信息化觀察網(wǎng)

一、APT防御的難點(diǎn)分析

APT攻擊的專業(yè)性強(qiáng)、復(fù)雜度高，因此對其防范相對困難。攻擊者在暗處通過社會(huì)工程學(xué)等手段收集大量信息，而被攻擊者毫不知情，這樣的信息不對稱也造成了APT攻擊的防御難點(diǎn)。

APT攻擊行為特征難以提取、攻擊渠道多元化、攻擊空間不確定等特點(diǎn)恰好也形成對其防御的難點(diǎn)。首先，APT一般通過零日漏洞獲取權(quán)限，但通過獲取和分析相應(yīng)攻擊的特征來識別攻擊行為通常具有滯后性，這將導(dǎo)致實(shí)時(shí)監(jiān)測APT攻擊變得很困難，更何況APT注重動(dòng)態(tài)行為和靜態(tài)文件的隱蔽性，如構(gòu)建隱蔽通道、加密通道等；其次，APT攻擊渠道的多元化導(dǎo)致很難使用單一的技術(shù)手段建立通用的防御機(jī)制；最后，APT攻擊空間的不確定性，如任何一個(gè)階段、任何一個(gè)網(wǎng)絡(luò)、任何邊緣或非核心的節(jié)點(diǎn)等都有可能成為攻擊目標(biāo)，導(dǎo)致其安全防護(hù)效果的不確定性。

“持續(xù)性”和“社會(huì)工程學(xué)”的混合攻擊方式是防御APT的另一難點(diǎn)。APT的持續(xù)時(shí)間長久，就如同人體的慢性疾病，潛伏一段時(shí)間后可能隨時(shí)爆發(fā)。據(jù)統(tǒng)計(jì)，APT攻擊從產(chǎn)生到被發(fā)現(xiàn)的平均耗時(shí)約為5年，是否能夠保證在5年的時(shí)間內(nèi)一直關(guān)注某些數(shù)據(jù)？這在物理世界都很難堅(jiān)持，更何況在數(shù)據(jù)無所不在的網(wǎng)絡(luò)空間。大數(shù)據(jù)的特點(diǎn)就是數(shù)據(jù)規(guī)模大、分布無所不在，即數(shù)據(jù)的價(jià)值密度變得更小、更分散，從而導(dǎo)致更難聚焦于高價(jià)值的數(shù)據(jù)，這正是大數(shù)據(jù)本身所帶來的攻擊檢測難點(diǎn)。然而，攻擊者則恰好可能一直持續(xù)關(guān)注著某些敏感數(shù)據(jù)，這就將造成APT攻擊防不勝防

二、APT防御的基本方法

APT是多樣攻擊方式的組合，因此也需要對其進(jìn)行多方位的檢測防御。

1.惡意代碼檢測

大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個(gè)人電腦，從而突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施。因此，惡意代碼檢測對于檢測和防御APT攻擊至關(guān)重要。

惡意代碼的檢測主要分為兩種：基于特征碼的檢測技術(shù)和基于啟發(fā)式的檢測技術(shù)。

基于特征碼的檢測技術(shù)是通過對惡意代碼的靜態(tài)分析，找到該惡意代碼中具有代表性的特征信息（指紋），如十六進(jìn)制的字節(jié)序列、字符串序列等，然后再利用該特征進(jìn)行快速匹配。因此，基于特征碼檢測過程一般分3個(gè)步驟：第一步是特征分析，反病毒專家通過對搜集的惡意樣本進(jìn)行分析，抽取特征碼；第二步是特征碼入庫，即將特征碼加入特征數(shù)據(jù)庫；第三步是安全檢測，即對可疑樣本進(jìn)行掃描，利用已有的特征數(shù)據(jù)庫進(jìn)行匹配，一旦匹配成功，則認(rèn)定為惡意代碼，并輸出該惡意代碼的相關(guān)信息。

基于啟發(fā)式的檢測技術(shù)是通過對惡意代碼的分析獲得惡意代碼執(zhí)行中通用的行為操作序列或結(jié)構(gòu)模式，這些行為序列和模式一般在正常文件中很少出現(xiàn)，如修改某個(gè)PE文件的結(jié)構(gòu)、刪除某個(gè)系統(tǒng)關(guān)鍵文件、格式化磁盤等，然后再把每一個(gè)行為操作序列或結(jié)構(gòu)模式按照危險(xiǎn)程度排序并設(shè)定不同的危險(xiǎn)程度加權(quán)值，在實(shí)施檢測時(shí)，若行為操作序列或結(jié)構(gòu)模式的加權(quán)值總和超過某個(gè)指定的閾值，即判定為惡意代碼。啟發(fā)式檢測技術(shù)進(jìn)行檢測時(shí)閾值的設(shè)定是關(guān)鍵，若閾值設(shè)定過大，則可能忽略某些危險(xiǎn)操作，容易造成漏報(bào)，但若設(shè)定過小，可能把某些正常的行為序列組合判定為惡意操作，則容易誤報(bào)。因此要通過實(shí)驗(yàn)，調(diào)整參數(shù)以達(dá)到最佳檢驗(yàn)效果。

2.主機(jī)應(yīng)用保護(hù)

不管攻擊者通過何種渠道向員工個(gè)人電腦發(fā)送惡意代碼，該惡意代碼必須在員工個(gè)人電腦上執(zhí)行才能控制整個(gè)電腦。因此，若能加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個(gè)人電腦以及服務(wù)器的安全，則可以有效防御APT攻擊。

3.網(wǎng)絡(luò)入侵檢測

安全分析人員發(fā)現(xiàn)，雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化。因此，可采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道，關(guān)鍵是如何及時(shí)獲取APT攻擊命令控制通道的通信模式特征。

4.大數(shù)據(jù)分析檢測

大數(shù)據(jù)分析是一種網(wǎng)絡(luò)取證思路，它全面采集網(wǎng)絡(luò)設(shè)備的原始流量及終端和服務(wù)器日志，進(jìn)行集中的海量數(shù)據(jù)存儲和深入分析，可以在發(fā)現(xiàn)APT攻擊的蛛絲馬跡后，通過全面分析海量日志數(shù)據(jù)來還原APT攻擊場景。大數(shù)據(jù)分析檢測因涉及海量數(shù)據(jù)處理，因此需要構(gòu)建Hadoop、Spark等大數(shù)據(jù)存儲和分析平臺，并通過機(jī)器學(xué)習(xí)對數(shù)據(jù)進(jìn)行分析，從而檢測出是否受到攻擊。例如，利用k-means聚類算法和ID3決策樹學(xué)習(xí)算法進(jìn)行網(wǎng)絡(luò)異常流量檢測，使用基于歐氏距離的k-means聚類算法對正常流量行為和異常流量行為進(jìn)行訓(xùn)練，最后結(jié)合ID3決策樹判斷是否發(fā)生流量異常。

三、APT防御的產(chǎn)品路線

隨著APT攻擊的流行，不少安全廠商也推出了APT安全解決方案，下面介紹幾個(gè)APT檢測和防御產(chǎn)品。

1.FireEye

FireEye的APT解決方案包括MPS（Malware Protection System）和CMS（CentralManagement System）兩大組件。其中，MPS是惡意代碼防護(hù)引擎，是一個(gè)高性能的智能沙箱，可直接采集流量、抽取攜帶文件等，然后放到沙箱中進(jìn)行安全檢測。FireEye的MPS引擎有以下特點(diǎn)。

(1)支持對Web、郵件和文件共享3種來源的惡意代碼檢測。

(2)對于不同來源的惡意代碼，采取專門MPS硬件進(jìn)行專門處理，目的是提高檢測性能和準(zhǔn)確性。

(3)MPS支持除可執(zhí)行文件之外的多達(dá)20種文件類型的惡意代碼檢測。

(4)MPS可支持旁路和串聯(lián)部署，以實(shí)現(xiàn)惡意代碼的檢測和實(shí)時(shí)防護(hù)。

(5)MPS可實(shí)時(shí)學(xué)習(xí)惡意代碼的命令和控制信道特征，在串聯(lián)部署模式可以實(shí)時(shí)阻斷APT攻擊的命令控制通道。

CMS是集中管理系統(tǒng)模塊，管理系統(tǒng)中各MPS引擎，同時(shí)實(shí)現(xiàn)威脅情報(bào)的收集和及時(shí)分發(fā)分享。CMS除了對系統(tǒng)中多個(gè)MPS引擎進(jìn)行集中管理外，還可連接到云中的全球威脅情報(bào)網(wǎng)絡(luò)來獲取威脅情報(bào)，并支持將檢測到的新惡意代碼情報(bào)上傳到云平臺，實(shí)現(xiàn)威脅情報(bào)的同步共享。此外，F(xiàn)ireEye還可與其他日志分析產(chǎn)品融合，形成功能更強(qiáng)大的APT安全防御解決方案。

2.Bit9

Bit9可信安全平臺（Trust-based Security Platform）采用軟件可信、實(shí)時(shí)檢測審計(jì)和安全云三大技術(shù)，提供網(wǎng)絡(luò)可視、實(shí)時(shí)檢測、安全保護(hù)和事后取證等四大企業(yè)級安全功能，從而實(shí)現(xiàn)強(qiáng)大的惡意代碼檢測和各類高級威脅的抵御能力。

Bit9解決方案核心是一個(gè)基于策略的可信引擎，管理員可以通過安全策略來定義可信軟件。Bit9可信安全平臺默認(rèn)所有軟件都是可疑并禁止加載執(zhí)行，只有符合安全策略定義的軟件才被認(rèn)為可信并允許執(zhí)行。Bit9可以基于軟件發(fā)布商和可信軟件分發(fā)源等定義可信策略，同時(shí)還可使用安全云提供的軟件信譽(yù)服務(wù)來度量軟件可信度，從而允許用戶下載和安裝可信度高的自由軟件。基于安全策略的可信軟件定義方案事實(shí)上采用了軟件白名單機(jī)制，即在軟件白名單中的應(yīng)用軟件才能在企業(yè)計(jì)算環(huán)境中執(zhí)行，其他都被禁止執(zhí)行，以此保護(hù)企業(yè)的計(jì)算環(huán)境安全。

Bit9解決方案中安裝在每個(gè)終端和服務(wù)器上的輕量級實(shí)時(shí)檢測和審計(jì)模塊，是實(shí)現(xiàn)實(shí)時(shí)檢測、安全防護(hù)和事后取證的關(guān)鍵部件。實(shí)時(shí)檢測模塊可以實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)和計(jì)算環(huán)境的全面可視，實(shí)時(shí)了解終端和服務(wù)器的設(shè)備狀態(tài)和關(guān)鍵系統(tǒng)資源狀態(tài)，包括終端上的文件操作和軟件加載執(zhí)行情況；審計(jì)模塊還可審計(jì)終端上的文件進(jìn)入渠道、文件執(zhí)行、內(nèi)存攻擊、進(jìn)程行為、注冊表、外設(shè)掛載情況等。

Bit9解決方案還提供一個(gè)基于云的軟件信譽(yù)服務(wù)，即通過主動(dòng)抓取發(fā)布在云上的軟件信息，包括軟件發(fā)布時(shí)間、流行程度、軟件發(fā)布商、軟件來源、AV掃描結(jié)果等來計(jì)算軟件信譽(yù)度。同時(shí)，還支持從第三方惡意代碼檢測廠商（如FireEye等）獲取文件散列列表，有效識別更多的惡意代碼和可疑文件。

3.RSA NetWitness

RSA NetWitness是一款革命性的網(wǎng)絡(luò)安全監(jiān)控平臺，針對APT攻擊的檢測和防御主要由Spectrum、Panorama和Live三大組件實(shí)現(xiàn)。其中，RSA NetWitness Spectrum是一款安全分析軟件，專門用來識別和分析基于惡意軟件的企業(yè)網(wǎng)絡(luò)安全威脅，并確定安全威脅的優(yōu)先級；RSA NetWitness Panorama通過融合成百上千種日志源與外部安全威脅情報(bào)，從而實(shí)現(xiàn)創(chuàng)新性信息安全分析；RSA NetWitness Live是一種高級威脅情報(bào)服務(wù)，通過利用來自全球信息安全界的集體智慧和分析技能，及時(shí)獲得各種APT攻擊的威脅情報(bào)信息，可極大縮短針對潛在安全威脅的響應(yīng)時(shí)間。

總體而言，RSA NetWitness具有以下特點(diǎn)。

(1)網(wǎng)絡(luò)全流量和服務(wù)對象離散事件的集中分析，實(shí)現(xiàn)網(wǎng)絡(luò)的全面可視性，從而獲得整個(gè)網(wǎng)絡(luò)的安全態(tài)勢。

(2)識別各種內(nèi)部威脅、檢測零日漏洞攻擊、檢測各種特定惡意代碼和APT攻擊事件以及數(shù)據(jù)泄密事件等。

(3)網(wǎng)絡(luò)日志數(shù)據(jù)的實(shí)時(shí)上下文智能分析，為企業(yè)提供可讀的安全情報(bào)信息。

(4)檢測與防御分析過程的自動(dòng)化，最小化安全事件響應(yīng)時(shí)間。

四、APT防御的發(fā)展趨勢

當(dāng)前主流廠商提供的APT防御產(chǎn)品，主要存在如下問題。

(1)不能很好實(shí)現(xiàn)APT攻擊全過程檢測，容易導(dǎo)致攻擊漏報(bào)。

(2)不能全面提供APT攻擊的實(shí)時(shí)防御，難以實(shí)現(xiàn)主動(dòng)防御。

(3)不能精準(zhǔn)執(zhí)行APT攻擊的態(tài)勢感知，缺乏安全預(yù)警機(jī)制。

從功能上看，一個(gè)完整的APT安全檢測與防御解決方案應(yīng)該覆蓋APT攻擊的所有階段，即應(yīng)該解決事前智能檢測、事中應(yīng)急響應(yīng)和事后分析防御等3個(gè)層面。從技術(shù)上看，APT安全解決方案應(yīng)該配置主機(jī)應(yīng)用控制、實(shí)時(shí)惡意代碼檢測、入侵防御等關(guān)鍵技術(shù)，實(shí)現(xiàn)對APT攻擊的實(shí)時(shí)檢測和防御。同時(shí)，也需要將入侵檢測防御和大數(shù)據(jù)分析技術(shù)相結(jié)合，實(shí)現(xiàn)基于大數(shù)據(jù)的安全態(tài)勢感知與智能預(yù)警分析將成為APT安全解決方案的核心，實(shí)現(xiàn)對APT攻擊事件的情報(bào)信息獲取及其深度分析。隨著人工智能2.0時(shí)代的到來，基于深度學(xué)習(xí)的APT主動(dòng)防御服務(wù)平臺也成為一種技術(shù)發(fā)展趨勢。