美國FBI(聯邦調查局)一位高管曾說:世界上只有兩種企業,一種是知道自己已被黑客APT入侵的;另一種是還渾然未知的。
APT指高級持續性威脅(Advanced Persistent Threat),它的“高級”在于“用間諜打頭陣”。例如,谷歌遭受的著名的“極光行動”中,黑客研究了一位谷歌普通員工與好友的共同愛好,偽裝成其好友向其發送郵件,員工訪問郵件后中招,谷歌內部終端被未知惡意程序滲透數月,竊取了大量信息。
“它潛伏下來,不做什么壞事,每天像正常‘員工’一樣來系統‘上班’,慢慢的傳統安全體系會認為它并沒有攻擊的屬性。”亞信安全通用安全產品總經理童寧解釋,APT的善偽裝、善潛伏、伺機而動,讓網絡安全的“老三樣”(防火墻、入侵檢測、殺毒軟件)防不勝防,迫切需要一種全新的網絡安全治理策略。為此,近日亞信安全發布安全高級威脅治理XDR戰略,將發現、響應等能力組合起來,從監測、發現、驗傷、應對、止損等多個節點上加強安全治理,打出安全“組合拳”,拆穿黑客中的間諜組織以及背后的主腦“黑手”。
攻擊手段“大集錦”,辨識黑客“門派”
現實中的案件發生后,警方會把周邊的攝像頭數據全部調出來,關聯一下,找到人物和時間線索,很快可以抓到罪犯。但是在虛擬的網絡環境里,人們看不到人,看到的只有程序、算法、文件等虛擬的字符串,如何鎖定黑客呢?
“不同的黑客有不同的‘招法’,就像我們在武俠故事里經常看到的每一個派別都有自己的招法,其實在安全行業里面也是這樣,一個黑客是哪個組織的,可以通過看他的攻擊手法和特征來判斷。”亞信安全通用產品管理副總經理劉政平說,因此針對黑客的行為去建立一些模型或者規則,可以對黑客的攻擊進行分析判斷,這樣的研究被稱為IOC,即黑客攻擊行為的研究。因此,情報機制非常重要,“雖然黑客在暗、我們在明,但將他們的蛛絲馬跡綜合起來,將非常有助于對未知威脅的防范。”
一個企業對于威脅的偵測能力與其掌握的威脅情報體量和分析威脅情報的能力密切相關。這就好比一個人的知識廣度和分析能力決定了他的認知能力。如何能夠對于威脅既不“風聲鶴唳”,也不“馬虎大意”呢?
為了更準確預測黑客試探背后的威脅,亞信安全形成了本地和云端威脅情報雙回路的體系。劉政平解釋,比如當企業中有大量的網絡數據流,或者惡意文本,該體系可以據此通過威脅情報去檢索,看看這種東西有沒有在企業其他地方出現過、發生過,它的攻擊本質是什么,如何預防。如果本地沒有匹配的威脅情報,將進一步把這些異常表現放到云端威脅情報庫匹配,尋找蛛絲馬跡。“前者是基于我們幫助企業來做相關的知識庫和知識體系;后者是購買、共建的全球范圍情報體系。”劉政平說,這兩個體系互為補充、互通有無。當本地威脅情報確認后,會交給云端威脅情報共享給全球的其他用戶使用。其他用戶的本地情報也會參與組建威脅情報,共享共用。
練就“火眼金睛”,定性、定量查出真威脅
有安全人士慨嘆:有了APT,網絡的世界也不再是“非黑即白”了。
以往的病毒就是病毒,它們的特征會被集合進病毒庫,列進“黑名單”中。系統不斷更新病毒庫,就能不斷識別這些被通緝的“病毒”。“人們越來越認識到,防范已知威脅遠遠不夠,未知威脅、高級威脅開始對我們的企業產生巨大的破壞。”亞信安全產品總監白日說,例如,伊朗布什爾核電站遭到Stuxnet蠕蟲攻擊、烏克蘭電廠的勒索病毒爆發……這意味著殺毒軟件、身份認證、防火墻的“防守打法”開始不奏效了。
2010年開始,包括機器學習、行為學習、大數據、關聯分析在內的可預測技術開始幫助人們發現未知的可疑威脅。然而,單純地發現帶來的是“告警”無數的窘況。
“就好像每天有無數的嫌犯進入警察的視野,怎么分辨轉變成主要問題。”白日說,企業需要處理和響應的威脅告警越來越多,相當大部分需要人工進行干預。企業的痛點是,人力不夠,不會處理。
“企業看到了告警,但看不懂威脅,不知道該如何判斷威脅是不是真實發生了,也不知道該怎么去確認這個威脅的本質,弄清威脅的攻擊者有什么意圖,隨后會產生什么樣的影響。”白日解釋,也就是說,大部分收到威脅告警的企業不知道下一步怎么去作定性和定量的分析,定性是弄清楚黑客的意圖,定量是弄清損失情況及被攻擊到哪一步。
“定性分析首先判斷告警是真還是假;其次判斷威脅的本質是經濟類的犯罪,還是民事類的犯罪,例如類似于加密DDoS軟件攻擊,還是一個惡意釣魚的攻擊,或挖礦攻擊等,通過攻擊模式判斷意圖。”白日解釋,深度威脅分析設備可以在沙箱的環境下,高效率地模擬運行外部攻擊,判斷攻擊意圖。
定量分析通過網絡取證和主機取證的技術,把黑客的進入路徑、留下的痕跡進行追蹤和分析。白日解釋,就如同在小區的攝像頭上發現黑客進入到小區之后怎么進入到家里,又做了什么事情一樣,還原事件的經過。通過進行場景回溯,能夠得知網絡上的主機或者終端遭受哪些感染、破壞或竊取。
精密編排“預案”,迅速應急處理
掌握了一切情報,并且還原了案件的發生,最終是為了實施“抓捕”。
“為了做到快速響應必須有‘預案’,我們可以根據威脅的性質,通過威脅響應的腳本來執行相關的響應策略。”童寧解釋,例如接到了加密的勒索郵件攻擊,可以先到郵件服務器上把相關的郵件刪除,然后通過終端(電腦)來做進一步的恢復處理,最后再在網關上建“防護網”防止類似的加密勒索郵件再次攻擊。
“預案”是為了告訴企業,在受到某類攻擊之后,按照一定的流程操作就可以把損失或影響減到最小,并且提高自身的防護能力。
“我們提出通過精密編排能力打造一套安全聯動運維體系的理念。”白日表示,利用精密編排的聯動安全解決方案將安全產品以及安全流程連接和整合起來,通過全面收集的安全數據和告警,集成人工專家以及機器學習的力量來進行事故分析。
為此,亞信安全提出將整個威脅發現、處理、響應流程中的“準備、發現、分析、遏制、消除、恢復、優化”7個階段整合為XDR方案。
劉政平解釋:“X是指各種可能的場景,不管黑客在什么場景攻擊,工業還是車聯網,都要有相應的應對方式。D是指傳感器,在虛擬世界,不管是在云的架構上,還是網絡架構上,還是在終端層面,都要有不同的監控機制和數據的還原機制。R是指響應,通過精密編排,根據不同的業務特征、不同的攻擊來編排精準的響應,而且越來越傾向于自動化。”
什么樣的技術能讓響應來得更快、更簡單?
童寧認為,“紅客”經驗的積累和提煉,所形成的響應預案將能夠推動APT治理能力的進化。“XDR是一個開放的方案,需要未來更多的經驗、數據和技術的積累,目的是用融合力改變業內分散片面的堆疊式的安全應對‘招數’,形成‘組合拳’,應對處心積慮的APT。”(記者 張佳星)