2018年网络安全威胁回顾与展望
时间 : 2019年01月08日 来源: 安天CERT
一、导语
在每年冬训营上发布年报的预发布版,征求参会专家的意见建议,是安天一直以来的传统。
在这份年报中,安天总结了APT、漏洞响应与处置、勒索软件与挖矿木马、数据泄露、供应链安全、威胁泛化等方向的思考与观点:
2018年成为APT事件的高频曝光年,全年各种事件报道、事件分析和样本分析报告此起彼伏。这些事件曝光有较大比例与地缘安全热点融合在一起,较高频度被曝光的攻击组织包括织“APT28”(同比2017增加11篇)、“Group123”(同比2017增加9篇)、“APT33”(同比2017增加5篇)。同时,亦可看到相关的分析报告多数是对活跃样本的分析,缺少在事件、动机、作业体系方面的深度揭示。在此前数年间,对APT曝光被视为一种能有效的使APT攻击组织行为收敛的方法,这种效果在此前安天曝光“白象”(WhiteElephant)等攻击组织后可以通过监测数据得以证实。而常态化的曝光,一定程度上说明,在当前的地缘政治和国家利益竞合背景下,高级网空威胁行为体的作业意志更为坚定,隔靴搔痒式的轻度分析曝光行为,不足以干扰其作业意志。
对于已公开的漏洞信息,仅仅通过补丁修补或缓解已无法应对敌已在内的情形,故漏洞处置应以敌情想定为指导,可管理网络为前提进行全网排查。已知漏洞在APT攻击中依然大量存在。由于漏洞信息来源渠道的多样化,致使漏洞信息变得分散,造成防御成本不断增加、防御效率低下。
挖矿木马攻击活动在2018年呈高发态势,挖矿木马攻击事件次数相比2017年增长近10倍,攻击技术更为复杂,“多种恶意功能于一身”的挖矿木马兴起。另一方面随着RaaS(Ransomware-as-a-Service)概念兴起,勒索服务产业链逐渐成型,企业和个人用户受到的安全威胁日趋严峻。增强网络可管理性,提升基础结构安全和纵深防御能力,加强终端安全防护,守住最后一道防线,是应对此类威胁的必要手段。
大多数的用户对数据泄漏的理解还处于泄漏自身隐私等一般性利用的层次,但事实上远不仅如此,而是利用数据分析与挖掘等技术用于绘制用户画像,用户画像本身是一种互联网经营模式的支撑,但在现今这种大规模数据泄漏的情况下使攻击组织可以建立精准的用户画像能力,这些画像甚至具有全民性和规则性。在2018年,由于多个用户基数庞大的公司或组织泄露了大量数据,使人体生物信息、性格、价值观等方面的关键信息得到补充,已经形成了精准的用户画像,据此可以影响人们的判断,诱导人们的行为。
软件供应链安全事件频发给关键信息基础设施和重要信息系统带来极大损害。软件供应链中各个环节的薄弱点都可能成为攻击者的攻击入口点。供应链攻击的目标不只是PC端,移动端软件供应链环节的安全威胁也呈现出上升趋势。此外,供应链上游提供可信应用程序的第三方供应商也成为攻击焦点。因此,软件供应链的安全问题应该得到更广泛的重视。
5G网络与“AI”(人工智能,Artificial Intelligence)技术的推进,使得“万物互联”的时代已经越来越近。未来,各种新型智能设备入局,物联网行业将进入快速发展的新阶段。然而,新兴技术高速发展的同时也导致安全威胁入口的泛化和安全风险的增加。“AIoT”(“AI+IoT”)厂商在网络安全方面投入不足,使得这些设备暴露出了大量的攻击面,而厂商和用户安全意识的薄弱,又使得攻击门槛进一步降低。一些工控类、家居类智能设备存在弱口令、空口令等状态,极易遭受网络攻击。安全风险将会持续影响个人、社会乃至国家安全。泛化不应成为安全短板,应在没有造成更大的安全风险的前夕做到亡羊补牢,万物互联、安全先行。
二、地缘政治和国家利益竞合是APT攻击的主要源动力
2.1 APT高曝光率的同时表明曝光对APT的威慑正在下降
2018年成为APT事件的高频曝光年,全年各种事件报道、事件分析和样本分析报告此起彼伏。这些事件曝光有较大比例与地缘安全热点融合在一起,较高频度被曝光的攻击组织包括织“APT28”(同比2017增加11篇)、“Group123”(同比2017增加9篇)、“APT33”(同比2017增加5篇),与此同时,亦可看到相关的分析报告多数是对活跃样本的分析,缺少在事件、动机、作业体系方面的深度揭示。在此前数年间,对APT曝光被视为一种能有效的使APT攻击组织行为收敛的方法,这种效果在此前安天曝光“白象”等攻击组织后可以通过监测数据得以证实。而常态化的曝光,一定程度上说明,在当前的地缘政治和国家利益竞合背景下,高级网空威胁行为体的作业意志更为坚定,隔靴搔痒式的轻度分析曝光行为,不足以干扰其作业意志。
同时,随着地缘安全冲突紧张局面的持续,部分带有APT特点的活动,并不以长期潜伏和持续信息获取为目的,而以更为直接的干扰和破坏作为效果。例如2018年初,韩国平昌冬季奥运会尚未开幕,就已有厂商披露针对主办方的鱼叉式钓鱼攻击活动。在开幕式2018年2月9日当天,部分网站遭受破坏性攻击,开幕活动受到影响。攻击活动的背后组织被归因于未知国家背景的Hades组织。而从2010年的震网、2015年的乌克兰国家电网遭遇攻击停电事件、2017年的乌克兰大量关键基础设施遭遇伪装成必加勒索病毒的毁瘫等事件来看,这种以工业和民用基础设施为攻击目标的攻击活动,带有强烈的战争行动的特点。
图2-1 全球APT攻击行动、组织来源分布图
2.2 解析超级网空威胁行为体的威胁框架和支撑工程体系
在过去的APT的分析中,研究者的精力更多放在漏洞利用和恶意代码分析之中。对于一般性的APT组织,这种分析对防御工作有较好的参考价值。但对于超级网空威胁行为体而言,其先进的恶意代码和漏洞利用工具储备只是其能力冰山体系水面之上的部分,其作业方法论和支撑作业的工程体系是更值得深入分析的。2018年3月美方公布NSA/CSS技术网络威胁框架,该框架按照将攻击划分成管理、准备、交互、存在、影响、持续进程六个阶段并进一步对每个阶段做出了原子化拆解,这既是对攻击作业的指向性框架,也为如何有效削弱、阻断和呈现攻击力链路提供了很好的指南。
NSA/CSS网空威胁框架
|
管理 |
交互 |
存在 |
存在 |
影响 |
持续进程 |
|
|
规划 |
传输 |
安装/执行 |
凭证访问 |
监控 |
指挥与控制 |
|
|
确定战略和目标 分析任务 制定作战计划 选择战略目标 获得执行作战的批准 发布作战任务 |
带有附件的钓鱼邮件 带有恶意链接的钓鱼邮件 网站 可移动媒体 SQL注入 DNS/缓存中毒 虚拟化攻击 连接流氓网络设备 可信网站 合法的远程访问 设备覆盖(跨域入侵) 利用CDS或MLS配置错误 物理网桥 自动传输可信服务 遍历CDS或MLS 供应链/可信源感染 无线接入 感染常用网络基础设施 短信服务(SMS) 二维码 编码数据 木马 |
写入磁盘 内存中代码 解释脚本 二进制文件替换 命令行 由用户启用 流程注入 修改配置以启动作战 使用可信应用程序执行不受信代码 计划任务 通过服务控制器执行 第三方软件 使用远程管理服务 调用OS API以促进执行 传输工具包 |
凭证转储 网络嗅探 键盘记录 社会工程 密码破解 添加或修改凭证 劫持活动证书 在文件中查找凭证 |
利用弱访问控制 跟踪访问 被动收集 启用其他作战 |
常用端口 不常用的端口 标准应用层协议 标准非应用层协议 自定义应用层协议 使用链接协议 使用可移动媒体 后备通道 多频段通信 使用对等连接 建立对等网络 使用僵尸网络 加密通信 使用多层加密 使用标准加密 使用自定义加密 信标 自动使用C2 手动使用C2 |
|
|
逃逸 |
||||||
|
遍历CDS或MLS 脚本渗漏 压缩数据 节流数据 放置数据 通过C2通道渗漏 通过非C2通道渗漏 通过其他网络媒介渗漏 从本地系统收集 从网络资源收集 计划传输 点对点传输 通过物理媒体渗漏 串扰(数据发射) 编码数据 破解加密 泄露数据/信息 |
||||||
|
资源开发 |
||||||
|
开发能力 获得资金 员工和培训资源 建立联盟和伙伴关系 获取作战基础设施 创建僵尸网络 在供应链中植入恶意代码 |
||||||
|
横向运动 |
||||||
|
应用部署软件 定位应用程序漏洞 定位操作系统漏洞 使用登录脚本 利用对等连接 远程交互式登录 使用远程管理服务 远程服务 通过可移动介质复制 共享webroot 污染共享内容 远程文件共享 中继通信 哈希传递 票据传递 |
||||||
|
研究 |
||||||
|
确定情报差距 确定能力差距 收集情报 |
内部侦察 |
|||||
|
帐户枚举 文件系统枚举 组权限枚举 本地网络连接枚举 本地网络设置枚举 操作系统枚举 所有者/用户枚举 进程枚举 软件枚举 服务枚举 窗口枚举 键盘记录 屏幕截图 激活录制 |
||||||
|
准备 |
规避 |
|||||
|
侦察 |
编码数据 加密数据 使用合法凭证 二进制文件填充 禁用安全产品 扰乱安全产品 访问原始磁盘 阻止主机上的信标 修改恶意软件以规避检测 删除记录的数据 操纵可信进程 进程注入 模拟合法文件 将文件存储在非常规位置 混淆数据 使用rootkit 使用可信应用程序执行不受信代码 软件包 使用签名内容 为恶意内容签名 删除工具包 基于环境的定制行为 延迟活动 采用逆向工程措施 采用反取证措施 模仿合法流量 规避数据大小限制 |
|||||
|
网络抓取 网络映射 使用社交媒体 扫描 选择战术目标 调查 TCP指纹识别 标识抓取 社会工程 识别密码 凭证窃取 串扰(数据发射) |
||||||
|
漏洞利用 |
修改 |
|||||
|
定位应用程序漏洞 定位操作系统漏洞 远程定位应用程序漏洞 社会工程 虚拟化攻击 破解加密 利用弱访问控制 远程shell 缓冲区溢出漏洞 利用漏洞利用包 启动零日攻击 规范化 劫持 模仿/欺骗 重播 协议滥用 利用受信关系 |
破解加密 更改数据 造成物理影响 克隆数据,系统 更改系统进程的运行状态 更改进程结果 更改机器到机器(MtM)通信 污染网站 |
|||||
|
持续性 |
||||||
|
使用合法凭证 辅助功能 启动时自动加载 库搜索劫持 创建新的服务 路径拦截 计划任务 替换服务二进制文件 链接修改 编辑文件类型关联 修改BIOS 安装hypervisor rootkit 使用登录脚本 编辑MBR 修改现有服务 修改服务配置 Web shell 后门 |
||||||
|
提权 |
||||||
|
使用合法凭证 辅助功能 启动时自动加载 库搜索劫持 创建新的服务 路径拦截 计划任务 替换服务二进制文件 链接修改 操纵可信进程 进程注入 定位应用程序漏洞 定位操作系统漏洞 修改服务配置 |
拒绝 |
|||||
|
分布式拒绝服务 加密数据使其不可用 拒绝服务/中断 降级 |
||||||
|
分级 |
||||||
|
创建中点 将漏洞添加到应用程序数据文件 分配作战基础设施 感染网站或在网站中植入恶意代码 预定位载荷 建立物理接近度 |
||||||
|
破坏 |
||||||
|
部分磁盘/操作系统删除(损坏) 全盘/操作系统删除(变砖) 数据删除(部分) 数据删除(全部) 破坏硬件 |
||||||
|
持续进程 |
||||||
|
分析,评估,反馈 |
||||||
|
改进定位 进行效果评估 |
安天对超级大国的网空攻防的框架体系进行了分析和梳理,并在2018年网信军民融合期刊进行了十二期连载文章[1]。在网络空间的各个维度,超级大国都代表了最强能力,在充足资源的保障下,超级大国建立了一系列大型工程系统,形成了支撑网空行动的工程体系,并依托这些工程体系,将情报获取、积极防御、进攻作业以及相关的支撑环节等网空能力逐步整合成为整体的国家能力。
超级大国具有全球无死角的监听和情报作业能力,通过全球部署的大型光缆窃听、卫星监听等多样化的监听手段获取全球信息。在大型信号情报获取系统的基础上,其开展了大量针对性的信号情报监听项目,实现对全球特定区域、目标、特定类型信号情报的获取,从而实现比较精准的目标定位能力。
在覆盖全球的信号情报获取能力基础上,其建立了以“湍流”为代表的进攻性能力支撑体系,其综合考虑了感知获取、作业层面和后端分析,构成了可以精确打点、具有较好隐蔽性和反溯源性的工程支撑。并结合“监护”、“量子”等相应的网空攻防能力模块,进一步实现情报驱动的网空积极防御和进攻行动。
图2-3 情报流程
在此基础上,其不断加强情报驱动的积极防御能力,通过情报不断发现对手意图,在对手入侵时快速反应,对于美方认为的“高价值”对手,通过网空欺骗环境诱导出更多情报,并进一步实现反制甚至反击。在进攻方面,依靠强大的信息获取和目标定位能力,实现从计算机网络利用(CNE)到计算机网络攻击(CNA)的无缝切换。
在超级大国情报作业到军事行动中,其并不认为网络空间是一个独立的例外空间。而是将其整合为相对统一的情报作业思维和战术方法论之中,是将网络作业作为传统情报作业在网络空间中的延伸,将网空能力视为对传统物理域能力的叠加和增益。在网络空间中,其并没有单纯的网空作业的概念,而是强调多域联合和跨域切换。其基于成熟的网空威胁框架来统筹攻击作业,指引威胁猎杀。这一框架由管理、准备、交互、存在、影响、持续进程在内的相关环节构成,形成了对应的字典式指南。
图2-4 超级大国网空作业技术流程与部分工程和装备作用的映射
自震网、棱镜事件以来,安天始终跟踪着来自超级网空威胁行为体的网络情报机构、攻击行动和组织,并将用于突破物理隔离、持久化控制、漏洞利用、命令与控制等网空装备体系和配合工具体系映射到美方技术网空威胁框架的各个阶段,形成了体系化的防护建议。
2.3 网空威胁行为体地缘政治背景明显,结合敌情分析才能直面威胁
2018年9月起,央视等媒体持续曝光了台湾间谍情报机关,通过各种手段腐蚀大陆相关机构人员段窃取国家机密、危害国家安全的案例。10月7日,《焦点访谈》在节目中报道安天披露的来自网络空间的窃密攻击组织——“绿斑”[2],揭露了来自该方向长达十年的针对大陆相关机构和人员进行的网络攻击活动。从各方披露的信息分析,该地区的情报机关同时采取传统人员与网络空间共同作业的方式获取机密信息。对于重要信息系统发生的病毒感染事件,当前发现的病毒感染不能简单的看成技术对抗、病毒查杀、补丁修补问题,应结合敌情背景综合分析其是否是具有相关敌情背景的APT攻击行动。
“绿斑”组织主要针对中国大陆相关机构进行攻击,通过鱼叉式钓鱼邮件附加漏洞文档或捆绑可执行文件取得攻击入口,主要投放RAT(Remote Administration Tool,远程管理工具)程序对目标主机进行控制和信息窃取,其典型攻击手法和流程是以邮件为载体进行传播,邮件附件中包含恶意文档。文档以MHT格式居多(MHT是MIME HTML的缩写,是一种用来保存HTML文件的格式),该文档打开后会释放并执行可执行载荷,作为迷惑用户的一种方法,嵌入在恶意载荷中的起到欺骗作用的正常的文档文件也会被打开显示。
对“绿斑”组织部分典型攻击活动复盘如下图所示:
图2-5 “绿斑”组织典型攻击行动复盘
与传统情报作业相比,网络入侵对信息窃取破坏行为,无疑是一种成本更低、隐蔽性更强、更难以追踪和威胁性更大的作业方式。尽管“绿斑”组织不代表APT攻击的最高水准,但其威胁依然值得高度警惕。APT的核心从来不是A(高级),而是P(持续),因为P体现的是攻击方的意图和意志。面对拥有坚定的攻击意志、对高昂攻击成本的承受力、团队体系化作业的攻击组织来说,不会有“一招鲜、吃遍天”的防御秘诀,而必须建立扎实的系统安全能力。以“绿斑”攻击组织常用的攻击入口邮件为例,不仅要做好身份认证、通讯加密等工作,附件动态检测分析,邮件收发者所使用终端的安全加固和主动防御等工作也需要深入到位。对于政府、军队、科研等重点部门和重要人员,更需要在公私邮件使用、收发公私邮件的不同场景的环境安全方面都有明确的规定与要求。邮件只是众多的动机入口之一,所有信息交换的入口,所有开放服务的暴露面,都有可能成为APT攻击者在漫长窥视和守候过程中的首发命中机会。
2.4 第三世界国家的信息基础设施更容易受到网络攻击挑战
随着互联网的全球化发展,网络攻击也通过网络无国界而蔓延。但由于经济发展的不均衡,第三世界国家在满足基本网络需求的情况下对网络防护投入不足,因此网络攻击对这些国家的攻击成功率更高。2018年10月,安天发现来自某组织针对非洲的马拉维国民银行的攻击事件,从安天CERT对该事件的分析发现,这已经不是该银行第一次遭受攻击。该事件中,攻击者首先针对该银行地区分行员工的工作信箱进行攻击,盗取分行邮箱向其他分行员工发送钓鱼邮件。
图2-6 马拉维国民银行攻击事件流程示意图
经过分析,发现攻击者使用了多种公开源码程序进行修改编译,并将恶意代码作为加密的二进制资源块潜入其中。由于源程序代码并不能正常运行,而且所使用的开源程序并非常见金融场景下的应用或工具软件,所以我们认为攻击者并不是替换用户原有程序来实现持久化,而是以此作为免杀和干扰分析的技巧。通过关联和拓线分析,我们发现了数个采用相同攻击手法的样本,具体样本细节对比信息如下表:
表2-1关联样本特征对比
|
特征对比 |
样本1“Target.scr” |
样本2“Document.exe” |
样本3“Document.scr” |
样本4“admin_form.exe” |
|
源码 |
Gate
Pass Management System in Visual Basic |
ChessQuest |
Tech2ks
NComputing Caffe |
Google
Keyword Grabber |
|
编译语言 |
Microsoft
Visual Basic(6.0) |
Microsoft
Visual Basic(6.0) |
Microsoft
Visual Basic(6.0) |
Microsoft
Visual Basic(6.0) |
|
编译时间 |
2018-10-03
13:54:37 UTC |
2018-08-23
03:37:08 UTC |
2018-06-20
15:27:50 UTC |
2015-11-01
09:25:10 UTC |
|
嵌入方式 |
PE资源节CUSTOM目录下,ID=109处,加密数据标志头:“[++++++++--++++++++]” |
PE资源节CUSTOM目录下,ID=109处,加密数据标志头:“[####++++####]” |
PE资源节CUSTOM目录下,ID=109处,加密数据标志头:“[####++++####]” |
PE资源节CUSTOM目录下,ID=101处,加密数据标志头:“[%%%%^^^^^#####%%%]” |
|
嵌入恶意代码类型 |
DarkComet远控木马 |
DarkComet远控木马 |
DarkComet远控木马 |
DarkComet远控木马 |
|
嵌入加密代码大小 |
244,776字节 |
244,750字节 |
244,776字节(内容不同于样本1) |
244,755字节 |
|
恶意代码C2 |
desk1pc.ddns.net:700 |
desk1pc.ddns.net:700 |
desk1pc.ddns.net:700 |
monetry.ddns.net:700 |
当今世界,人们的生活高度依赖于信息系统,而大部分信息系统更多依靠物理空间安全手段保证信息系统安全。但在互联网时代,由于存在大量需要借助网络传输的业务,信息系统已经是一个事实上存在着互联网侧多暴露面的系统。业务系统的服务网站、数据接口、人员使用的工作电子邮件信箱等,在已有攻击事件中,成为攻击的入口。尤其相关机构的电子邮件由于是直接暴露的信息资产,极易成为攻击者的攻击入口,同时因为其中的员工邮箱遭受攻击后,容易在内部实现基于信任链的攻击,导致连锁反应的发生。
三、以敌情想定为前提更好地支撑漏洞响应与处置
在网络攻击中,攻击者通常利用漏洞来控制系统、获取权限、建立后门,从而实现窃取信息、监控以及破坏系统等恶意行为。与很多人想象的并不一致的是,即使在APT攻击中,已知漏洞依然是被高频使用的。因此在漏洞公布到实际得到修补的攻击敞口里,漏洞响应的速度越快,威胁所造成的损害越少。只有快速的利用漏洞情报进行全网排查并处置,才能将风险降到最低。由于漏洞信息来源渠道的多样化,致使漏洞信息变得分散,造成防御成本不断增加、防御效率低下。与此同时,一旦漏洞未修补的敞口,与攻击方使用相关漏洞攻击的窗口期相重叠,则相关系统已经存在事实的失陷风险,相关的排查工作就不能一补了之,而要深入分析是否存在已被入侵、持久化和横向移动的情况。
3.1 漏洞处置应深入分析脆弱性敞口与攻击窗口间的关系
整个漏洞的响应阶段一般为:接收上报,问题验证,解决方案开发,公开披露安全漏洞并发布补丁,问题反馈。从漏洞上报到补丁发布的这段时间,由于全球IT开始呈现阵营化的特点,部分情报机构可能提前获得厂商的情报共享,导致存在独家作业的窗口期。2018年CPU漏洞Meltdown(熔毁)和Spectre(幽灵)[3]于1月3日公布,次日github上已经出现该漏洞相关的POC(概念验证)。但实际上,该漏洞已于2017年6月被有关研究者发现并上报,该漏洞极可能为某作业方创造了长达半年的作业窗口期。而该漏洞修补工作较为复杂,涉及到对效率、稳定性的影响。从漏洞正式公开到各相关方完成修补补丁,同样是一个较长的时间线,在此期间,利用该漏洞的恶意软件和攻击已经开始活跃。
图3-1 Meltdown(熔毁)和Spectre(幽灵)漏洞事件时间轴
仅仅通过补丁修补或缓解措施来避免系统缺陷无法应对系统已经遭受入侵的情况。在过去几年,漏洞挖掘能力在不断增强,而漏洞的修补和响应机制较弱,漏洞发现的多,公开的少;曝光的快,修补的慢。实际上并没有更好推动有效的漏洞响应与处置的驱动机制,一定程度上带来了安全的弱化。
3.2 已知漏洞在APT攻击中依然大量存在
对于我国的关键信息基础设施防护来说,防御体系建设必须对标能够防御高能力对手的攻击,必须建立有效的敌情想定,以对手的能力来驱动防御能力的演进。而从敌情想定的视角看,我国的关键信息基础设施防护现状不容乐观。一方面,由于对物理隔离的“盲目自信”,由于运维水平局限性而不得不在升级修补与保障运行间“二选一”,由于缺少对供应链的积极管理而造成对补丁的“盲目不信任”,以及由于安全防御运行能力不足导致未能对漏洞进行缓解防护等情况,我国关键信息基础设施依然存在大量处于敞口暴露状态的已知漏洞,这类漏洞极容易被攻击利用,给攻击者留下了巨大的可乘之机;另一方面,大量关键信息基础设施依然没有建立动态综合的网络安全防御体系,而仅靠单一或零散的安全手段很难有效应对零日漏洞的利用。这就造成了关键信息基础设施不仅难以应对高能力对手利用零日漏洞的攻击,甚至较低能力对手利用已知漏洞依然能够对我方关键信息基础设施进行持续入侵的现状,如下图所示,该图为“白象”、“海莲花”、“绿斑”漏洞首次使用时间与漏洞对应补丁发布时间的时间轴,除绿斑使用两个0day外其余攻击均使用已知漏洞进行攻击。客观来看,目前存在着“漏洞研究方面接近国际水平,漏洞防护方面却难以做到有效自保”的“倒挂式”被动局面。
图3-2 三个攻击组织初次使用漏洞的时点与漏洞公开时点的对比
3.3 分散的漏洞情报,造成防御成本不断增加、防御效率低下
通常的观点认为,持续的漏洞挖掘发现活动,是安全改善的动力,但这种认识正在遭遇挑战。除了各种威胁行为体试图获取未公开漏洞及其利用方式,并将其作为专属的资源外。漏洞信息分散化和“私有化”的趋势十分明显。对防御方来说,漏洞情报来自主要的IT厂商,和CVE、CNVD、CNNVD等漏洞平台。而在各大安全厂商带有奖励机制的漏洞平台运作中, “白帽子”将漏洞提交到这些平台换取奖金。这使漏洞信息来源更加分散,是否能有效到达需要修补的客户,需要进一步评估。除此之外,由于近年来各种安全竞赛的兴起,为了获得好的名次和影响力,也一定程度上带来了对0day漏洞“私人保有”的诉求。对于这些私有化的漏洞信息,自然无法有效的驱动修复。
四、勒索软件和挖矿木马的爆发暴露了端点无效防护的问题
2018年勒索软件和挖矿木马攻击事件频发,变种数量不断攀升,如果无法依靠成熟的可管理网络和端点防御体系,那么木马入侵的后果将严重威胁企业安全和个人用户安全。例如:曾肆虐全球的WannaCry病毒仍对内网安全构成严重威胁,连台积电这种大型企业也遭受攻击导致园区停产;GlobeImposter勒索软件变种多样,尤其对多地医疗系统正常运转产生严重干扰[4];GandCrab勒索软件形成勒索服务产业链,作者一直在持续、快速迭代,短短10个月的时间经历5个版本更迭;今年较为活跃的Satan勒索软件集成多种漏洞利用,并演变为勒索和挖矿两个形态;挖矿木马在全球大举攻城略地非法占用系统资源。这些事件的发生都印证了在2017年安天年度回顾中曾预测的观点:“2018将会是勒索软件和挖矿木马能力继续提升的一年[5]。”
在经过分析和对比大量勒索、挖矿木马样本后,安天发现勒索软件和挖矿木马的攻击传播手段大体相同,并且在完成投放初始样本后,都会尝试在局域网环境中通过端口共享进行横向传播。下图将常用的攻击手段进行了整合,如图4-1所示,可以看到大多数攻击手段并非是高层次、高技术的定向攻击,而是通过利用已知脆弱性和大范围的暴力破解攻击。攻击者仅仅凭借着这些简单的攻击手段,使得勒索软件和挖矿木马攻击成为了2018年曝光度最高的木马家族。
图4-1 挖矿木马和勒索软件主要传播手段
勒索软件与挖矿木马在传播上非常相似,都依赖于感染规模,但其它方面又有不同:勒索软件是在被感染的系统中假定存在着部分愿意交付赎金的用户的一次性获利,通常来看勒索软件感染是一种比较显性的威胁,对用户的单次电子资产的损失极其严重,后期可能会引起用户对安全的重视导致安全得到改善;挖矿木马依赖于与系统的算力和长期运行,除占用系统资源可能导致用户发现外,没有明显的显性行为,使其隐蔽性更强,同时在单点问题上看,挖矿木马给用户带来的损失要比勒索软件小的多。在这种情况下,有可能使挖矿木马成为更为流行的持续存在的原因,因为挖矿木马是连续性的存在,而勒索软件是间断性的存在。
4.1 勒索软件服务产业链成型,同源威胁将不断放大
随着RaaS(勒索软件即服务)[6]概念的兴起和利益驱动下,勒索软件的更新频率和影响程度都大大提高。非法组织通过发布勒索软件服务产品形式招揽客户资源;客户通过递交产品代理申请获得代理资格后,勒索软件开发者将为其“量身定做”专有的勒索变种,并且代理可以通过分割一定比例的非法收益以换取开发者长久的更新和技术服务支持。因此在形成完备的上下游服务产业链后,在提高了病毒传播性的同时也为非法组织提供了更广泛的收入来源,将同源威胁不断泛化。
例如贯穿2018全年的GandCrab勒索软件,该系列病毒支持隐匿性更强的新型加密货币DASH(达世币)作为交易方式[7],预示着在比特币价格不断下跌的形势下黑色产业链也在寻找其他有潜力的虚拟货币作为新的支撑。其开发人员在黑客社区推出了相关RaaS产品出售,通过不断寻找推广者进一步加强了勒索软件的传播能力,使得该病毒能够在全球范围内肆虐[8]。截止目前,该病毒已经完成了5次大版本更迭,如表4-1所示,且目前仍十分活跃,应对其保持高度警惕[9]。
表4-1 GandCrab的5个版本对比
|
|
发布时间 |
加密文件 后缀名 |
勒索加密货币 |
勒索金额 |
加密数据 |
加密算法 |
服务器域名 |
服务器通信 |
|
GandCrabV1.0 |
2018年1月 |
.GDCB后缀 |
达世币 |
1200美金 |
本机文件(可解密) |
RSA+AES |
gandcrab.bit |
不通信 不加密 |
|
GandCrabV2.0 |
2018年3月 |
.CRAB后缀 |
达世币 |
400美金 |
本机文件(不可解密) |
RSA+AES |
politiaromana.bit |
不通信 不加密 |
|
GandCrabV3.0 |
2018年5月 |
.CRAB后缀 |
达世币 |
没有明确指出 |
本机文件(不可解密) |
RSA+AES |
carder.bit |
不通信 不加密 |
|
GandCrabV4.0 |
2018年7月 |
.KRAB后缀 |
达世币或比特币 |
1000美金 |
本机文件+网络共享文件(不可解密) |
RSA+Salsa20 |
出现大量域名用来干扰分析 |
不通信 仍加密 |
|
GandCrabV5.0 |
2018年10月 |
随机5至10 个字符后缀 |
达世币或比特币 |
1200美金 |
本机文件+网络共享文件(不可解密) |
RSA+AES |
出现大量域名用来干扰分析 |
不通信 仍加密 |
4.2 勒索软件考验企业安全管理体系和安全实施成果
2018年8月3日,中国台湾台积电公司部分生产机器感染Wannacry变种,导致多个基地生产线停摆,三天损失高达约1.7亿美元[10]。此次事故发生的直接原因是采购的新设备存在问题但没有经过检查隔离便直接进入了生产网络,最终导致了台积电三处厂区遭到感染。事件爆发后,引起社会和公众的关注以及对大量政企机构网络处于无效防护状态的反思。
从事件总数上看,大多数勒索事件并不来自高水平的定向攻击,其屡屡达成效果、造成严重影响的原因是由于有大量的缺少基础安全规划和防御工作的信息系统存在,总体上还是在全球庞大的信息社会肌体上,寻找“慢羊”,而并非简单是因为勒索病毒本身的攻击水平的高超。因此,不应因勒索病毒造成的大量损失和影响,就产生一种“虚无主义”式的恐慌,更不应因此而认为防御需要银弹,而忽略基础的安全规划和建立防御纵深工作[11]。
安天认为应针对具体的内网防护场景,依托基础结构安全和纵深防御将当前网络构建成具备高度可管理性的综合防御体系,通过更有效的网络管理形成健全的网络安全架构、访问控制规程、设备管理流程及用户权限约束,从而达到对恶意软件进行有效的遏制和防御效果。
4.3 挖矿木马成为2018年感染量最多的恶意代码
挖矿木马成为2018年最流行的木马,数量上已经超越了勒索软件与僵尸网络。前面我们提到,第三世界国家相对落后的安全防护体系面临多层次的网络攻击挑战。因其安全防护体系相对落后,所以遭受挖矿木马入侵的事件也较多。挖矿木马最流行的主要原因是能够为攻击者带来稳定的收益,促使攻击者不断提升挖矿木马的稳定性以及传播和对抗等能力。
安天CERT在《2017年网络安全威胁的回顾与展望》中提到“在关键编码技术上,2017年的挖矿木马普遍没有采用加密、混淆或Rootkit等技术”。回顾2018年,挖矿木马已经使用了加密、file-less(无文件)技术、powershell混淆、DNS隧道技术以及Bootkit等多种技术来隐藏自身行为和规避杀毒软件检测。安天梳理了2018年挖矿木马的主要事件:
图4-2 2018年挖矿木马的主要事件
在挖矿木马的对抗能力显著提升之外,安天也捕获到新型挖矿木马样本,发现其威胁层次正在向多元化转变:以挖矿功能为主,同时又能完成信息窃取、远程控制、DDoS及窃取用户虚拟货币等多种恶意行为。这也表示木马作者已经不甘于只获得浅层次利益,而是试图利用挖矿木马的一次传播实现多种攻击目的确保利益最大化。所以我们认为在未来一段时间,集“多种恶意功能于一身”的挖矿木马数量将会显著攀升。另一方面,随着IoT热潮和“万物皆可互联”理念的兴起,挖矿木马针对IoT领域的攻击已初现端倪,未来的物联网挖矿攻击或将成为常态化安全事件,需对此提高重视程度。
4.4 通过加强可管理网络建设防控勒索与挖矿威胁
以往大面积自动化传播的恶意代码现今已经变成了相对低水准的威胁,但这种低水准的威胁还大量成功入侵,说明大量的网络处于无效防护之中,缺少可管理性和可防护性。
2018年全球勒索软件形势依旧较为活跃,以蠕虫形式传播的勒索软件变种数量持续增加,许多勒索软件家族演变成了具有主动传播功能的勒索“蠕虫”。勒索软件在演化过程中也逐渐形成了脆弱性利用效率高、勒索服务产业链、收取新型虚拟货币、具有行业针对性等特点;挖矿木马在进化过程中也形成了其自身的一些特点,如:脆弱性利用效率高、对抗能力提升、集多种恶意功能于一身等。
为了追求有效防范恶意软件、保障运行、阻止非授权访问、确保可用性等效果,只有在形成可管理网络的基础上才能具备完善的漏洞与补丁管理和配置基准管理措施,保证完整准确记录网络及其中的设备、协议、配置等信息且保持持续更新,以确保更加有效的考虑和实施安全措施并验证其实施。随着勒索软件和挖矿木马的攻击技术发展趋于完善,建设具备可管理性的网络体系势在必行。增强网络可管理性,提升基础结构安全和纵深防御能力,加强终端安全防护,守住最后一道防线,是应对此类威胁的必要手段。
5.数据泄露使用户画像更加精准,隐私保护面临多方面难题
图5-1 2018年影响力较大的数据泄露
大多数的用户对数据泄漏的理解还处于泄漏自身隐私等一般性利用的层次,但事实上远不仅如此,而是利用数据分析与挖掘等技术用于绘制用户画像,用户画像本身是一种互联网经营模式的支撑,但在现今这种大规模数据泄漏的情况下使攻击组织可以建立精准的用户画像,这些画像甚至具有全民性和规则性。在2018年,由于多个用户基数庞大的公司或组织泄露了大量数据,使人体生物信息、性格、价值观等方面的关键信息得到补充,已经形成了精准的用户画像,据此可以影响人们的判断,诱导人们的行为。
5.1 泄露的数据将会形成精准的用户画像
在如今互联网发达的时代,人们的生活已经离不开网络,人们在网络世界的活动,可以看作是一个复杂且全面的“增强现实”行为,向网络寻求帮助,向网络彰显自我,向网络吐露心声······人们已经越来越依赖于网络。因此,网络中存储了人们几乎所有的个人信息和隐私,而这些数据,已经遭到越来越多的泄露。在2017年,安天就发现了这些泄露的数据已经可以逐渐形成用户画像,2018年,泄露的数据已经涵盖人类生活的方方面面,结合大数据分析,就会勾勒出一个虚拟“人类”。
泄露的数据可以通过交叉分析获得更多。例如,可以通过快递、百货公司等机构泄露的数据了解某个人都买了什么,并且还能分析出这个人的购买习惯、金钱观、作息时间等潜在数据。仅上图中的数据泄露事件,就包含了医(如新加坡卫生部数据泄露)、食(如美国连锁面包店数据泄露)、住(如万豪酒店数据泄露)、行(如国泰航空数据泄露)、社交(如Facebook数据泄露)、娱乐(AcFun数据泄露)等生活中各方面,完全可以复现出某个人的生活,描绘出这个人在网络世界中的轮廓。并且根据诸如问答社区Quora等泄露事件所获得的数据,还可以分析出个人爱好、家庭成员构成、性格、价值观取向、审美取向、性取向、政治观点等敏感隐私。两相结合,便可以获得这个人的精准画像。
5.2 人体生物信息泄露进一步补全用户画像信息
只有这些还不够,因为这个根据泄露的数据画出的“人”还没有对应的身份。印度公民身份数据库Aadhaar遭网络攻击,泄露了超过10亿的公民身份信息,除了名字、电话号码、邮箱之外还有指纹、虹膜、价值观取向等敏感信息,可以通过这些数据打印任何印度公民的身份证。类似这种可靠度非常高的数据,除了一些传统的数据在黑产领域可以用到,还可以用来制作一些要求数据质量极高的产品,比如制作身份证、护照、证件等。人体生物信息是有限且不可更改的,目前使用生物信息进行识别认证已经非常广泛,所以一旦如指纹、虹膜等生物信息泄露将会产生无法预估的严重影响。如此,这个画出来的“人”,甚至还会有合法的身份,如果为它3D打印一副躯体(体重三围等信息已经泄露),那么它可能是跟你各方面相似度可能超过90%的“智能替身”。然而Facebook信息泄露事件告诉我们,精准的用户画像的影响力远不止于此。
5.3 精准的用户画像可以形成巨大影响力
通过Facebook信息泄露事件,让我们了解到,“剑桥分析”利用这些用户画像甚至可以用来影响选举结果。
“我们定位你的选民,打动他们让他们采取行动。”这是“剑桥分析”(Cambridge Analytica)政治服务部门的广告语。在官网上,“剑桥分析”列出了自己的光荣业绩:“为五大洲超过100场竞选提供支持;仅在美国,我们就为赢得总统选举、国会选举和各州选举发挥了关键作用。”[12]
同时,这起泄露事件再一次警示我们——企业对数据的流向和使用权限监管薄弱,也会导致严重的数据泄露。但是,数据流向一向疏于监管,一直以来都没人关心数据在被谁使用,导致目前数据被第三方插件滥用的情况十分严重,因此导致的这些隐性的数据泄露其实并没有进入人们的视线,这也就直接导致了一些防御盲区。
5.4 立法保护数据势在必行,但需循序渐进
在数据泄露愈演愈烈的形势下,欧盟在2018年5月开始强制实施GDPR(全称:General Data Protection Regulation,即《通用数据保护条例》)。GDPR 是强制执行的隐私条例,规定了企业了在对用户的数据进行收集、存储、保护、使用和移植的新标准,并且提高了用户对自己数据的处理权限。但过于严苛的隐私保护条款和高额的罚款对企业造成了很大负担,部分企业的网站倒退回纯文字版,甚至暂时退出了欧盟市场。简单粗暴的惩罚措施对营收少但拥有大量数据的企业来说形同虚设。GDPR在实际执行中也面临不少挑战,各成员国法律制度不同,部分条文和名词定义也存在争议。
个人数据保护也不仅仅是个人层面的安全问题,而是更多层面的安全问题。欧盟强制实施的GDPR极其严格,这种条例并不完全适用于他国或地区,因各国或地区的互联网基准不一样,欧盟自身少有互联网企业巨头,所以可以强制实施极端的措施保护用户隐私而不会过于限制欧盟自身的互联网企业。例如:ICANN(互联网名称与数字地址分配机构)就应遵从GDPR合规要求,域名的WHOIS信息将不再公开显示个人信息,即无法通过WHOIS来查询域名持有者的信息。
6. 供应链环节成网络攻击中关键载体
近几年,网络攻击中出现一种威胁程度持续上升的关键攻击载体,越来越多的威胁行为体将目标转向供应链环节。安天在过去两年的网络威胁年报中,始终提醒用户“供应链从来就不只是网络对抗中的外围阵地,而是更为核心和致命的主战场”[13]。独立研究公司Vanson Bourne的调查结果也与安天的观点不谋而合,调查显示在未来三年内,软件供应链攻击可能是企业面临的最大的网络威胁之一[14]。
供应链攻击的隐蔽性强、攻击传播范围广等,使其影响绝不低于高级持续性威胁的攻击。安天基于对国内外供应链攻击事件的收集、分析、研判,绘制了供应链攻击事件时序图,从图中能够看出针对供应链的攻击呈现以下趋势:
- 软件供应链的各个环节都可能成为攻击者的攻击窗口;
- Android软件供应链环节安全威胁呈上升趋势;
- 第三方供应商成为软件供应链攻击中的焦点。
图6-1 供应链攻击事件时序图
6.1 软件供应链的各个环节都可能成为攻击者的攻击窗口
随着信息技术的飞度发展,软件供应链环节变得越来越复杂,暴露给攻击者的攻击面也越来越多。攻击者利用软件供应链环节的薄弱节点作为攻击窗口,从第三方供应商、开发工具,到分发,再到应用更新都可能成为攻击者的攻击入口。
网络管理工具本身是用来管理服务器节点的工具,因此在软件供应链当中是非常重要的,也受攻击者的重点关注。例如:2017年7月18日NetSarang公司开发的安全终端模拟软件Xshell被发现有恶意后门代码,属于源代码层次的恶意代码植入;此前安天分析的乌克兰停电事件的报告中,也提到开源的网络管理工具Dropbear SSH被篡改用于开启后门[15];在美方的Camberdada计划中也提到对网络管理工具供应商Famatech的监控,其目的很可能是为了通过利用该供应商的网络管理工具Radmin进行源代码层次的恶意代码植入。
2018年12月1日,国内爆发了“微信支付”勒索病毒,病毒作者利用对易语言编译环境污染的供应链攻击方式进行传播[16]。该勒索病毒正是利用了开发工具污染作为攻击窗口,并感染了超过10万台电脑。2018年12月14日,研究人员监测到驱动人生系列软件“人生日历”升级程序分发恶意代码的活动,此次供应链攻击事件将应用更新环节作为攻击入口,甚至下发了利用永恒之蓝漏洞进行横向移动的程序[17]。
6.2 Android软件供应链环节安全威胁呈上升趋势
近年来,Android恶意软件快速增长的趋势有所下降,但高级、复杂的恶意软件攻击却呈现上升的趋势[18]。攻击者越来越多的将目光投向软件供应链中的薄弱环节,Android软件供应链中的安全威胁呈上升趋势。
从供应链攻击时序图中能够看出,在第三方漏洞、恶意SDK、分发污染、应用更新等供应链环节均出现了Android应用安全威胁。Android软件供应链安全威胁持续增长不是一种偶然现象,而是一种已经存在的趋势。
6.3 第三方供应商成为软件供应链攻击中的焦点
机器学习、人工智能等安全技术使传统的攻击成本和难度提高,因此攻击者开始瞄准了供应链上游提供可信应用程序的第三方供应商。一方面,厂商对其合作的第三方供应商缺乏审查机制,不清楚其供应商所用系统和应用的更新及安全性,另一方面,第三方供应商本身的网络安全防御体系是不完善的,暴露的攻击面越来越多使得攻击者有了可乘之机。
2018年8月3日台积电生产系统发生了大面积病毒感染,事故发生的直接原因是采购的新生产设备没有经过隔离检查直接接入了生产网络。因此,实现第三方供应商设备、信息出入的严格审计管控,对关键信息基础设施和重要信息系统安全至关重要。
6.4 供应链安全问题思考
近年来,供应链攻击越来越受到攻击者的关注,且影响的领域越来越广泛。面对日趋严峻的供应链安全问题,供应链攻击的应对,不应该把希望寄托在事件响应上,而是应该围绕有效防护展开。
具体来说,在基础结构安全方面,需要设计合理的网络安全结构,增强网络的可管理性。可管理网络能够增强网络的可防御性,收缩攻击面,提升对手获得控制权的难度和成本。以台积电事件为例,如果在采购阶段,就能够按照可管理网络的要求严格落实供应链的安全管控,就能够从源头遏制威胁,因此加强网络的可管理性对于关键信息基础设施的业务系统安全至关重要。
在积极防御方面,供应链攻击的有效防护应该从终端侧、产品侧的安全告警等被动响应模式,转变为主动发现潜在网络威胁的级别,减小威胁暴露的窗口期。在这一方面,安天的专业安全分析团队,基于在威胁情报领域的长期积累,结合内外部威胁情报对供应链安全威胁进行全网猎杀,找到潜伏在现网中的威胁。
7.泛化安全不可成为行业短板,万物互联安全优先
在2013年,安天用恶意代码泛化(Malware/Other)一词,说明安全威胁向智能设备等新领域的演进,之后“泛化”一直是安天所关注的重要威胁趋势。当前,安全威胁泛化已经成为常态,安天依然采用与前几年年报中发布“网络安全威胁泛化与分布”一样的方式,以一张新的图表来说明2018年威胁泛化的形势。
5G网络与“AI”技术的推进,使得“万物互联”的时代已经越来越近。未来,各种新型智能设备入局,物联网行业将进入快速发展的新阶段。然而,新兴技术高速发展的同时也导致安全威胁入口的泛化和安全风险的增加。AIoT厂商在网络安全方面投入不足,使得这些设备暴露出了大量的攻击面,而厂商和用户安全意识的薄弱,又使得攻击门槛进一步降低。一些工控类、家居类智能设备存在弱口令、空口令等状态,极易遭受网络攻击。安全风险将会持续影响个人、社会、乃至国家安全。泛化不应成为安全短板,应在没有造成更大的安全风险的前夕做到亡羊补牢。万物互联、安全先行。
7.1 智能家居成热点,一物遇险则一屋不安
中国智能家居市场整体规模持续增长,人工智能赋能下的家居产业让我们看到了这个行业的更多可能,智能家居已经显现商业蓝海。但智能家居所面临的安全漏洞,是不得不放到台面上亟待解决的问题。
智能设备漏洞频繁。2018年,OASES联盟联合泰尔实验室发起安全评测,针对12款智能电视,对主流型号的主流版本进行评测。结果显示,高危风险大范围存在,智能电视安全形势不容乐观[19]。
各种智能家居将更多的传感器放置到了家庭当中,将更多的家庭成员的更多的隐私信息暴露出来。这将传统家庭空间转化为一种具有数据暴露风险的空间。例如智能彩电要实现手势控制,电视中就添加了获取用户视频信息的摄像头;扫地机器人为规避障碍,增加了具有获取用户视频信息和测绘能力的摄像头和探测设备,这些设备为满足智能控制能力,需要具备WIFI、蓝牙、红外、音频等各种接口,这些接口都可能会带来不同程度的安全风险。同时,智能家居不仅仅存在出品厂商的过度信息采集问题,在APT攻击中,它也可能成为重要的攻击对象。
7.2 智能汽车安全漏洞持续曝光,安全存在诸多风险
2018年3月,安全研究员在Hack in the BOX 大会上演示[20],利用硬件后门Bicho对联网汽车进行远程控制,包括灯光、油门、刹车制动导致车辆停止运行。近两年诸多证明表示可以控制联网的汽车造成致命威胁。
随着智能汽车的发展,自动驾驶、智能操控等已成为一种趋势。近些年智能汽车漏洞频刷,汽车行业作为国民经济的中流砥柱,智能汽车、交通安全必是将来博弈的焦点,而基于智能汽车的安全问题的基础需整车制造厂商进行严格的安全测试,加大安全投入与第三方建立漏洞平台,通过共享漏洞信息,提升整体汽车安全的能力。而供应商、安全厂商和制造商应联动起来共同搭建安全防护屏障。安天当前依托智能终端侧威胁检测防御的扎实基础,正在形成服务于车联网“检测+防护+服务+感知”的防护体系。
7.3 医疗无小事、安全应前置
2018年,美国通用电气医疗公司GE旗下的Optima 540医学造影系统等多个GE医学造影产品当中可能使用默认或硬编码凭证。成功利用漏洞后允许恶意攻击者访问病患信息,篡改数据、破坏数据完整性,甚至彻底关闭设备给患者带来安全威胁等[21]。
智能医疗目前应用越来越广泛,医疗设备安全领域需要重视,稍有不慎,就会万丈深渊。2013年国外某黑客离奇死亡,去世前曾向外界宣布,将在“黑帽”会议上展示如何入侵植入式心脏起搏器,然后向其发出一系列 830V 高压电击,实现“遥控杀人”。虽然涉及生命的攻击鲜有人去试探,但这不是我们有恃无恐的理由,毕竟我们不能去用道德约束攻击者,也不能将希望寄托给道德。
8.以全面能力导向推动动态综合网络安全防御体系建设
“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”无论是核心技术突破、产品功能深化,还是产业体系发展,网络领域所有进步和发展,都要转化为防御场景下的实际能力,经历实战检验。从发达国家网络信息安全建设规划发展的经验来看,也经历了从合规导向建设模式到威胁导向建设模式,在21世纪初就已经逐步走入到能力导向建设的模式。
美国国防部2001年《四年防务评估报告》中指出:随着冷战结束,国际形势日益复杂化,已经很难清晰地识别出所有的敌对威胁行为体,因此需要从基于威胁的规划模式转为基于能力的规划模式……需要把尝试罗列各种可能的网空威胁并设计零散防御措施进行被动应对的传统式威胁导向建设模式,演化为全面建设必要的网络安全防御能力并将其有机结合形成网络空间安全综合防御体系的能力导向建设模式。
2002年,美国推出了《联邦信息安全管理法案》(FISMA)。FISMA在充分认识信息安全对于美国经济和国家安全利益重要性的基础上,要求各联邦机构制定并实施适用于本机构的信息安全计划,保障联邦信息和信息系统安全。在FISMA的牵引拉动下,美国联邦政府的安全预算在IT总花费占比得到提升,并在奥巴马执政期间形成一轮能力建设高潮,在2012年一度占比达到19.5%。
如果希望网络安全形成规模型产业,就必须形成高质量的规模化需求。我国在网络安全法颁布实施、网络安全责任制大力推行的背景下,未来将会迎来网络安全投入建设的高潮。而相关投入能否有效转化为综合防御体系能力,并不能简单地靠增加投入来完成。网络安全即需要资金投入保障,同样也需要能力导向建设。在网络安全投入中,需要推动基础结构安全、纵深防御、态势感知与积极防御和威胁情报的能力建设的叠加演进,形成示范方法和最优实践。
面对具有中高能力水平且组织严密的网空威胁行为体,我方关键信息基础设施与重要信息系统网络安全防御体系的建设应根据网络与信息系统的国家安全、社会安全和业务安全属性,客观判断必须能够有效对抗哪些层级的网络空间威胁,并据此驱动网络空间安全防御能力建设。
在攻防较量的过程中,对于网空威胁行为体,特别是以美国情报机构为代表的超级网空威胁行为体的认知就构成了我们建立自身防御能力和威慑能力的重要前提。
在此背景下,安天在2018年除了对全球APT组织或攻击事件进行常态化、持续性的跟踪分析,针对超高能力对手方的网络空间攻击与主动防御能力开展了深入的研究工作,为客户提供建设动态综合网络安全防御体系的针对性、具象化的敌情想定。
面对网空威胁行为体体系化的进攻,我们需要以体系化防御对决体系化进攻,参考“叠加演进的层次化网络安全能力模型”构建动态综合网络安全防御体系。以基础结构安全和纵深防御为主体的综合防御体系为基础,叠加动态的积极防御以应对高级复杂威胁,同时结合威胁情报缩短防御响应周期并提高针对性,以能力导向建设动态综合网络安全防御体系。
依托安天十八年技术积累和发展所形成的以威胁检测引擎为核心优势的技术体系,将安全能力落实到网络信息系统的各个实现层组件,逐层展开防御,并将安全能力最大化覆盖信息系统的各个组成实体,避免因局部能力短板导致整体防御失效,实现安全防护机制与网络信息系统的“深度结合、全面覆盖”。
基于长期分析对抗威胁的工程体系积累,安天全方位助力客户建设威胁情报驱动的战术型态势感知体系,从而达成“掌握敌情、协同响应”的动态积极防御。依托既有安全分析与服务支撑体系,支撑协同联动的实战化安全运行,协助客户筑起可对抗高级威胁的网络安全防线。
同时,安天为了将习总书记网络强国系列讲话中“全天候全方位感知网络安全态势”、“有效防护”和“关口前移”的重要工作要求落到实处,真正达成客户有效价值。2018年在网络安全专家黄晟同志利用业余时间的指导下,安天协同翻译了《网络空间安全防御与态势感知》一书。该书系统介绍了网络空间安全态势感知的基础理论,全面解析了网络安全态势感知的内涵、实现框架和前沿问题,并通过序言深入解读了领域研究成果和产业实践。
本书的翻译、校对工作过程是我司为更好落实相关工作要求而进行的自我学习过程,也是从懵懂实践态势感知到重新理解何谓态势感知、重新规划战术型态势感知平台的过程,是一个不断自我反思和批判的过程。
但当前在态势感知实践中,往往更偏重于面向策略调整的宏观态势感知,其无法有效抵御快速发生的网空攻击行动、及时阻止攻击者入侵导致的网络系统初始“沦陷”,难以支撑有效积极防御体系。在第六届网络安全冬训营上,安天基于对态势感知体系的理解与实践,提出了“战术型态势感知指控积极防御,协同响应猎杀威胁运行实战化”的号召。
实战化运行的战术型态势感知,通过配备对抗攻击行动的装备系统和处置流程,为威胁对抗行动提供实时监控响应能力,在攻防时间周期上适应高速多变的攻击行动,指控安全设备、人员等展开协同响应与处置的积极防御,对日趋复杂的网络攻击进行更为精准地发现与打击,指挥对网络潜伏威胁进行猎杀清除,实现安全态势的全面感知与安全业务的融合贯通,提升网络安全防护工作的积极性和主动性,从而保障响应行动的及时性和有效性,支撑协同联动的实战化运行,协助用户筑起可对抗高级威胁的网络安全防线。
在未来工作中,在实践中,安天将直面敌情,不断完善能力体系,不断提升网络安全能力与信息技术“深度结合”与“全面覆盖”的问题。深入参与用户的信息系统规划建设,将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段,以网络安全能力叠加演进为导向,协助用户开展以战术型态势感知为核心的动态综合网络安全防御体系的网络安全规划与建设,支撑起协同响应的实战化运行,协助客户实现常态化的威胁发现与响应处置工作,逐步实现“防患于未然”,以应对高级网空威胁行为体的挑战。
在这个过程中,中国的能力型安全厂商,不仅要做好当下,也要逐步放眼全球,从一个国际主义的视角去看待整个社会经济的不均衡发展所带来的第三世界国家的安全防护的落差,以及由此带来更多的隐患,通过在我国网络安全工作中积累沉淀安全防护理念、经验和解决方案,为第三世界国家提供网络安全能力的支持和援助。