亚博全站APP登录

攻击者对安全体系的预测、绕过、干扰与我们的应对

时间: 2017年5月24日 作者:肖新光 来源:安天

总(zong)书(shu)记(ji)在(zai)4•19讲话中(zhong)曾指出“网络(luo)安全(quan)是(shi)(shi)动(dong)态的(de)、不(bu)是(shi)(shi)静态的(de)”,在(zai)一(yi)个动(dong)态的(de)博弈体系中(zhong),并不(bu)是(shi)(shi)简单地依(yi)靠防御者的(de)安全(quan)想象,而是(shi)(shi)基于(yu)双(shuang)方(fang)(fang)在(zai)持(chi)续的(de)高度(du)对抗和变(bian)化(hua)中(zhong)所能(neng)(neng)产生的(de)能(neng)(neng)力。在(zai)此背景下,就意味着攻击者会有更多(duo)的(de)对防御方(fang)(fang)能(neng)(neng)力的(de)预测、绕过(guo)和干扰(rao)手(shou)段,而我们也需要采用一(yi)系列的(de)方(fang)(fang)式进行对抗。

一、 背景与问题

首(shou)先,我(wo)们来回顾一下传统的威胁(xie)(xie)对抗(kang)以及(ji)新出现(xian)的一些(xie)在威胁(xie)(xie)对抗(kang)中的场(chang)景。

1.1 传统的对抗——载荷检测对抗

从整体上(shang)来(lai)看,载荷(he)检(jian)(jian)测(ce)(ce)(ce)应该在安全检(jian)(jian)测(ce)(ce)(ce)防(fang)御(yu)中居(ju)于核心位(wei)置,因(yin)为无论是(shi)怎样的(de)(de)(de)安全威(wei)胁,最(zui)终(zhong)都要(yao)(yao)转化(hua)为目标侧的(de)(de)(de)实际(ji)动(dong)作,而这是(shi)要(yao)(yao)依靠相(xiang)应的(de)(de)(de)代(dai)码来(lai)完成(cheng)的(de)(de)(de)。对(dui)于动(dong)作代(dai)码、恶意代(dai)码或(huo)者第(di)三方工具的(de)(de)(de)检(jian)(jian)测(ce)(ce)(ce),最(zui)终(zhong)将(jiang)构(gou)成(cheng)弹(dan)头(Payload,载荷(he))检(jian)(jian)测(ce)(ce)(ce)模(mo)块(kuai)。传(chuan)(chuan)统的(de)(de)(de)载荷(he)检(jian)(jian)测(ce)(ce)(ce)对(dui)抗是(shi)依靠检(jian)(jian)测(ce)(ce)(ce)引(yin)擎进行(xing)的(de)(de)(de),检(jian)(jian)测(ce)(ce)(ce)引(yin)擎是(shi)依靠归一化(hua)的(de)(de)(de)方式设(she)计(ji)的(de)(de)(de),而传(chuan)(chuan)统的(de)(de)(de)针对(dui)载荷(he)检(jian)(jian)测(ce)(ce)(ce)的(de)(de)(de)对(dui)抗主要(yao)(yao)是(shi)试(shi)图不被检(jian)(jian)测(ce)(ce)(ce)分(fen)支中的(de)(de)(de)配(pei)套规(gui)则命(ming)中,或(huo)者是(shi)穿透(tou)检(jian)(jian)测(ce)(ce)(ce)引(yin)擎的(de)(de)(de)归一化(hua)方式,使(shi)得(de)相(xiang)应的(de)(de)(de)载荷(he)不能够匹配(pei)到有效的(de)(de)(de)分(fen)支之上(shang)。其他方式还包括(kuo)使(shi)传(chuan)(chuan)统的(de)(de)(de)主动(dong)防(fang)御(yu)和检(jian)(jian)测(ce)(ce)(ce)机制失(shi)能的(de)(de)(de)各种操作,比如(ru),大量(liang)的(de)(de)(de)KillAV(反(fan)制杀毒)样本。

1.2 传统的对抗——主机系统场景

传统对抗的第二(er)个思路是使(shi)整个载荷(he)无法(fa)被安全(quan)产品的IO能力获取,既然(ran)无法(fa)被获取,也(ye)就无所谓(wei)能否(fou)进(jin)入到相(xiang)应的格式(shi)先(xian)导和(he)检(jian)测分支之中。在主机上(shang),通常把这种技术称(cheng)为Rootkit。

1.3 传统的对抗——网络侧逃逸

如今,很多人在讲AET(Advanced Evasion Technique,高级(ji)逃逸(yi)技(ji)术)。在网(wang)络(luo)侧(ce)的(de)对(dui)(dui)抗(kang)中,除了针(zhen)对(dui)(dui)网(wang)络(luo)侧(ce)检测引擎(qing)的(de)检测规则和检测分(fen)支(zhi)的(de)归(gui)一化穿透以外,其他的(de)加密、伪(wei)装、夹带、分(fen)片等手段(duan)使得(de)整(zheng)个检测机制无法获得(de)完整(zheng)的(de)、直(zhi)接的(de)监测对(dui)(dui)象。

1.4 对能力点和能力闭环的攻击

过去,反复被攻击者,包括地下黑产,甚至黑产教程所教唆的相应行为,基本上是围绕着“IO(检测对象的获取)→检测(检测引擎的匹配和识别)→处置(处置动作)”展开的,试图使其中的某一个环节失能、失效,或者切断这样一个小的部署在用户侧的能力闭环。过去,传统的攻击点更多的是围绕着免杀、隐蔽、逃逸和直接对抗展开的,但今天,整个攻击方在“大玩家入场”后,特别是在国家行为体、政经集团和高能力的黑产犯罪团伙介入之后,实际上具备了无与伦比的建设自身攻击基础设施和承担攻击成本的能力。此时,整体上可攻击和可对抗的环节,就不止于用户侧的能力环节,而包括“从安全厂商的支撑能力,到用户的能力下行,再到用户侧的感知数据上行”的大闭环。在针对厂商的攻击方面,可以看到已经有大量的对威胁情报的扰动,包括类似Ququ(毒曲)2.0直接向卡巴斯基进行相应攻击渗透的事件;在整个安全厂商和用户侧的能力互动中,还可以看到NSA的CamberDADA计划以及其他的一些相应事件。

1.5 攻击装备针对主动防御、物理隔离的穿透

在(zai)这种可以承担高成(cheng)本的攻(gong)防对(dui)抗中(zhong),攻(gong)击方如何理解、预测和突(tu)破防御方的能力?在(zai)针对(dui)“方程式”组织的第四篇分析报告 中(zhong),安天绘制(zhi)了“方程式组织主机作(zuo)业模块积(ji)木图”,实际(ji)上是把(ba)“方程式”组织的主机作(zuo)业模块拼成(cheng)了一(yi)个积(ji)木图:

图 1 “方程式”组织(zhi)主机作业模(mo)块积(ji)木图

从中可看到“方(fang)程式”组织对(dui)主(zhu)(zhu)(zhu)机(ji)作业的(de)(de)理解是(shi)(shi),对(dui)所有操作形成原子化模块,即要最(zui)大限度(du)地(di)(di)把相同(tong)的(de)(de)功能(neng)(neng)分离到不同(tong)的(de)(de)DLL上(有可能(neng)(neng)在实(shi)际(ji)场(chang)景中是(shi)(shi)通过内存加载的(de)(de)),要最(zui)小化地(di)(di)触发(fa)其(qi)在主(zhu)(zhu)(zhu)机(ji)侧的(de)(de)动作。目(mu)前来看,这组能(neng)(neng)力大概是(shi)(shi)在2005~2008年期间列入到NSA装备(bei)系(xi)(xi)列中的(de)(de),实(shi)际(ji)上其(qi)是(shi)(shi)针(zhen)对(dui)当时主(zhu)(zhu)(zhu)防(fang)系(xi)(xi)统(tong)基于(yu)行(xing)为加权(quan)思路所建立的(de)(de)一(yi)种机(ji)制(zhi)。完成这种“原子”操作的(de)(de)模块,是(shi)(shi)不足(zu)以(yi)达到行(xing)为加权(quan)的(de)(de)阈值以(yi)触发(fa)主(zhu)(zhu)(zhu)防(fang)系(xi)(xi)统(tong)拦截的(de)(de)。

此外,相应模块并不是简单地通过远程溢出漏洞而进入主机的,还可以利用很多硬件化的特种硬件运载平台,对此,可以从斯诺登所曝光的NSA-ANT装备体系中找到验证。即从网络窃取作业和入侵作业的角度来看,控制者未必在远方,而有可能就在隔壁,采用无线的方式进行控制,这种方式是不具备溯源性的。而用来支撑远程控制体系,包括内网横向移动的是其整个的攻击平台。可见,这种对于主动防御的穿透实际上并不是简单的对规则层面的穿透,而是对主动防御原理层面的穿透,而在这方面,我们之前一直是思考不足的。

1.6 攻击者的感知覆盖和能力前出

今天,我们无比强调态(tai)势感(gan)知,但是(shi)(shi)需要看到另外(wai)一(yi)个问(wen)题——攻击(ji)方(fang)也(ye)同(tong)样(yang)在做防(fang)御方(fang)是(shi)(shi)否已经感(gan)知到了其(qi)相应能力的(de)(de)(de)反(fan)感(gan)知设(she)备。CamberDADA计划(hua)(hua)实际上是(shi)(shi)NSA始于2007年的(de)(de)(de)一(yi)个计划(hua)(hua),以卡巴(ba)斯基(ji)为(wei)(wei)主要目标,并(bing)在全球(qiu)计划(hua)(hua)监控23家安全厂(chang)商(shang)(安天很(hen)不幸(xing)地,也(ye)很(hen)幸(xing)运(yun)地成(cheng)为(wei)(wei)其(qi)中(zhong)唯一(yi)的(de)(de)(de)一(yi)家中(zhong)国厂(chang)商(shang))。如果把其(qi)为(wei)(wei)了建立相应能力而针对卡巴(ba)斯基(ji)所涉及(ji)到的(de)(de)(de)一(yi)些对象做一(yi)个列(lie)表(如图(tu)2),其(qi)中(zhong),绿(lv)色(se)的(de)(de)(de)是(shi)(shi)俄罗(luo)斯的(de)(de)(de)电信运(yun)营(ying)商(shang);红色(se)的(de)(de)(de)是(shi)(shi)其(qi)最终所关注的(de)(de)(de)攻击(ji)目标,比如,俄罗(luo)斯国防(fang)产品(pin)出(chu)口(kou)公司、信息与分析技术(shu)研究所;蓝色(se)的(de)(de)(de)是(shi)(shi)俄罗(luo)斯的(de)(de)(de)一(yi)些基(ji)础软件产品(pin)厂(chang)商(shang),也(ye)就是(shi)(shi)说该(gai)计划(hua)(hua)可以在其(qi)中(zhong)进行供(gong)应链(lian)植入。

图 2 CamberDADA计划所涉及到的(de)部分对象(xiang)和攻击目标(biao)

在(zai)此过程(cheng)中(zhong),该计划实际上(shang)并(bing)非通过入侵卡巴(ba)斯(si)(si)基而(er)得知(zhi)(zhi)卡巴(ba)斯(si)(si)基是(shi)否已(yi)经(jing)(jing)感知(zhi)(zhi)其攻击(ji)的(de)(de)(de),而(er)是(shi)发现(xian)了(le)用户(hu)与安全厂商之间互动链的(de)(de)(de)脆弱(ruo)性其实是(shi)在(zai)运营(ying)商侧,其中(zhong)大量的(de)(de)(de)邮件(jian)通讯是(shi)明文(wen)的(de)(de)(de),因此NSA可(ke)以(yi)(yi)利用自己已(yi)经(jing)(jing)击(ji)穿(chuan)了(le)俄罗斯(si)(si)基础(chu)运营(ying)商体系(xi),并(bing)且(qie)能在(zai)其上(shang)获取数据(ju)的(de)(de)(de)基础(chu),来获取用户(hu)发给卡巴(ba)斯(si)(si)基的(de)(de)(de)告警邮件(jian)。这(zhei)时,如(ru)果在(zai)邮件(jian)中(zhong)看到己方样本,则说明己方行动已(yi)经(jing)(jing)暴露;如(ru)果发现(xian)有第(di)三方样本,则可(ke)以(yi)(yi)分析(xi)相(xiang)关样本中(zhong)是(shi)否有可(ke)利用的(de)(de)(de)后门或(huo)者漏(lou)洞(dong),也(ye)可(ke)以(yi)(yi)把第(di)三方样本经(jing)(jing)过修改(gai)后再投递给第(di)四方从(cong)而(er)制(zhi)造(zao)相(xiang)应的(de)(de)(de)麻(ma)烦和障碍。同时,随着(zhe)这(zhei)种攻击(ji)者的(de)(de)(de)能力(li)前(qian)出,随着(zhe)超级大国前(qian)出型(xing)的(de)(de)(de)感知(zhi)(zhi)能力(li)覆(fu)盖了(le)全球的(de)(de)(de)基础(chu)运营(ying)商体系(xi),实际上(shang)构成了(le)对其本身(shen)攻击(ji)侧能力(li)的(de)(de)(de)保护。

1.7 网络靶场——防御能力的搭建和模拟

过去,我们认为反病毒的根本软肋从来不是所谓的“它是一种基于非黑即白规则或者特征的检测技术”,它历来都是由黑白名单相结合,带有大量特征检测的技术体系,但为什么不能有效地应对全部的安全载荷风险,皆因为反病毒是一种易于获得的安全资源。一个有精力的攻击者几乎可以从互联网上公开获取到所有的反病毒产品,然后进行免杀测试,直到无法检测出之后再进行投放。但是在当前的攻防体系下,在攻击者能够承担更高攻击成本的条件下,这种安全产品被获取、搭建成模拟靶场来进行测试的问题不只限于AV产品,而是覆盖了所有的安全产品。在超级大国所引导的大量网络靶场中,结合着招投标公告和网络拓扑情报,几乎可以模拟大量的敌国或关联国家的关键基础信息网络和其他网络系统的防御体系,在这个体系搭建后,再进行相应的攻击。这一问题是值得高度关注的,而且解决这个问题的方法正是我们开始时所讲的——如何建立攻击者难以预测的某种安全能力。

1.8 威胁情报也是情报威胁

如今,很多人都在讲安全情报,在《2016年网络安全威胁的回顾与展望》 中,安天曾写道“威胁情报不只是防御方资源,威胁情报也是情报威胁,是攻防双方的公共地带。同样的数据,对防御方来说是规则和线索,对攻击方来说则是攻击资源和痕迹”。比如,在Virus Total(VT)上运行着全球几乎所有具有恶意代码检测能力厂商的引擎,是最成功的安全能力共享平台和威胁情报体系之一,但是从某种意义上,其构成了同时影响所有主流厂商的干扰量的注入手段。

1.8.1 安天的机理型误报事故因何引发全球反病毒厂商的集体误报?

2016年4月,Locky勒索病(bing)毒(du)爆发(fa),为(wei)了(le)检(jian)测该(gai)病(bing)毒(du),安(an)天在(zai)AVL SDK反病(bing)毒(du)引(yin)擎(qing)中添加了(le)一(yi)个(ge)(ge)基于某算(suan)法的(de)(de)(de)检(jian)测模型,大(da)概(gai)在(zai)一(yi)周之(zhi)后(hou)(hou),我们发(fa)现该(gai)方法的(de)(de)(de)测试不充分,具有(you)严重的(de)(de)(de)机理型问题。但后(hou)(hou)来在(zai)我们追溯整个(ge)(ge)事(shi)(shi)件时(shi)发(fa)现,从最开始(shi)我们的(de)(de)(de)误报,到(dao)后(hou)(hou)来Nod32、Kaspersky、Microsoft、McAfee等十余家主流厂(chang)(chang)商(shang)(shang)对无害文(wen)件的(de)(de)(de)报警(jing),引(yin)发(fa)了(le)一(yi)次(ci)比(bi)较严重的(de)(de)(de)VT集体脚(jiao)本(ben)误报事(shi)(shi)件。该(gai)事(shi)(shi)件实际上是(shi)因为(wei)主流安(an)全厂(chang)(chang)商(shang)(shang)之(zhi)间是(shi)本(ben)着检(jian)测结果互认规(gui)则而进行工(gong)作的(de)(de)(de),但是(shi)这(zhei)也使得任何一(yi)个(ge)(ge)厂(chang)(chang)商(shang)(shang)的(de)(de)(de)干扰量都可(ke)能会被传递到(dao)其他(ta)厂(chang)(chang)商(shang)(shang)。同时(shi),VT恰恰提(ti)供了(le)一(yi)个(ge)(ge)平台,使得当这(zhei)种干扰量恶意注入时(shi),有(you)可(ke)能会在(zai)短时(shi)间内到(dao)达(da)所有(you)安(an)全厂(chang)(chang)商(shang)(shang)。

另外一(yi)件(jian)很有意思的(de)(de)(de)事(shi)情(qing)是(shi),关(guan)(guan)(guan)(guan)于(yu)(yu)WannaCry的(de)(de)(de)变种。实(shi)际(ji)上(shang),如果大(da)家(jia)再去(qu)看我们发布的(de)(de)(de)关(guan)(guan)(guan)(guan)于(yu)(yu)WannaCry的(de)(de)(de)系列报告会发现,WannaCry的(de)(de)(de)变种传闻是(shi)来源于(yu)(yu)卡巴斯(si)基(ji)的(de)(de)(de)一(yi)次乌(wu)龙事(shi)件(jian),但(dan)在(zai)(zai)这次乌(wu)龙事(shi)件(jian)之后(hou),全球媒(mei)体迅速跟进,在(zai)(zai)VT上(shang)也发现提(ti)交了(le)抹去(qu)“开(kai)关(guan)(guan)(guan)(guan)域名(ming)(ming)”和修改“开(kai)关(guan)(guan)(guan)(guan)域名(ming)(ming)”的(de)(de)(de)相关(guan)(guan)(guan)(guan)样(yang)本(ben),但(dan)从监(jian)测(ce)来看,相关(guan)(guan)(guan)(guan)样(yang)本(ben)的(de)(de)(de)流(liu)传度似乎(hu)极(ji)低(di)。此外,其中(zhong)抹去(qu)“开(kai)关(guan)(guan)(guan)(guan)域名(ming)(ming)”的(de)(de)(de)版本(ben)是(shi)基(ji)于(yu)(yu)一(yi)个勒索模(mo)块不能工作的(de)(de)(de)原始版本(ben)修改而(er)来的(de)(de)(de),那么(me)这些(xie)样(yang)本(ben)究竟是(shi)真实(shi)存在(zai)(zai)于(yu)(yu)网络空间中(zhong)传播(bo)的(de)(de)(de)样(yang)本(ben),还是(shi)为了(le)变种而(er)存在(zai)(zai)的(de)(de)(de)样(yang)本(ben)?在(zai)(zai)这个问题上(shang),我认为虽(sui)然猜(cai)测(ce)都没有实(shi)证,但(dan)值(zhi)得怀疑。即依(yi)托相应的(de)(de)(de)威胁情(qing)报平台有可能能够构造出一(yi)个事(shi)实(shi)上(shang)并不存在(zai)(zai)的(de)(de)(de)网络引擎。

1.8.2 白名单的污染

之前,我们曾经提出一个观点——要以可靠的基础支撑能力来支撑威胁情报,这是因为哈希白名单是非常容易被污染的,如果没有基础的文件采集能力来进行相互的印证,这种干扰是很难排除的。比如,2004年,王小云教授宣布MD5算法被破解,在当时的情况下,很多安全人士认为,该方法是无法用于实际攻击的,因为其并不能把一个恶意文件的哈希构造成一个已知白名单文件的哈希,需要两个数据体同时变化才能生成同样的哈希。但在2016年,安天发现了一组白名单污染事件,因为MSI格式文件通常是大安装包,如果在其签名域中计算完整文件的哈希,可能会消耗较长的时间,因此在MSI文件中并非计算完整文件的哈希,而是计算部分哈希,这就使得MSI文件在进行了相应的数据填充、维护等操作之后,依然可以通过数字签名验证。但这事实上就给干扰白名单带来了一种手段,即当一个恶意文件和一个构造出的MSI文件被伪造成同一个签名时,这个所谓的正常的MSI文件可以被提交给具有验证能力的安全厂商,由于对其而言,这是一个具有可信厂商可通过签名的文件,就会很自然地把这个哈希指向白名单,而这就相当于构造了一次哈希污染。从中可以看到,在过去的小循环和威胁情报非共享的时代下,相应的事件不会带来如此大的影响,但是在当前具备了大量威胁情报平台的情况下,就具有了向厂商侧进行污染的安全手段。这说明在整个厂商侧与用户之间的大闭环以及安全厂商和安全团队所获取的安全资源方面,当前已经有大量的潜在的攻击方式。

二、 深度用户赋能

在这种复杂的基础条件下(xia),在安(an)(an)全(quan)能(neng)力(li)可以(yi)被高度预测的情况(kuang)下(xia),需要一(yi)系列方法(fa)来降低攻击者(zhe)对客户侧(ce)所具备的实际安(an)(an)全(quan)防御能(neng)力(li)的可预测性和改(gai)善相应(ying)的安(an)(an)全(quan)价值。

2.1 流量侧的全要素采集

态势感知与SIEM和SOC的区别是什么?SIEM和SOC是在传统的基础安全能力上建立起的日志聚合,而态势感知实际上是根据感知需求反向去思考端点侧和主机侧的要素采集需求,因此可以建立全要素采集的能力,比如,把五元组扩展到十三元组;不再区分有毒格式和无毒格式,而对所有格式建立起相应的解析。

2.2 传统的威胁检测引擎VS下一代威胁检测引擎

传统的检测引擎实际上是基于对象来生成相应的黑白判定,如果是黑的,则输出相应的名称;如果是白的,也给出相应的结果。但当前仅靠这种模式的问题在于,检测是有条件的,意味着对不报警的载体放行,但分析是无条件的,所以下一代的威胁检测引擎,实际上是将其作为分析器的成分增加,针对每一个对象都形成一个相应的向量空间。

2.3 端点侧的全要素采集和全向量分析

那么该检测引擎在实际场景下是如何工作的?当检测引擎针对对象拆解出数百个向量之后,一定是在这些向量的基础上做出相应的单体判定,也就是我们所说的静态向量转化为行为属性标签,这是下一代威胁检测引擎的一项工作。但是从整个防御体系来看,这是不够的,因为向量向行为标签转化是基于确定性的能力,这对于攻击者而言也是一样的。实际上其不可预测性在于,每一个文件所生成的对象向量不都具备标签转化价值,一些向量可以是无意义的,但是其本身可以构成主机所有对象的一个向量集合,在与主机场景向量叠加之后,汇入到一个整体的向量大数据中,从而形成整个系统的向量。而攻击者在实际的攻击预测中,最具备可模拟性的恰恰是安全产品本身的能力,而最不具备可模拟性的恰恰是用户的使用群体、使用习惯和使用状态。所以,在这种数据所形成的画像之后,即使攻击者搭建了一个模拟环境,也不会生成类似或者高度一致的基础数据。由于场景的差异化和大量向量的无意义化所最终形成的相应数据挖掘价值才是整个防御模型个性化的关键。

2.4 建立向量级别的规则

可以看到,在安全厂商本身可以把其中的一部分能力确定性地从向量转化为威胁标签之后,下一代反病毒引擎或者产品的关键是把其所能形成的向量能力全部开放给用户,用户可以在任意一个向量分支节点、向量的组合以及组合之间的逻辑关系上来定制相应的规则,这些规则可以生成结果,也可以生成相应的知识标签,最后达成基于向量分析和标签聚合的检测能力。由于这种模型是在用户场景下形成的,因此大量的规则是依靠客户自身的安全经验所维护的,基于高度的客户赋能,就形成了攻击者难以预测的安全能力。

三、 私有化的模型与客户场景的结合

3.1 “人工智能+专家经验”——实现私有化的安全服务

虽(sui)然(ran)(ran)基于下(xia)一代检测引擎的客户赋能构成(cheng)(cheng)(cheng)一个基础(chu),但(dan)是在(zai)实(shi)际的实(shi)体化模型中(zhong),如何(he)与客户场景结合(he)?当(dang)然(ran)(ran),在(zai)其中(zhong)带有大量的算法和(he)其他(ta)的因素,但(dan)其依然(ran)(ran)是基于传统的信誉分析和(he)其他(ta)算法生成(cheng)(cheng)(cheng)的,其中(zhong)构成(cheng)(cheng)(cheng)了一个初(chu)始解析的向量空间,然(ran)(ran)后(hou)(hou)进行人工(gong)智能的向量标(biao)签筛选(xuan),形成(cheng)(cheng)(cheng)私有化规则服务(wu),最(zui)后(hou)(hou)形成(cheng)(cheng)(cheng)客户侧私有的安(an)全能力(li)和(he)事件(jian)匹配结果(guo)。

3.2 信誉与场景结合的威胁发现

可以以主机侧场景举一个比较容易理解的例子,假定我们采用了一个哈希的白名单机制,就意味着任何一个由微软官方发布的文件都应该被视为可信对象,但文件信誉不能简单地由厂商侧白名单决定,也不能仅仅依靠签名进行判断,一定要有相应的场景规则,这种场景规则结合了终端分布(原则上来看,一个威胁不可能在短时间内感染到全部的节点)、行为一致性(即使在客户侧有专有的应用,其也应该产生相对一致的行为预期,假定某个应用产生了不一致的行为预期,就有可能是受到了攻击)与使用的群体相匹配(程序的行为画像是与主体的、使用者的行为画像相一致的)等要求。

3.3 机器学习、人工智能的正确应用

如今很多人都在讨论机器学习和人工智能,但是我们始终认为如果没有深刻的工程师所形成的基础的、前置型的积累和预制的知识,而仅是简单地在大数据或样本集合上叠加机器学习和人工智能算法,无论何种算法都不可能是有效的。同时,其最终的目标并不是产生有效的判定率或者是降低误报率,而是要和安全业务进行实际的融合。

四、 更庞大的支撑体系

4.1 安全厂商的结构——“冰山”还是“大黄鸭”

对于攻击者而言,更需要为其建立的一个安全挑战是,因为任意一个安全产品不管使用了多么复杂的算法,都不可能抵抗现在的逆向工程,卡巴斯基的引擎被公认是非常复杂的,但事实上在中国至少有100人可以讲清楚其数据结构。所以,安全厂商只有一个更为庞大的位于自有云端的支撑体系和团队,才能形成有效的支撑,这即是我们之前所讲的“安全厂商应该是一个冰山”,所有用户可见的安全能力,包括产品和服务,其实是水面上的部分,而水面下的部分是其所建立的对感知、捕获、威胁对象分析的相应积累。相反,不合理的安全厂商结构就像一个“大黄鸭”,虽然同样也可以浮在水面之上,但当一阵风吹来,有可能会被吹跑;当有利器击打时,有可能会漏气。因此,安全厂商需要一个强大的后端支撑体系。

4.2 支撑体系——安全厂商自身的复杂巨系统

在之前的报告中,我们已经多次讲过“安天从2002年开始建立恶意代码分析流水线”,但这种仅对载荷进行持续分析,每日可以消化百万量级新增文件的流水线体系已经不能有效覆盖如今的威胁,而如今所需要的后端体系实际上是,把前端感知、载荷捕获和分析,以及整个的数据产出和回馈结合在一起的体系。

4.3 “水面之上”和“水面之下”

如今,我们可以(yi)看到(dao)在水面之上的是(shi)相(xiang)(xiang)(xiang)关的安全(quan)产品、其(qi)中的威胁(xie)检测(ce)引擎以(yi)及相(xiang)(xiang)(xiang)关的功(gong)能,构成了从有(you)效防护(hu)到(dao)资产监(jian)测(ce),到(dao)情(qing)报服务(wu)和事件(jian)响(xiang)应(ying)的能力,但是(shi)其(qi)后端要(yao)有(you)全(quan)球(qiu)化的网(wang)络支撑(cheng)体系、基础的支撑(cheng)环境、人机(ji)协作的对抗性平台,以(yi)及相(xiang)(xiang)(xiang)关的威胁(xie)情(qing)报系统。

4.3 “水面之上”和“水面之下”

过去几年间,在硅(gui)谷的(de)创业小清新中,出现了(le)很多下一代反病毒的(de)概念,比如,有人(ren)介绍“可(ke)以在40兆的(de)情况下,不(bu)进(jin)行(xing)升级,也(ye)不(bu)借助(zhu)云(yun),就可(ke)以有效(xiao)地(di)、持(chi)续(xu)地(di)对(dui)抗威(wei)胁”。实际(ji)上,它是基于传统AV的(de)分类结果,对(dui)这种(zhong)根据分类所形(xing)成(cheng)的(de)每一类基础数据,再做一个精(jing)细化的(de)向量机或(huo)进(jin)行(xing)其他的(de)算法。

Sophos对于这种厂商有一(yi)个很有意思的(de)(de)介绍,其大概的(de)(de)意思是“如果没(mei)有一(yi)个基础(chu)的(de)(de)、全量的(de)(de)威胁(xie)样本的(de)(de)持续分析和(he)解析能力,如果没(mei)有相应的(de)(de)基础(chu)体系(xi)和(he)资源,只凭借一(yi)些所谓的(de)(de)单点(dian)技术创新,怎么可(ke)能支撑起全面的(de)(de)威胁(xie)对抗”。可(ke)见(jian),这种小清新式的(de)(de)下一(yi)代反病毒(du)其实是高度(du)可(ke)笑的(de)(de),在这个领域中,永远(yuan)没(mei)有“银弹”,也(ye)永远(yuan)没(mei)有“一(yi)招鲜吃遍天”。

五、 差异化的威胁情报分享与私有化的威胁情报生产

如何解决威胁情报的公共性和威胁情报也是情报威胁的问题?其实,我们认为威胁情报的本质不是每人买一个账号进行公共查询,在该方式下,威胁情报很简单地就变成了攻防双方的公共资源地带。从厂商的威胁情报供给来看,应该采用一种差异化向客户输出的手段,而类似于沙箱或者蜜网的产品不应该被简单地看作是增强的判定器和分析工具,而是要将其转化为有效的能为客户产生私有化威胁情报的平台。

从整(zheng)个威胁(xie)(xie)情报来看,实际(ji)上,其所具备的(de)(de)是向客户进行有效威胁(xie)(xie)聚类的(de)(de)能(neng)力,而这(zhei)(zhei)种聚类实际(ji)上是可(ke)以用来分析(xi)威胁(xie)(xie)的(de)(de)有效性的(de)(de),比如,对银(yin)行而言,我(wo)们并非简(jian)单地提供(gong)给银(yin)行用户其所面(mian)临(lin)的(de)(de)恶(e)意(yi)代码(ma)(ma)的(de)(de)“白防”,而是在基于安天后台(tai)对这(zhei)(zhei)些(xie)恶(e)意(yi)代码(ma)(ma)进行深(shen)入分析(xi)之后,可(ke)以评价每一种恶(e)意(yi)代码(ma)(ma)对其网银(yin)防护手段的(de)(de)相应威胁(xie)(xie)。

六、 战略的预判

安全厂商需要有(you)能(neng)力完成战略的(de)(de)(de)预判(pan),对威(wei)胁的(de)(de)(de)前(qian)置性(xing)(xing)预判(pan)可使防御者预判(pan)安全趋势(shi)和攻击(ji)者将要采取的(de)(de)(de)行为,只有(you)这样(yang)才能(neng)有(you)效地(di)决定布防点(dian),这其(qi)中既(ji)有(you)战略性(xing)(xing)的(de)(de)(de)也有(you)战术性(xing)(xing)的(de)(de)(de)。

6.1 安天预言中的军火外溢和勒索蠕虫

如今(jin)很多人都(dou)在讲网(wang)络军火和(he)勒索蠕虫。2015年5月27日,安天(tian)在一篇分析(xi)报告 中写道(dao)——

“我们需要提醒各方关注的是,鉴于网络攻击技术所存在的极低的复制成本的特点,当前已经存在严峻的网络军备扩散风险……但对于缺少足够的安全预算、难以承担更多安全成本的国家、行业和机构来说,会成为一场噩梦。”

“在攻防两端均拥有全球最顶级能力的超级大国,对于有效控制这种武器级攻击手段的扩散,应该负起更多的责任。”

2016年11月4日(ri),在针对“方程式(shi)”组织(zhi)的一篇(pian)分析(xi)报(bao)告(gao) 中,安天写道——

“我们看到了相关的Exploit储备和攻击思路流入到网络犯罪组织、甚至恐怖主义组织的可能性。鉴于网络攻击技术存在极低的复制成本的特点,当前已经存在严峻的网络军备扩散风险。因此,超级大国能否合理控制自身网络军备发展的速度和规模,并对因自身未有效履行责任而使网络领域发生可能的军备扩散,进行有效地干预和控制,是我们能达成一个更安全的网络世界的关键因素。”

2017年1月5日,安天在(zai)预发布版的网络威胁年报 中明确预言了(le)——

“勒索模式带动的蠕虫的回潮不可避免。”

正是因为有这样的预见,我们才会因此做相应的储备,从而更好地应对威胁(xie)。

七、 结束语

如(ru)今,我(wo)们(men)需要建(jian)立攻击者难以(yi)预测的(de)在(zai)客户(hu)侧部署(shu)的(de)安全(quan)能力,但(dan)是我(wo)们(men)不认(ren)为(wei)这种安全(quan)能力是用户(hu)要求(qiu)安全(quan)厂商(shang)定制出来(lai)的(de),而必须是基于标(biao)准(zhun)化(hua)(hua)(hua)的(de)安全(quan)产(chan)品完(wan)成的(de),反(fan)标(biao)准(zhun)化(hua)(hua)(hua)实际上就是反(fan)生产(chan)力。那么如(ru)何使标(biao)准(zhun)化(hua)(hua)(hua)的(de)安全(quan)产(chan)品产(chan)生攻击者难以(yi)预测的(de)安全(quan)能力?这就要依靠(kao):

厂(chang)商本身(shen)具备深(shen)度(du)的(de)能力(li),并且能够实现客户赋(fu)能;

厂商本身具有(you)庞大的后端支撑(cheng)体系来(lai)增加攻击者对该(gai)体系进行逆向工程(cheng)的难(nan)度;

需要在客户侧(ce)通过私(si)有(you)化的部署(shu)建立客户侧(ce)私(si)有(you)化的经验和数据;

需要(yao)把(ba)其所拥有的(de)(de)威胁情报差异化(hua)地分享给用户(hu),并且使自身的(de)(de)产(chan)品能力在用户(hu)侧具有威胁情报的(de)(de)二(er)次生产(chan)价值。

2016年,安(an)天翻译了(le)一篇(pian)非常(chang)重要的文献——《网络安(an)全(quan)(quan)滑动(dong)标尺模型(xing)》。实际(ji)上,在从体系架构到(dao)被动(dong)防(fang)御,到(dao)主(zhu)动(dong)防(fang)御,再到(dao)情(qing)报(bao)获(huo)取的阶段中(zhong),可以看到(dao):架构安(an)全(quan)(quan)解决(jue)安(an)全(quan)(quan)本身的纵深性(xing)(xing)问题,被动(dong)防(fang)御使(shi)得其(qi)中(zhong)的安(an)全(quan)(quan)环节具有不可绕(rao)过性(xing)(xing),主(zhu)动(dong)防(fang)御形(xing)成(cheng)了(le)安(an)全(quan)(quan)防(fang)御的能(neng)力(li)弹性(xing)(xing),主(zhu)动(dong)防(fang)御与威胁情(qing)报(bao)的结合以及(ji)客户(hu)赋能(neng)达成(cheng)相应的不可预(yu)见(jian)性(xing)(xing)。

最(zui)后,感谢(xie)(xie)中(zhong)(zhong)(zhong)心(xin)多年(nian)以(yi)来对(dui)安(an)天的(de)指导和(he)支持,我把(ba)这(zhei)篇非常仓促(cu)的(de)报(bao)告献给应(ying)急中(zhong)(zhong)(zhong)心(xin)和(he)安(an)天在WannaCry蠕虫响应(ying)中(zhong)(zhong)(zhong)72小时(shi)连续作战的(de)战友们(men)!我相信,无(wu)(wu)(wu)信念,则无(wu)(wu)(wu)以(yi)为坚持;无(wu)(wu)(wu)预(yu)见,则无(wu)(wu)(wu)以(yi)知(zhi)方(fang)向;无(wu)(wu)(wu)能力,则无(wu)(wu)(wu)以(yi)撑格局;无(wu)(wu)(wu)苦行,则无(wu)(wu)(wu)以(yi)成(cheng)梦想。谢(xie)(xie)谢(xie)(xie)!