一、传统安全检测体系的挑战
下一代的威胁已经流行,但由于攻击的专业性和隐蔽性,其危害被大众所认知还需要较长的时间。而其中最大的误区在于,传统的安全检测体系能够检测到这些威胁,但是事实上,传统安全检测体系应对下一代威胁时,往往是失效的,传统安全检测体系广泛使用的检测技术有:
基于签名的检测技术
这类技术,广泛使用于传统杀病毒厂商、IDS、IPS厂商,其技术原理是通过获取已经广泛传播的攻击(漏洞、病毒、木马)样本,进行特征分析与提取,然后将特征写入检测产品中进行检测,这种方式针对已知且长期大量传播的攻击比较有效,但是针对广发使用0DAY漏洞、NDAY漏洞变形以及特马以及病毒木马变形的下一代威胁则很困难。2013年,SANS发布了一篇测评报告,报告选取了国际知名的主流传统安全检测设备(HP TippingPoint IPS、Check Point Firewall with IPS Blade、Palo Alto Networks Firewall、Cisco ASA with integrated IPS、Fortinet FortiGate、Snort (in-line mode using Security Onion),通过一个5年前的老漏洞(MS08-067)进行变形来发起攻击,以上主流设备无一能检测到。(报告下载地址:http://www.sans.org/reading_room/whitepapers/intrusion/beating-ips_34137),体现了传统安全检测技术在应对下一代威胁时的尴尬。
主动行为防御检测技术
在实际运行环境中基于运行行为的主动防御式检查,这类技术,主要使用在杀毒厂商的桌面防御系统上,但由于实时监控进程行为,会影响用户使用;同时由于大量的误报,需要用户对安全非常了解来作出判定,很难适应企业级的需求。同时,攻击者也研究出了不是对抗和绕过手段。#p#
二、新型威胁检测技术
随着APT攻击从2009年开始被美国重视以来,国际安全厂商逐步提出了一些新的检测技术并用于产品中,并且取得了良好的效果,这些技术逐步被重视,开始引领起下一代检测技术的变革。主要有:
虚拟执行分析检测
通过在虚拟机上执行检测对抗,基于运行行为来判定攻击。这种检测技术原理和主动防御类似,但由于不影响用户使用,可以最更深更强的检测以及防止绕过和在虚拟机下层进行检测。另外可疑性可以由对安全研究更深入的人员进行专业判定和验证。国外多家厂商APT检测的产品主要使用该技术。
内容无签名算法检测
针对内容深度分析发现可疑特征,再配合虚拟执行分析检测。该技术需要对各种内容格式进行深入研究,并分析攻击者负载内容的原理性特征。该技术可以帮助快速过滤检测样本降低虚拟执行分析检测的性能压力,同时虚拟执行分析检测容易被对抗,而攻击原理性特征比较难绕过。国外几个最先进的APT检测厂商检测的产品里部分使用了该技术。
新的检测技术面临的问题
事实求是的说,新的威胁检测技术产品使用后,再以前难以检测的APT攻击上,取得了比较明显的效果,但应该看到:这些效果是在攻击者还不知道该类产品和相关技术原理或取得的,而随着这些APT攻击检测技术的日益走向前台,攻击者也清楚了对抗者的存在和对抗技术的原理,之后的对抗必然产生,而且现有的检测技术在对抗上面,并不占有优势,下面是一些可能APT对抗的手段分析:
◆逻辑执行对抗:攻击者可以使用如触发时间逻辑,触发条件逻辑,检测虚拟机环境等多种手段来对抗虚拟执行分析检测。
◆云恶意对抗:攻击者植入的是无恶意行为的代码,通过检测方难以知道的服务器端动态条件,选择性的下载恶意代码来执行以逃过检测。
结论
APT攻击的检测与对抗,只是刚刚开始,还有很多很长的路需要走,这需要专业的研究和产品团队,长期投入并研究攻击者的手段并不断改进新的检测技术和方法,同时提供更加体系化的检测架构,才能对抗APT攻击带来的挑战。#p#
三、下一代安全检测体系思想
即使不考虑人的意识与管理制度的问题,只基于现有IT系统的脆弱性,我们也很难再IT基础架构上从根本上解决安全问题,现有IT基础没有客观技术标准定义恶意行为,加上大量很少考虑安全的IT产品的广泛部署和应用,注定APT攻击的检测与防御,其实是专业攻击团队与防御团队,是人和人,在技术、安全理解与智力的对抗。对于检测与防御者来说,短板在于必须兼顾用户的可用性易用性与习惯意识,并要在冲突时做出重大退让,而且企业IT环境的云化、移动化、软件定义化必然带来防御边界的模糊,攻击者进入路径过多,难以面面俱到,同时要考虑攻击者潜在可能的对抗手段以及后续带来的对方成本和检测成本。这就意味:难以期待一个万能的药方可以做到极致并全面解决问题,而建立一个纵深、立体的检测体系,才能适应这种环境的变化。
下一代安全检测体系,必须考虑基于如下角度来建立:
基于攻击生命周期的纵深检测体系
从攻击者发起的攻击生命周期角度,可以建立一个纵深检测体系,覆盖攻击者攻击的主要环节。这样即使一点失效和被攻击者绕过,也可以在后续的点进行补充,让攻击者很难整体逃逸检测。
◆信息收集环节的检测:攻击者在这个环节,会进行扫描、钓鱼邮件等类型的刺探活动,这些刺探活动的信息传递到受害者网络环境中,因此可以去识别这类的行为来发现攻击准备。
◆入侵实施环节的检测:攻击者在这个环节,会有基于漏洞利用的载体、木马病毒的载体传递到受害者网络环境中,因此可以去识别这类的行为和载体来发现攻击发起。
◆木马植入环节:攻击者在这个环节,会释放木马并突破防御体系植入木马。因此可以去识别这类的行为来发现入侵和入侵成功。
◆控制窃取与渗透环节:攻击者在这个环节,会收集敏感信息,传递敏感信息出去,与控制服务器通讯,在本地渗透等行为。因此可以去识别已经受害的主机和潜在被攻击的主机。#p#
基于信息来源的多覆盖检测
从攻击者可能采用的攻击路径的角度,可以建立一个覆盖广泛的检测体系,覆盖攻击者攻击的主要路径。这样避免存在很大的空区让攻击者绕过,同时增加信息的来源度进行检测。
◆从攻击载体角度覆盖:攻击者发起攻击的内容载体主要包括:数据文件、可执行文件、URL、HTML、数据报文等,主要发起来源的载体包括:邮件、HTTP流量和下载、IM通讯、FTP下载、P2P通讯。
◆双向流量覆盖:攻击者在信息收集环节、入侵实施环节主要是外部进入内部的流量。但在木马植入环节、控制窃取与渗透环节,则包含了双向的流量。对内部到外部的流量的检测,可以发现入侵成功信息、潜在可疑已被入侵的主机等信息。
◆从攻击类型角度覆盖:覆盖主要的可以到达企业内容的攻击类型,包括但不限于,基于数据文件应用的漏洞利用攻击、基于浏览器应用的漏洞利用攻击、基于系统逻辑的漏洞利用攻击、基于XSS、CSRF的漏洞利用攻击、恶意程序、信息收集于窃取、扫描、嗅探等。
◆从信息来源角度覆盖:主要覆盖网络流来收集流量,但是考虑到加密流量、移动介质带入的攻击等方式,还需要补充客户端检测机制。同时为了发现更多的可疑点,针对主机的日志挖掘,也是一个非常重要的信息补充。#p#
基于攻击载体的多维度检测
针对每个具体攻击载体点的检测,则需要考虑多维度的深度检测机制,保证攻击者难以逃过检测。
◆基于签名的检测:采用传统的签名技术,可以快速识别一些已知的威胁。
◆基于深度内容的检测:通过对深度内容的分析,发现可能会导致危害的内容,或者与正常内容异常的可疑内容。基于深度内容的检测是一种广谱但无签名检测技术,让攻击者很难逃逸,但是又可以有效筛选样本,降低后续其他深度分析的工作量。
◆基于虚拟行为的检测:通过在沙箱中,虚拟执行漏洞触发、木马执行、行为判定的检测技术,可以分析和判定相关威胁。
◆基于事件关联的检测:可以从网络和主机异常行为事件角度,通过分析异常事件与发现的可疑内容事件的时间关联,辅助判定可疑内容事件与异常行为事件的威胁准确性和关联性。
◆基于全局数据分析的检测:通过全局收集攻击样本并分析,可以获得攻击者全局资源的信息,如攻击者控制服务器、协议特征、攻击发起方式,这些信息又可以用于对攻击者的检测。
◆对抗处理与检测:另外需要考虑的就是,攻击者可以采用的对抗手段有哪些,被动的对抗手段(条件触发)可以通过哪些模拟环境手段以达到,主动的对抗手段(环境检测)可以通过哪些方式可以检测其对抗行为。
下一代威胁检测思想,就是由时间线(攻击的生命周期)、内容线(信息来源覆盖)、深度线(多维度检测),构成一个立体的网状检测体系,攻击者可能会饶过一个点或一个面的检测,但想全面地逃避掉检测,则非常困难。
我们认为:只有逐步实现了以上的检测体系,才是一个最终完备可以应对下一代威胁(包括APT)的下一代安全检测体系。当然,对抗是逐步的,产品也是逐步的,新型的下一代威胁检测产品会有一个逐步演化的过程。但只有最初的架构和演进的方向是明晰,且长期投入到APT攻防对抗实战演练中的安全企业,才能实现
