tǒng)、網(wǎng)絡(luò)及終端方面進(jìn)行了大量的投入和系統(tǒng)建設(shè),包括使用防火墻、VLAN 等對不同網(wǎng)絡(luò)安全區(qū)域進(jìn)行隔離和訪問策略控制,終端的802.1x 準(zhǔn)入控制與隔離,各類系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全補丁以及安全配置加固。
但是在應(yīng)用方面特別是web應(yīng)用和移動app 安全加固方面還做的不夠,包括沒有限制用戶輸入字符串的長度、使用了SQL語句拼接且沒有主動過濾非法字符、未安裝限制頻繁撞庫的驗證碼控件、未在后臺限制頻繁交易次數(shù)等。
這些加固控制措施都是必須結(jié)合應(yīng)用自身特點進(jìn)行設(shè)置,并非簡單通過IPS、DDoS、WAF 等防護(hù)設(shè)備就能阻擋此類利用正常應(yīng)用對外服務(wù)渠道和業(yè)務(wù)邏輯發(fā)起的外部攻擊。
因此,應(yīng)進(jìn)一步加大對應(yīng)用安全加固問題的重視,如應(yīng)用安全代碼檢測和應(yīng)用安全設(shè)計應(yīng)該放在更重要的位置,特別是對逐漸引入的生物特征識別與認(rèn)證技術(shù)、物聯(lián)網(wǎng)技術(shù)的安全性研究,作為從系統(tǒng)安全到業(yè)務(wù)驅(qū)動安全轉(zhuǎn)變的重要支撐。
漏洞與補丁管理方面,盡管大多數(shù)企業(yè)都引入了漏洞掃描工具,并建立了漏洞發(fā)現(xiàn)、分析、補丁修復(fù)的完整工作機制,但漏洞與補丁管理最容易在兩個方面產(chǎn)生疏漏,一是漏洞情報獲取的滯后,二是設(shè)備資產(chǎn)梳理不清。非常容易導(dǎo)致信息安全的木桶效應(yīng),即一塊短板導(dǎo)致整個防線崩潰。
漏洞情報獲取的時效性提升可以納入到前面說講的威脅情報收集工作中,盡可能從外部更快速的渠道獲取并以可機讀的方式與防護(hù)系統(tǒng)聯(lián)動;設(shè)備資產(chǎn)清單梳理方面,資產(chǎn)的梳理范圍和顆粒度劃分、以及信息采集的自動化程度是制約設(shè)備資產(chǎn)請安管理工作取得實質(zhì)性成效的重要因素。
然而現(xiàn)實中,大多數(shù)企業(yè)都不重視物聯(lián)網(wǎng)設(shè)備如視頻監(jiān)控、自助機具等如今可以被入侵或當(dāng)作攻擊肉雞的聯(lián)網(wǎng)設(shè)備清單,缺少Struts2、Open SSL 等組件分布情況快速收集的能力等。
轉(zhuǎn)移攻擊方面,簡單來說,該功能可是企業(yè)在黑客攻防中獲得時間上的非對稱優(yōu)勢,通過蜜罐、系統(tǒng)鏡像與隱藏等多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞,以及隱藏、混淆系統(tǒng)接口和系統(tǒng)信息。
此項技術(shù)對于研究攻擊者手法、檢測防護(hù)系統(tǒng)不足甚至刻畫黑客的攻擊畫像等都十分有利,但考慮到該類技術(shù)的應(yīng)用場景復(fù)雜性,引入時應(yīng)考慮更加全面充分。
安全檢測階段
該階段的主要目標(biāo)是及時發(fā)現(xiàn)各類外部直接的或潛伏的攻擊。在這個階段是傳統(tǒng)安全防護(hù)體系中,各個企業(yè)投入最大且最為依賴的部分,因此也是構(gòu)建數(shù)據(jù)驅(qū)動的自適應(yīng)安全防護(hù)架構(gòu)最需要做出改變的階段。
一是從傳統(tǒng)的只重視邊界流量(如互聯(lián)網(wǎng)與第三方入口的IPS)的安全檢測,發(fā)展為全流量檢測或至少具備任一網(wǎng)絡(luò)關(guān)鍵路徑流量的檢測能力,因為攻擊者不可避免地會繞過傳統(tǒng)的攔截和預(yù)防機制,一旦進(jìn)入內(nèi)部傳統(tǒng)的檢測防護(hù)機制就難以發(fā)現(xiàn)。
二是從靜態(tài)的基于特征碼的檢測,如目前的IPS、防病毒、WAF 等,發(fā)展到基于異常的動態(tài)檢測,正如前面提到的,很多APT 攻擊者利用的是0day 漏洞或者利用經(jīng)過多態(tài)和變形的惡意代碼進(jìn)行攻擊,無法被傳統(tǒng)基于特征碼的檢測手段發(fā)現(xiàn),但通過異常行為分析是有可能發(fā)現(xiàn)的。
目前業(yè)界主要通過進(jìn)入沙箱檢測技術(shù),將網(wǎng)絡(luò)、終端、郵件等系統(tǒng)中獲取到的可執(zhí)行文件等在沙箱環(huán)境運行,并觀察相關(guān)進(jìn)程創(chuàng)建或調(diào)用、文件或資源訪問行為、注冊表修改等是否存在異常。
然而,沙箱逃逸技術(shù)的蓬勃發(fā)展(即通過主動識別沙箱環(huán)境而不執(zhí)行相關(guān)代碼、利用時間差埋伏一段時間再啟動等),使得對于異常的分析不能完全依賴于沙箱,而是通過異常流量檢測、機器學(xué)習(xí)、關(guān)聯(lián)分析等大數(shù)據(jù)分析手段進(jìn)行自適應(yīng)安全檢測。
三是加大云平臺的安全監(jiān)測能力。隨著Iaas、Paas 等云平臺的不斷擴(kuò)充,越來越多的企業(yè)核心業(yè)務(wù)正逐漸從傳統(tǒng)的服務(wù)器遷移至私有云或混合云。除了云平臺帶來的擴(kuò)展靈活性、高可用性、運維便捷性外,也會帶來新的安全挑戰(zhàn)。
虛擬化層hypervisor 的安全漏洞與安全控制問題,如虛擬機逃逸問題,會產(chǎn)生一鍋端的較大風(fēng)險;安全設(shè)備和安全防護(hù)手段的虛擬化軟件化將帶來攻擊面的擴(kuò)大。
云上應(yīng)用的數(shù)據(jù)高度集中,用戶及權(quán)限管理方面管控不嚴(yán)格也存在客戶信息泄露風(fēng)險;系統(tǒng)、網(wǎng)絡(luò)和存儲資源復(fù)用,既給數(shù)據(jù)有效隔離和保護(hù)帶來挑戰(zhàn),也存在安全風(fēng)險傳導(dǎo)的隱患;原有實體網(wǎng)絡(luò)之間的網(wǎng)絡(luò)邊界、實體設(shè)備之間的物理邊界已經(jīng)模糊,不同安全等級的網(wǎng)絡(luò)區(qū)域整合到了一個網(wǎng)絡(luò)區(qū)域中,給網(wǎng)絡(luò)邊界防護(hù)帶來挑戰(zhàn);不同安全級別的信息系統(tǒng)使用云平臺上同樣的資源,對安全分級保護(hù)和安全管理增加難度和復(fù)雜度。
但反過來云平臺也會給安全防護(hù)帶來積極的一面,如網(wǎng)絡(luò)隔離的靈活多樣和更精細(xì)的顆粒度;全局網(wǎng)絡(luò)流量的鏡像抓取與檢測更加容易;安全防護(hù)設(shè)備虛擬化后的靈活定制能力等。
因此,我們可以通過幾個方面綜合提升云平臺的安全檢測能力進(jìn)而降低整個云平臺的安全風(fēng)險。
首先,實現(xiàn)云平臺跨虛擬機內(nèi)部的全流量采集與監(jiān)測,例如目前有很多針對openstack 的流量監(jiān)控方案;
其次,通過軟件定義安全的方式,充分利用安全防護(hù)設(shè)備的軟件化虛擬化,實現(xiàn)個性化流量監(jiān)測策略,例如針對不同的web 應(yīng)用業(yè)務(wù)實現(xiàn)不同的WAF 策略,而無需像以往一樣受限與固定硬件設(shè)備的一些掣肘;
再次,實現(xiàn)不同安全防護(hù)設(shè)備的云化集中監(jiān)測能力,云平臺自身的特性和云計算的強大能力使得各類安全檢測設(shè)備云化后,安全日志等安全檢測信息的整合集中與關(guān)聯(lián)能力更容易獲得。
四是從系統(tǒng)安全檢測發(fā)展到重視應(yīng)用和業(yè)務(wù)層面安全問題的檢測能力。對于資金欺詐、撞庫洗庫、惡意頻繁交易等業(yè)務(wù)層面的安全檢測能力也應(yīng)該得到進(jìn)一步加強,主要包括:
(1)外部威脅情報引入與反欺詐系統(tǒng)的聯(lián)動,例如惡意釣魚網(wǎng)站、惡意IP等;
(2)反欺詐系統(tǒng)監(jiān)控變量、模型與規(guī)則的豐富,例如生物認(rèn)證信息、移動終端位置信息、更加豐富的移動和固定終端的設(shè)備指紋信息等;
(3)基于機器學(xué)習(xí)的異常流量檢測和反欺詐交易行為檢測。
綜上所述,持續(xù)而嚴(yán)密的異常動態(tài)安全檢測是自適應(yīng)安全架構(gòu)的核心,全網(wǎng)流量檢測、沙箱技術(shù)、大數(shù)據(jù)分析能力、面向業(yè)務(wù)安全的檢測技術(shù)等,共同構(gòu)成了我們構(gòu)建下一代信息安全防護(hù)體系的核心能力建設(shè)目標(biāo)。
安全響應(yīng)階段
該階段的目標(biāo)是一旦外部攻擊被識別,將迅速阻斷攻擊、隔離被感染系統(tǒng)和賬戶,防止進(jìn)一步破壞系統(tǒng)或擴(kuò)散。
常用的隔離能力包括,終端隔離、網(wǎng)絡(luò)層IP 封禁與隔離、系統(tǒng)進(jìn)程、賬戶凍結(jié)、應(yīng)用層阻斷和主動拒絕響應(yīng)等。這些響應(yīng)措施在新一代數(shù)據(jù)驅(qū)動的自適應(yīng)安全防護(hù)體系中最重要的目標(biāo)是能夠跟基于大數(shù)據(jù)的安全檢測系統(tǒng)進(jìn)行有效對接,自動根據(jù)檢測結(jié)果進(jìn)行觸發(fā)或者提示人工判斷后自動觸發(fā)。
因此,在建立下一代安全防護(hù)體系過程中,必須把響應(yīng)階段與安全檢測階段一體化考慮。同時,在做好自身的響應(yīng)準(zhǔn)備時還要充分考慮外部服務(wù)商、合作方的共同應(yīng)急響應(yīng)或風(fēng)險傳導(dǎo)控制。
一是一些應(yīng)用攻擊的影響控制需要應(yīng)用系統(tǒng)側(cè)采取驗證碼控件、后臺交易頻率限制、輸入過濾等措施進(jìn)行真正有效的應(yīng)急處理,但通常這類措施受限與供應(yīng)商或內(nèi)部開發(fā)團(tuán)隊的影響上線周期過長,因此要提前建立快速響應(yīng)機制。
二是使用CDN 服務(wù)情況下面臨外部攻擊時,惡意攻擊的阻斷和地址封禁等需要CDN廠商同步實施,但其封禁時效性以及CDN 自身入侵防護(hù)能力可能存在不足。如何第一時間從CDN 獲取詳細(xì)信息、如何在CDN 側(cè)響應(yīng)過慢時主動切換CDN 或者切回源站、如何考核督促CDN 等都是需要高度重視的問題。
三是系統(tǒng)層面快速阻斷與隔離手段通常較網(wǎng)絡(luò)隔離與封禁等使用的較少,例如進(jìn)程中止與隔離、文件鎖定與隔離、用戶會話中斷與用戶鎖定等。
四是回溯能力不足,一方面需要構(gòu)建大數(shù)據(jù)分析平臺,還原和展現(xiàn)事件發(fā)生前后關(guān)鍵路徑上所發(fā)生的一切,利用運營商、安全廠商、BAT 等互聯(lián)網(wǎng)大數(shù)據(jù)威脅情報進(jìn)行溯源和快速響應(yīng)。
結(jié)語
本文結(jié)合日益突出的APT 攻擊問題,針對性的提出了目前傳統(tǒng)靜態(tài)防御技術(shù)體系和應(yīng)急式威脅響應(yīng)防護(hù)機制的不足,并按照PPDR 模型,簡要描述了構(gòu)建下一代數(shù)據(jù)驅(qū)動的安全防護(hù)體系建設(shè)四個階段(安全預(yù)測、安全防護(hù)、安全檢測、安全響應(yīng))的建設(shè)目標(biāo)、內(nèi)容和關(guān)鍵技術(shù)思路,打造一個內(nèi)外聯(lián)動的、預(yù)防為主的、具有整體威脅感知和快速響應(yīng)處理能力的持續(xù)信息安全響應(yīng)平臺。
作者
金海旻,博士,高級工程師,主要從事應(yīng)用密碼學(xué)、網(wǎng)絡(luò)攻防與數(shù)據(jù)庫安全相關(guān)研究。
顧駿,本科,高級工程師,主要從事國內(nèi)外信息安全管理體系理論與實踐、企業(yè)級病毒防護(hù)體系、身份認(rèn)證技術(shù)與應(yīng)用、金融IC 卡技術(shù)等相關(guān)研究。
金晶,本科,高級工程師,主要從事信息安全審計與取證技術(shù)、數(shù)據(jù)安全相關(guān)技術(shù)、ZOS 大型主機安全技術(shù)等相關(guān)研究。
來源: 信息安全與通信保密雜志社
北京市公安局海淀分局備案號:11010802023656號