美國FBI(聯(lián)邦調(diào)查局)一位高管曾說:世界上只有兩種企業(yè),一種是知道自己已被黑客APT入侵的;另一種是還渾然未知的。
APT指高級持續(xù)性威脅(Advanced Persistent Threat),它的“高級”在于“用間諜打頭陣”。例如,谷歌遭受的著名的“極光行動”中,黑客研究了一位谷歌普通員工與好友的共同愛好,偽裝成其好友向其發(fā)送郵件,員工訪問郵件后中招,谷歌內(nèi)部終端被未知惡意程序滲透數(shù)月,竊取了大量信息。
“它潛伏下來,不做什么壞事,每天像正常‘員工’一樣來系統(tǒng)‘上班’,慢慢的傳統(tǒng)安全體系會認為它并沒有攻擊的屬性。”亞信安全通用安全產(chǎn)品總經(jīng)理童寧解釋,APT的善偽裝、善潛伏、伺機而動,讓網(wǎng)絡(luò)安全的“老三樣”(防火墻、入侵檢測、殺毒軟件)防不勝防,迫切需要一種全新的網(wǎng)絡(luò)安全治理策略。為此,近日亞信安全發(fā)布安全高級威脅治理XDR戰(zhàn)略,將發(fā)現(xiàn)、響應(yīng)等能力組合起來,從監(jiān)測、發(fā)現(xiàn)、驗傷、應(yīng)對、止損等多個節(jié)點上加強安全治理,打出安全“組合拳”,拆穿黑客中的間諜組織以及背后的主腦“黑手”。
攻擊手段“大集錦”,辨識黑客“門派”
現(xiàn)實中的案件發(fā)生后,警方會把周邊的攝像頭數(shù)據(jù)全部調(diào)出來,關(guān)聯(lián)一下,找到人物和時間線索,很快可以抓到罪犯。但是在虛擬的網(wǎng)絡(luò)環(huán)境里,人們看不到人,看到的只有程序、算法、文件等虛擬的字符串,如何鎖定黑客呢?
“不同的黑客有不同的‘招法’,就像我們在武俠故事里經(jīng)常看到的每一個派別都有自己的招法,其實在安全行業(yè)里面也是這樣,一個黑客是哪個組織的,可以通過看他的攻擊手法和特征來判斷。”亞信安全通用產(chǎn)品管理副總經(jīng)理劉政平說,因此針對黑客的行為去建立一些模型或者規(guī)則,可以對黑客的攻擊進行分析判斷,這樣的研究被稱為IOC,即黑客攻擊行為的研究。因此,情報機制非常重要,“雖然黑客在暗、我們在明,但將他們的蛛絲馬跡綜合起來,將非常有助于對未知威脅的防范。”
一個企業(yè)對于威脅的偵測能力與其掌握的威脅情報體量和分析威脅情報的能力密切相關(guān)。這就好比一個人的知識廣度和分析能力決定了他的認知能力。如何能夠?qū)τ谕{既不“風(fēng)聲鶴唳”,也不“馬虎大意”呢?
為了更準確預(yù)測黑客試探背后的威脅,亞信安全形成了本地和云端威脅情報雙回路的體系。劉政平解釋,比如當(dāng)企業(yè)中有大量的網(wǎng)絡(luò)數(shù)據(jù)流,或者惡意文本,該體系可以據(jù)此通過威脅情報去檢索,看看這種東西有沒有在企業(yè)其他地方出現(xiàn)過、發(fā)生過,它的攻擊本質(zhì)是什么,如何預(yù)防。如果本地沒有匹配的威脅情報,將進一步把這些異常表現(xiàn)放到云端威脅情報庫匹配,尋找蛛絲馬跡。“前者是基于我們幫助企業(yè)來做相關(guān)的知識庫和知識體系;后者是購買、共建的全球范圍情報體系。”劉政平說,這兩個體系互為補充、互通有無。當(dāng)本地威脅情報確認后,會交給云端威脅情報共享給全球的其他用戶使用。其他用戶的本地情報也會參與組建威脅情報,共享共用。
練就“火眼金睛”,定性、定量查出真威脅
有安全人士慨嘆:有了APT,網(wǎng)絡(luò)的世界也不再是“非黑即白”了。
以往的病毒就是病毒,它們的特征會被集合進病毒庫,列進“黑名單”中。系統(tǒng)不斷更新病毒庫,就能不斷識別這些被通緝的“病毒”。“人們越來越認識到,防范已知威脅遠遠不夠,未知威脅、高級威脅開始對我們的企業(yè)產(chǎn)生巨大的破壞。”亞信安全產(chǎn)品總監(jiān)白日說,例如,伊朗布什爾核電站遭到Stuxnet蠕蟲攻擊、烏克蘭電廠的勒索病毒爆發(fā)……這意味著殺毒軟件、身份認證、防火墻的“防守打法”開始不奏效了。
2010年開始,包括機器學(xué)習(xí)、行為學(xué)習(xí)、大數(shù)據(jù)、關(guān)聯(lián)分析在內(nèi)的可預(yù)測技術(shù)開始幫助人們發(fā)現(xiàn)未知的可疑威脅。然而,單純地發(fā)現(xiàn)帶來的是“告警”無數(shù)的窘?jīng)r。
“就好像每天有無數(shù)的嫌犯進入警察的視野,怎么分辨轉(zhuǎn)變成主要問題。”白日說,企業(yè)需要處理和響應(yīng)的威脅告警越來越多,相當(dāng)大部分需要人工進行干預(yù)。企業(yè)的痛點是,人力不夠,不會處理。
“企業(yè)看到了告警,但看不懂威脅,不知道該如何判斷威脅是不是真實發(fā)生了,也不知道該怎么去確認這個威脅的本質(zhì),弄清威脅的攻擊者有什么意圖,隨后會產(chǎn)生什么樣的影響。”白日解釋,也就是說,大部分收到威脅告警的企業(yè)不知道下一步怎么去作定性和定量的分析,定性是弄清楚黑客的意圖,定量是弄清損失情況及被攻擊到哪一步。
“定性分析首先判斷告警是真還是假;其次判斷威脅的本質(zhì)是經(jīng)濟類的犯罪,還是民事類的犯罪,例如類似于加密DDoS軟件攻擊,還是一個惡意釣魚的攻擊,或挖礦攻擊等,通過攻擊模式判斷意圖。”白日解釋,深度威脅分析設(shè)備可以在沙箱的環(huán)境下,高效率地模擬運行外部攻擊,判斷攻擊意圖。
定量分析通過網(wǎng)絡(luò)取證和主機取證的技術(shù),把黑客的進入路徑、留下的痕跡進行追蹤和分析。白日解釋,就如同在小區(qū)的攝像頭上發(fā)現(xiàn)黑客進入到小區(qū)之后怎么進入到家里,又做了什么事情一樣,還原事件的經(jīng)過。通過進行場景回溯,能夠得知網(wǎng)絡(luò)上的主機或者終端遭受哪些感染、破壞或竊取。
精密編排“預(yù)案”,迅速應(yīng)急處理
掌握了一切情報,并且還原了案件的發(fā)生,最終是為了實施“抓捕”。
“為了做到快速響應(yīng)必須有‘預(yù)案’,我們可以根據(jù)威脅的性質(zhì),通過威脅響應(yīng)的腳本來執(zhí)行相關(guān)的響應(yīng)策略。”童寧解釋,例如接到了加密的勒索郵件攻擊,可以先到郵件服務(wù)器上把相關(guān)的郵件刪除,然后通過終端(電腦)來做進一步的恢復(fù)處理,最后再在網(wǎng)關(guān)上建“防護網(wǎng)”防止類似的加密勒索郵件再次攻擊。
“預(yù)案”是為了告訴企業(yè),在受到某類攻擊之后,按照一定的流程操作就可以把損失或影響減到最小,并且提高自身的防護能力。
“我們提出通過精密編排能力打造一套安全聯(lián)動運維體系的理念。”白日表示,利用精密編排的聯(lián)動安全解決方案將安全產(chǎn)品以及安全流程連接和整合起來,通過全面收集的安全數(shù)據(jù)和告警,集成人工專家以及機器學(xué)習(xí)的力量來進行事故分析。
為此,亞信安全提出將整個威脅發(fā)現(xiàn)、處理、響應(yīng)流程中的“準備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”7個階段整合為XDR方案。
劉政平解釋:“X是指各種可能的場景,不管黑客在什么場景攻擊,工業(yè)還是車聯(lián)網(wǎng),都要有相應(yīng)的應(yīng)對方式。D是指傳感器,在虛擬世界,不管是在云的架構(gòu)上,還是網(wǎng)絡(luò)架構(gòu)上,還是在終端層面,都要有不同的監(jiān)控機制和數(shù)據(jù)的還原機制。R是指響應(yīng),通過精密編排,根據(jù)不同的業(yè)務(wù)特征、不同的攻擊來編排精準的響應(yīng),而且越來越傾向于自動化。”
什么樣的技術(shù)能讓響應(yīng)來得更快、更簡單?
童寧認為,“紅客”經(jīng)驗的積累和提煉,所形成的響應(yīng)預(yù)案將能夠推動APT治理能力的進化。“XDR是一個開放的方案,需要未來更多的經(jīng)驗、數(shù)據(jù)和技術(shù)的積累,目的是用融合力改變業(yè)內(nèi)分散片面的堆疊式的安全應(yīng)對‘招數(shù)’,形成‘組合拳’,應(yīng)對處心積慮的APT。”(記者 張佳星)