什么是APT - APT防御产品

什么是APT

当前主要的安全挑战

业界很清楚认识到,当前威胁跟过去相比有很大的变化。以前的攻击者往往是个人,很少是真正有组织的团体。他们的攻击目的可能是为了技术上的挑战,也可能是为了赢得在黑客中的声誉。他们使用的多种攻击方法给社会带来的危害往往并不是特别严重。

现在我们的主要对手已经有很大不同,他们通常会是有组织的团体。他们可能进行国家间的对抗,还有伊朗军团这样的黑客行动主义团体,再有就是以金融犯罪为主的网络犯罪团体以及地下黑客产业。他们有共同的特点,更具有组织性和目的性。

由于地下黑客产业所带来的丰富资源,攻击成本降低、攻击变得更容易进行,相反检测却更加困难。从我们了解的情况看到,一个0 day漏洞在国际市场上,花几万到十几万美金就可以拿到;而一个基于较高水平的恶意软件工具包,也能以几千到几万美金的价格获得。对于现在的攻击者来说,可以通过购买以及团队合作的方式使用0 day、高级逃逸等先进的攻击方法;或者在攻击某些特定目标时,使用高级恶意软件工具包定制自己的攻击工具,进行长期渗透。

当前攻击往往具有一些共同的特点。首先,黑客非常清楚有攻击价值的目标都会建立自身的防御体系,在进行APT攻击的时候,攻击者会针对已知的防御手段进行测试,确认是否能够绕过。其次,在整个攻击过程中更强调隐秘性,而不像过去,作为一个黑客,攻击别人的网站,是希望大家都能知道他做了这么一件很有趣的事情。而现在,他们更希望一切都在静悄悄的状态下进行,悄悄进入、持续渗透,然后带着收获离开,没有人知道。

这种威胁形式下,我们面临两个巨大的挑战。第一是高级恶意软件问题。2014年初在NTT Group进行的一次测试中,利用一批通过蜜网系统捕获到的互联网恶意软件样本,测试AV产品的检测能力。虽然这些样本还不具有足够的高级特性,但将其用于测试主流AV产品的检测率时,有54%的恶意软件是AV产品完全检测不到的。因此即使不考虑APT的问题,高级恶意软件也是我们面临的重大挑战。我们需要改变过去的想法,依赖AV软件不可能达到理想的恶意软件防御效果。如果是真正的APT攻击,针对的是特定目标,对于AV厂商来说,在攻击爆发之前很难拿到攻击样本,也就谈不上检测能力。而过去是针对广泛的目标进行攻击,我们可以在互联网中捕获到样本,有能力在攻击大规模爆发之前、在产品中加载相应的签名进行检测。另一方面就是多态和变形技术等高级逃逸技术的广泛使用,譬如前几年比较流行的宙斯木马,它在2010年以前已经被反病毒公司发现,但由于它具有多态和变形技术,当你发现它的第一个样本时,它已经变换了若干个形态,特征码检测机制永远滞后。

第二个挑战,是对内部渗透攻击的检测。在Verizon的2013 DBIR(DATA BREACH INVESTIGATIONS REPORT)报告中,我们看到,在已披露的数据泄露事件中,87%的事件都不是依赖传统检测技术发现的。这些事件都是通过第三方信息追踪到的,现有的内网安全检测体系起到的作用不是非常充分。部分原因是攻击者渗透到内网中时,已经获得了一些内网的合法权限。另一个原因是攻击者已经考虑到内网中存在着审计类产品、IDS等传统检测产品,他们有充分的技术准备。

所有这些攻击不只针对传统的重要目标,也包括个人、中小企业。他们同样面临相应风险。虽然这类受害者本身的价值也许相对不高,但由于他们的防御体系没有大型企业完备,对于黑客来说投入产出比还是很有吸引力的。而且黑客如果想直接渗透有价值的目标,往往非常困难,他们会首先攻击更容易的目标再实施跳板攻击。以震网病毒为例,据说它起始的攻击对象并不是伊朗的核工厂,而是先针对核工厂的某些技术人员的家庭网络进行渗透。震网病毒就是由于内部技术人员的家庭电脑感染后,通过USB等方式带到了工厂的办公区域最后到生产区域。

应对高级恶意软件

我们应该如何对抗高级恶意软件呢?大家往往会想到沙箱技术。从目前遇到的问题来看,传统的沙箱技术并不足以解决高级恶意软件的监测问题,比如可执行文件的检测,沙箱中很容易判定一个PDF文件是否恶意,因为它的行为相对固定,而可执行文件的行为特点是很复杂的,很难判定哪些是可疑的、哪些是恶意的。另一个问题是由于APT攻击者足够了解沙箱检测技术,他们可以采用多种方法逃避沙箱检测,如环境锁、界面互动等。其它的问题还包括:沙箱检测对虚拟环境数量的依赖,对于C&C通道的检测逃逸以及智能防御问题。

这些问题如何解决呢?对于可执行文件的检测,360公司的QVM检测引擎是一个创新、有效的解决方案。它基于恶意软件的多向量特征进行检测,就像现今的基因检测不需要查户口本就知道两个人是否有血缘关系。它是传统反病毒厂商启发式检测的进化,启发式检测受限于专家经验对恶意软件的理解,很难平衡误报、漏报问题。而QVM是搜集数十亿的样本,进行自动化学习,从学习结果得到恶意软件的识别模型。QVM通过大数据的方式,突破了对个人经验的依赖,最终做到检出率最高、误报率最低。

现有的沙箱系统需要进一步完善,不再只关注文件在沙箱中的行为,而是针对内存和指令层面进行深度监控。一个文本文件要被黑客利用的时候,首先会存在漏洞利用,必然会存在内存区间跳转以及属性的变化。通过对这些关键点的监控,可以确认文件运行时是否存在漏洞利用的情况,能在很大程度上解决沙箱检测逃逸的方式。

最后是云端检测平台和信誉情报共享。在一个设备上无法对抗黑客的所有逃逸技术,首先是硬件设备的虚拟环境受限于硬件资源,其次对于C&C通道的检测,黑客会采用随机算法的方式,每次连接地址是不同的,这样通过沙箱找到的C&C地址,往往无效。在这种情况下,必须依赖于云端的计算资源,有几百、几千台机器并行运算,并可以采用人工逆向的方式检测可能的逃逸,这样才能针对恶意软件进行有效检测,并且可以得到C&C或者是恶意软件地址的数据库,再推送到前端设备,达到实时防御的效果。

小结一下,我们认为对现有恶意软件进行检测,需要考虑到支持漏洞利用检测的沙箱技术,QVM这样对PE类未知恶意文件的检测技术,并且依赖云端的分析平台,最终还可以通过信誉库对C&C进行有效检测和防御。

基于大数据方式检测内网持续渗透

攻击者在内网的持续渗透过程中,有能力避开IDS等传统基于特征的检测产品,因此针对性的检测方式应该是基于行为的异常检测。当我们使用这种方式的时候,首先碰到的第一个问题就是数据存储的问题。过去是已知特征检测,对于数据存储平台来说,只需要存储告警信息。而现在没有明确告警的时候,我们是需要从大量的流量数据及终端数据中分析什么是正常、什么是异常,我们需要集中存储大量的数据。数据量可以达到PB的级别。对于传统数据库来说,无论存储还是计算,都是做不到的。所以大数据的存储和处理能力就是一个基础能力。

当我们拿到这些数据之后,采用的方式也不同于传统的特征检测,更多的是考虑基于数据挖掘的方式。例如:一台机器被黑客控制,这台机器就会向外发送数据或者是进行跳板攻击,它的网络行为和正常的上网设备将有所不同,我们可以通过数学上的挖掘算法,找到这样与绝大部分机器上网行为不同的个体,对其进行具体分析,就可以找到相应的攻击线索。

此外,还需要考虑可视化的交互方式,更直观的发现流量异常事件,进一步分析确认攻击行为。利用可视化,关联展示有关系事件的组合,在多个序列中查找到攻击事件的来龙去脉。

内网检测要重视安全情报数据的作用。通过各种渠道拿到的安全情报,可以对已经存储的流量数据进行历史查询检索。即使之前没有发现,通过后续情报的检索,也能够找到内部是否存在曾经被渗透的痕迹,再做进一步分析。

内网的异常检测发现的是一些特殊事件,它们的行为高度可疑,但是否为真正的攻击行为,更多还需要人工的方式进行确认。这属于人与人之间的对抗,它依赖的是专业化安全人员进行的持续监控、网络取证及应急响应。

变革的技术与观念

针对APT攻击,以上任何一种单独的方式都是不够的。Gartner就认为APT检测需要在网络、载荷和终端上,通过实时、非实时不同纬度,进行多方位的检测,在任何攻击阶段都可以提供检测能力。黑客也许可以通过一些技术绕过某一层防御,但当你的防御层级足够深的时候,黑客总会露出马脚。

这些解决方案不仅是技术上的问题,更重要的是观念的变革。技术的问题可以由安全厂商解决,比如针对漏洞利用进行检测的沙箱技术。还有一些问题是需要社会和企业共同努力的。首先是针对云端的使用。APT攻击检测,单个设备的能力是远远不够的,更多的对恶意软件的分析需要依赖于云端强大的计算能力和专家分析能力。我们需要能将一些特定的样本上传到云端做进一步分析。

在传统的安全场景下,企业采购到设备后,自身可以很好地使用设备。而在攻防技术高度对抗场景下,需要的安全服务能力是一般企业很难具备的。对于APT解决方案,需要设备和服务一体化,企业使用起来才更有效。

最后是安全情报的共享。大家一提到大数据,首先想到的是隐私问题。大数据涉及到非常多的领域。如果是通过大数据的方式开展新的商业业务,可能有隐私的问题。如何保护大数据本身的安全,又是一个问题。现在我们如何使用大数据解决安全问题,这是完全不同的领域。安全情报实质上不涉及任何企业和个人的隐私。当这些信息能够共享的时候,可以形成很好的蓝图,在任何一个位置看到一个复杂的APT攻击,几秒钟或者是几分钟内,全世界就可以对这类攻击形成防御手段,这样APT攻击者的成本会被大幅提升。

上述所有这一切不仅需要安全厂商的努力,也需要社会各方面改变原有观念,共同应对APT的问题。


转载请注明出处 APT防御产品 » 什么是APT

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址