亚博全站APP登录

可靠采集和有效防护对态势感知的支撑价值

时间: 2017年7月12日 作者:肖新光 来源:安天

这是一份比较杂乱的报告,也是安天对这几年态势感知工作所做的一些思考。安天所承载的态势感知任务,包括国家骨干网的恶意代码监测与分析系统、区域性的态势感知平台、行业性的态势感知平台、黑龙江省网信办的态势感知系统(这也是国家网信办系统的第一个省级试点)等,在此过程中,安天也有一些自身的思考。因此,今天的报告将从威胁谈起,并将重点放在可靠采集和有效防护对态势感知的支撑价值上。

一、 安全威胁对抗进入新的阶段

1.1 威胁:四面围城

从整体上(shang)看,当前的安全威胁呈现(xian)出四个方(fang)面的演进(jin)趋势,可称之为四面围城:

第一,攻击面不断扩大。从传统IT的基础设施扩展到供应链、工控、云以及BYOD和IoT设备。

第二,攻击成本不断降低。在2015年5月27日安天发布的报告 中披露了越方针对我方的攻击,其特点是使用了美方所生产的商用攻击平台Cobalt Strike。本次WannaCry事件和伪装成勒索蠕虫的“必加”事件,所采用的都是美国NSA在2017年4月14日被“影子经纪人”披露的军火级的漏洞。

第三,攻击支撑点不断增加。黑产大数据当前已经成为一个地下的情报体系,僵尸网络提供了大量的僵尸节点,同时比特币又提供了一种新的不可追溯的牟利方式。

第四,攻击方式不断立体。过去,简单的在网络上达成进出的攻击正在演变成立体的攻击,比如,在“乌克兰停电事件”中,其作业方式实际上是由线上的恶意代码攻击与线下的对应急电话的DDoS攻击组合构成的。包括我们所看到的大量针对前置供应链的预制,以及有人带入和传统电磁的手段。

在(zai)此情况下,单点的(de)(de)(de)安全(quan)(quan)产品均不(bu)能应对全(quan)(quan)面(mian)的(de)(de)(de)安全(quan)(quan)问题,因此,更需(xu)要全(quan)(quan)面(mian)建设系(xi)统性的(de)(de)(de)态(tai)势(shi)(shi)感知(zhi)能力。但在(zai)传统的(de)(de)(de)态(tai)势(shi)(shi)感知(zhi)中存在(zai)大量(liang)(liang)(liang)的(de)(de)(de)top或者(zhe)“地(di)图炮(pao)”的(de)(de)(de)情况,且(qie)一(yi)些人仍以产品防(fang)御了多(duo)少亿次(ci)的(de)(de)(de)攻(gong)(gong)击(ji)作(zuo)为衡量(liang)(liang)(liang)。如果在(zai)DDoS时(shi)代和蠕虫(chong)时(shi)代,事(shi)件的(de)(de)(de)传播次(ci)数或者(zhe)攻(gong)(gong)击(ji)次(ci)数是(shi)事(shi)件强度(du)的(de)(de)(de)度(du)量(liang)(liang)(liang)衡,那么在(zai)APT这(zhei)种高(gao)隐(yin)蔽性的(de)(de)(de)攻(gong)(gong)击(ji)下,这(zhei)种统计是(shi)完全(quan)(quan)没有意义(yi)的(de)(de)(de),正如在(zai)2016年5月25日我向(xiang)总书记汇报时(shi)所说(shuo)的(de)(de)(de)“易于看见的(de)(de)(de)攻(gong)(gong)击(ji)往(wang)(wang)往(wang)(wang)不(bu)是(shi)更高(gao)风险的(de)(de)(de)威胁,更高(gao)风险的(de)(de)(de)威胁往(wang)(wang)往(wang)(wang)是(shi)难(nan)以被看到的(de)(de)(de)攻(gong)(gong)击(ji)”。

1.2 传统的对抗

从另(ling)一角(jiao)度来看,攻击和安全(quan)手段(duan)之间的(de)对抗也进(jin)入到了一个新的(de)历史阶段(duan)。对于(yu)传统的(de)对抗可以(yi)概括成三(san)类:

第二,攻击成本不断降低。在2015年5月27日安天发布的报告 中披露了越方针对我方的攻击,其特点是使用了美方所生产的商用攻击平台Cobalt Strike。本次WannaCry事件和伪装成勒索蠕虫的“必加”事件,所采用的都是美国NSA在2017年4月14日被“影子经纪人”披露的军火级的漏洞。第一类是对载荷检测的对抗,主要是对传统检测引擎归一化机制的穿透。

第二类是对主机系统的场景对抗,我们将其称为Rootkit,当然其也演变出了BIOSkit或Bootkit等,其核心就是使攻击载荷无法被安全产品的IO能力获取,从而无法进入到产品的内部循环中。

第三类是网络侧的逃逸技术。是通过各种加密、编码、伪装、夹带等方式来对抗相应的感知和分析手段。

1.3 对能力点和能力闭环的攻击

总体来看,传统的(de)对(dui)(dui)抗(kang)(kang)还是单点对(dui)(dui)抗(kang)(kang),所对(dui)(dui)应的(de)是安全(quan)产品(pin)内建的(de)从IO到(dao)检测(ce),再(zai)到(dao)处置的(de)循环,以免杀、隐(yin)蔽(bi)、逃(tao)逸、对(dui)(dui)抗(kang)(kang)作(zuo)为其基础攻击点。

目前,该攻(gong)击已经演变成了一种体系性的(de)(de)攻(gong)击,不仅可(ke)以攻(gong)击“IO→检测→处置”的(de)(de)小闭(bi)环,还(hai)能攻(gong)击安(an)(an)全(quan)(quan)厂(chang)商和其产品(pin)之间的(de)(de)大闭(bi)环。首先,各种产品(pin)本身是(shi)可(ke)以被攻(gong)击方获取来进行(xing)相(xiang)关模拟测试的(de)(de),包括搭建相(xiang)应的(de)(de)场景;其次,无论(lun)是(shi)安(an)(an)全(quan)(quan)厂(chang)商向(xiang)客户的(de)(de)能力发布,还(hai)是(shi)客户向(xiang)安(an)(an)全(quan)(quan)厂(chang)商的(de)(de)感知上行(xing),本身都是(shi)可(ke)以被干(gan)扰的(de)(de)。此外(wai),类似(si)Duqu2.0(毒曲(qu))攻(gong)击卡巴斯基的(de)(de)事(shi)件(jian)说(shuo)明了安(an)(an)全(quan)(quan)厂(chang)商也是(shi)高级威胁(xie)的(de)(de)直接(jie)目标,而且安(an)(an)全(quan)(quan)厂(chang)商每日所接(jie)收的(de)(de)大量数据中也存在大量的(de)(de)干(gan)扰。

1.4 攻击装备针对主动防御、物理隔离等的穿透

可以看(kan)到(dao),高等(deng)级攻(gong)击者(zhe)的(de)(de)穿(chuan)透(tou)是(shi)有机理性质的(de)(de),并非(fei)简单的(de)(de)一(yi)对一(yi)的(de)(de)特征免杀对抗,而是(shi)针对主(zhu)动(dong)防(fang)御机制基于行为(wei)特性加权的(de)(de)弱点展开(kai)的(de)(de)。比(bi)如,美方将其(qi)(qi)主(zhu)机作(zuo)业拆解为(wei)原(yuan)子化(hua)作(zuo)业,使其(qi)(qi)任意模块都无法构成告警;攻(gong)击者(zhe)采用专用的(de)(de)投放硬件设(she)备达成木马(ma)的(de)(de)注入和信息的(de)(de)回(hui)传,这就绕开(kai)了网络内的(de)(de)监测场景(后端具(ju)有攻(gong)击平(ping)台的(de)(de)支撑)。

1.5 攻击者的感知覆盖和能力前出

实际上,在防御方(fang)(fang)具(ju)有(you)(you)态势感(gan)知的(de)(de)情况下(xia),攻(gong)(gong)击(ji)者(zhe)也具(ju)有(you)(you)态势感(gan)知。根(gen)据斯(si)(si)诺登泄露的(de)(de)文档可以(yi)看到,自2007年(nian)起,NSA开(kai)始制定CamberDaDa计(ji)划,其所关(guan)注的(de)(de)目(mu)(mu)标包括俄(e)(e)罗斯(si)(si)国防产品(pin)出口公司等。该计(ji)划如何保证(zheng)对攻(gong)(gong)击(ji)目(mu)(mu)标的(de)(de)攻(gong)(gong)击(ji)有(you)(you)效性?实际上是(shi)利用(yong)了其已经(jing)在俄(e)(e)方(fang)(fang)电信体系中建立的(de)(de)持久化(hua)节点去关(guan)注攻(gong)(gong)击(ji)目(mu)(mu)标和卡巴(ba)斯(si)(si)基(ji)之间的(de)(de)通(tong)讯(xun),当攻(gong)(gong)击(ji)目(mu)(mu)标向(xiang)卡巴(ba)斯(si)(si)基(ji)的(de)(de)告警(jing)中含有(you)(you)美方(fang)(fang)的(de)(de)样(yang)(yang)本或者(zhe)攻(gong)(gong)击(ji)信息(xi)时,则(ze)认为攻(gong)(gong)击(ji)已经(jing)暴露;当在告警(jing)中含有(you)(you)第三方(fang)(fang)样(yang)(yang)本时,美方(fang)(fang)则(ze)会(hui)尝试第三方(fang)(fang)样(yang)(yang)本是(shi)否可以(yi)被二次利用(yong)。

很遗(yi)憾但也很幸运的是,安(an)天(tian)是在该计划中唯一受其关(guan)注的中国厂商。

1.6 网络靶场——防御能力的搭建和模拟

同时,目前(qian)广(guang)泛使用的(de)(de)网络靶(ba)场技术(shu),使得传(chuan)统的(de)(de)对(dui)杀(sha)毒软(ruan)件进行(xing)免(mian)杀(sha)处理或者对(dui)单一(yi)安全产品(pin)进行(xing)穿透的(de)(de)方(fang)法(fa)变(bian)成(cheng)了模(mo)拟防御方(fang)的(de)(de)整个防御体系(xi),从而研究如(ru)何有(you)效绕过防御方(fang)体系(xi)的(de)(de)方(fang)法(fa)。

1.7 建立应对安全问题的有效“敌情想定”

在(zai)攻(gong)击方系统性(xing)的(de)(de)(de)(de)能力演进的(de)(de)(de)(de)情况下,如(ru)果仍采(cai)用传统的(de)(de)(de)(de)“物理隔(ge)离+好人假定+规(gui)则推演”的(de)(de)(de)(de)思路去思考(kao)安(an)(an)全(quan)问(wen)题,将构成(cheng)当前最大的(de)(de)(de)(de)自我安(an)(an)全(quan)麻痹,因此,无论是(shi)研发态势感(gan)知还是(shi)具体的(de)(de)(de)(de)安(an)(an)全(quan)产(chan)品,都需要建立在(zai)有效的(de)(de)(de)(de)“敌情想定”的(de)(de)(de)(de)基础上。总(zong)书记在(zai)4.19讲话中也明确告诫我们“物理隔(ge)离防线可以被跨网入侵”,使用单一产(chan)品保安(an)(an)全(quan)的(de)(de)(de)(de)思路已(yi)经过时了。

因此,应立足于内网已经被渗透、供应链被上游控制、运营商网络的关键路由节点被控制、物流仓储被渗透劫持、关键人员和周边人员被从互联网进行定位摸底、内部人员中有敌特人员派驻或被发展,从而建立起 “网络空间对抗是战时的高烈度对抗、平时的持续性对抗、平战皆为无底线对抗和高成本对抗”的网络安全认知。

二、 态势感知的新要求与传统问题

在此背景下,人们对态势(shi)感(gan)知提出(chu)了一些新(xin)的要求(qiu)。

2.1 我们对态势感知的惯性认知

过去(qu),每(mei)当说起态势感(gan)(gan)知,人们都会(hui)在(zai)脑海中浮现出一些类似“地(di)图炮(pao)”的(de)图表。大(da)家对于(yu)(yu)态势感(gan)(gan)知的(de)传(chuan)统惯(guan)性认(ren)(ren)识(shi)往往是:基于(yu)(yu)互联网大(da)规模扫描探测(ce)式的(de)节点普查、流(liu)量侧监(jian)测(ce),之后在(zai)其上叠(die)加一些相应的(de)统计手段(duan)和可视化手段(duan),俗(su)称为“地(di)图炮(pao)”,这是很(hen)多人对于(yu)(yu)传(chuan)统态势感(gan)(gan)知的(de)一种认(ren)(ren)识(shi)。

2.2 以SIEM/SOC为代表的应对方案

同时(shi),现今(jin)有许多态势感(gan)(gan)知(zhi)系(xi)统实际上(shang)是(shi)以(yi)SIEM和(he)(he)SOC为(wei)基(ji)(ji)础(chu)(chu)发展(zhan)而来(lai)(lai)的(de)(de)(de)(de)。首先,SIEM和(he)(he)SOC是(shi)非常有价值的(de)(de)(de)(de)安(an)全管理(li)实践,我(wo)们(men)并不(bu)否认其价值,但需要(yao)看到一(yi)点(dian)(dian),是(shi)先有了防火墙(qiang)、杀毒软件、IDS等(deng)安(an)全产品,还是(shi)先有了SIEM和(he)(he)SOC?毫无(wu)疑问,是(shi)先有了基(ji)(ji)础(chu)(chu)的(de)(de)(de)(de)安(an)全产品,之(zhi)后(hou)才有了SIEM和(he)(he)SOC等(deng)管理(li)环节(jie)(jie),SIEM和(he)(he)SOC实际上(shang)是(shi)为(wei)了把既(ji)有的(de)(de)(de)(de)安(an)全能力有效地统合起来(lai)(lai),这(zhei)就带(dai)来(lai)(lai)了一(yi)个问题,SIEM和(he)(he)SOC是(shi)以(yi)尊重(zhong)在(zai)流量(liang)、端点(dian)(dian)、日(ri)志(zhi)等(deng)方面的(de)(de)(de)(de)既(ji)有基(ji)(ji)础(chu)(chu)为(wei)基(ji)(ji)础(chu)(chu)的(de)(de)(de)(de),那(nei)么在(zai)基(ji)(ji)础(chu)(chu)能力中未被(bei)采集的(de)(de)(de)(de)数(shu)据一(yi)定不(bu)会(hui)出(chu)现在(zai)SIEM和(he)(he)SOC中。也就是(shi)说,SIEM和(he)(he)SOC的(de)(de)(de)(de)有效性(xing)一(yi)定程度(du)上(shang)取决于向它供(gong)给相关日(ri)志(zhi)等(deng)环节(jie)(jie)的(de)(de)(de)(de)有效性(xing),因此,一(yi)旦这(zhei)些环节(jie)(jie)的(de)(de)(de)(de)基(ji)(ji)础(chu)(chu)能力不(bu)足,就会(hui)导致出(chu)现盲点(dian)(dian)。而在(zai)SIEM和(he)(he)SOC如今(jin)的(de)(de)(de)(de)实践上(shang),我(wo)们(men)已经看到了包括(kuo)基(ji)(ji)础(chu)(chu)能力不(bu)足导致感(gan)(gan)知(zhi)盲点(dian)(dian)、海量(liang)日(ri)志(zhi)产生噪音效应、无(wu)法保留线索、无(wu)法进一(yi)步(bu)溯源、无(wu)法定位(wei)关键威胁等(deng)一(yi)系(xi)列问题。

2.3 业界态势感知系统和产品存在的问题

从整(zheng)体(ti)上看(kan),这(zhei)种(zhong)简单的(de)基于扫描探测或者流量检(jian)测,把数据汇入(ru)到数据库(ku)中,进(jin)行(xing)简单的(de)分析(xi),并形成可视化效果的(de)态势感知面临着几个问题:

第一,并没有有效地改善用户的基础能力,它确实可以看到一些问题,但是并没有下沉的有效手段,缺少相应的打击环节去改善问题。

第二,整个采集能力依然是传统AV的文件载荷的检测能力和类似IDS的单包检测能力,并不足以支撑态势感知所需要的数据。

第三,大家看到了很多绚烂的“地图炮”,但是在这些“地图炮”上要如何进行交互操作?它除了告诉我们网络空间中有很多威胁之外,对于安全的实操价值又是什么?几年前,我们在向院士汇报时,曾信心满满地拿出一套“地图炮”,院士当时给出的评价是,我们的态势感知是有“态”无“势”的,虽然把“态”展示出来了,但是如何形成对于后续操作的指导性意见?其实是形成不了的。

第四,态势感知究竟形成了什么样的产出,这种产出应该如何落地?

三、 安天如何应对全面安全问题

在这(zhei)方面,安天(tian)也有一些(xie)自(zi)己的(de)探索和相应的(de)思考。

3.1 通过滑动标尺模型理解攻击、防御与叠加创新

当前,能力型安(an)全厂商普遍(bian)互认的公共模型——滑动标尺模型将(jiang)整个安(an)全能力体系划(hua)分为五个阶段(duan),分别(bie)是(shi)架构(gou)安(an)全、被(bei)动防(fang)御(yu)、积极(ji)防(fang)御(yu)、威(wei)胁情报和进攻。

从架构安全的角度来看,其是一个自身强身健体的过程,主要是在安全的规划和建立过程中,充分地考虑安全,这也与总书记“网络安全与信息化要同步建设”的三同步原则相对应。

从被动防御的角度来看,人们往往认为被动的就是不好的,但其实被动防御是一种非常基础的安全措施,比如,防火墙中添加的端口规则或者IP段的规则收窄了攻击者可能移动的灵活性;建立一些相应的基础日志来保证攻击者必须留下痕迹,虽然不足以用来暴露高能力的攻击者,但却是能够有效对抗高能力攻击者和落实后续安全策略的基础。

在此基础上,则包括了监测威胁、响应对抗、对威胁了解持续提升的上层积极防御手段。在此层次之上,才是威胁情报的积累,包括低阶的情报(比如,IOE的信标、哈希)和高阶威胁情报(比如,安天针对各种APT事件的分析报告)。

从国家的安全战略体系上来看,一定还要包括进攻这一部分,总书记在4.19座谈会上曾讲到“网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量”,进攻就是一种威慑能力。但从一个行业、体系或者安全产品体系的实践的角度来看,安全体系总体上是关联于架构安全、被动防御、积极防御和威胁情报的。

3.2 态势感知的价值和成本

为什么把这次会议的主题确定为“态势感知和有效防护”?我们认为这两者具有层面上的差异,同时存在着相互关联的部分。总体来看,有效防护贯穿于被动防御和积极防御等手段,实际上是用来应对架构安全层面上的缺陷,通过积极手段去弥补被动防御的不足,收窄被攻击面。而态势感知是一种上层建筑,是一种高价值的手段。那么在一定程度上,有效防护构成了态势感知的相关基础。

图 1 态势(shi)感知(zhi)的价值与成(cheng)本

3.3 以态势感知要求重构相关能力环节

态势感知与SIEM和SOC的最大差别是,态势感知的基础环节和探针应该是根据态势感知的要求重构的,而不是,现有的终端防护产品是一个杀毒软件,汇集上来的就是文件检测日志;现有的环节是一个IDS,汇集上来的就是包的检测日志。从安天的角度来看,无论是流量侧的探海、端点侧的智甲,还是分析侧的追影,都是要根据态势感知的要求在端点、流量和分析能力上建立起一套符合态势感知要求的全要素采集能力。

3.4 无效防护才是WANNYCRY暴露出的更大问题

之前很多人曾与我(wo)(wo)(wo)交流过一(yi)个问(wen)(wen)题(ti)——如(ru)何看(kan)待WannaCry事(shi)件中我(wo)(wo)(wo)们所暴露出(chu)的(de)响应问(wen)(wen)题(ti)?但以我(wo)(wo)(wo)的(de)个人观点来看(kan),在国家网信办(ban)等相关应急机(ji)(ji)构的(de)统(tong)一(yi)指导下,安天以及其(qi)他(ta)厂商针对(dui)WannaCry的(de)应急整(zheng)体(ti)上是成功的(de),我(wo)(wo)(wo)们有效地遏制了它在互联网侧的(de)大(da)规模传播,也有效地防止了大(da)面积出(chu)现周(zhou)一(yi)开机(ji)(ji)“中毒”的(de)次生灾害。

实(shi)际(ji)上(shang)(shang),无效(xiao)防(fang)护(hu)才是(shi)(shi)WannaCry事(shi)件(jian)所暴露出的(de)(de)更大(da)问题。因为(wei)WannaCry本(ben)身是(shi)(shi)一个通过(guo)安全的(de)(de)基(ji)本(ben)动作就(jiu)(jiu)应(ying)该(gai)可以防(fang)住(zhu)的(de)(de)威(wei)胁,其(qi)本(ben)身并(bing)非(fei)一个新的(de)(de)勒索软件(jian),实(shi)际(ji)上(shang)(shang)在此前(qian)已经出现过(guo)相(xiang)应(ying)的(de)(de)版本(ben)。但之所以产生(sheng)了如(ru)此大(da)的(de)(de)影(ying)响,是(shi)(shi)因为(wei)其(qi)使(shi)用(yong)了在2017年4月(yue)(yue)14日暴露的(de)(de)美(mei)方军火(huo)级的(de)(de)漏(lou)洞(dong),但早在2017年3月(yue)(yue)份,微软就(jiu)(jiu)已经针对该(gai)漏(lou)洞(dong)发布了相(xiang)关补丁(ding)。也(ye)就(jiu)(jiu)是(shi)(shi)说,在这两个月(yue)(yue)的(de)(de)时(shi)间(jian)内,受感染(ran)的(de)(de)机(ji)器都(dou)没有打上(shang)(shang)相(xiang)应(ying)补丁(ding)。

我们还需要看到一个问题,勒索软件本身并不是一种适合以应急响应方式进行处置的威胁,因为勒索软件造成的事实后果是对文件进行加密,不交付赎金,就不进行解密(但是在这次的WannaCry事件中,一方面,我们发现了其删除原来未加密文件的方式不像其他勒索软件一样非常严密,可以恢复;另外一方面,法国的研究者发现Windows加密的API具有一定的漏洞,如果没有重启,是可以部分恢复的)。对于大部分的勒索软件而言,文件恢复的有效性、内存解密的有效性其实都很小。

更有(you)甚者,通(tong)过这次针对(dui)乌克兰的(de)(de)冒充为勒索攻击(ji)的(de)(de)“必加”事件可以发(fa)(fa)现,其本身并不(bu)是(shi)为了勒索,其作业(ye)方(fang)式是(shi),生成一(yi)个(ge)自己也解密不(bu)了的(de)(de)随机密钥去(qu)加密受害者的(de)(de)文件,其目的(de)(de)就是(shi)要破坏(huai)掉整(zheng)个(ge)系统。这种(zhong)破坏(huai)一(yi)旦(dan)(dan)发(fa)(fa)生只能(neng)通(tong)过备(bei)份(fen)数据进(jin)行(xing)应(ying)急,如果没有(you)备(bei)份(fen)数据,且一(yi)旦(dan)(dan)在防护侧没有(you)达成相应(ying)的(de)(de)防护效果,整(zheng)个(ge)威(wei)胁开始发(fa)(fa)散,那么整(zheng)个(ge)应(ying)急成本将是(shi)不(bu)可收敛的(de)(de)。

可见,无效防护才是(shi)WannaCry事件所暴露出的我们当前的更大问题(ti),一旦大量(liang)事件都是(shi)因为无效防护而爆(bao)发的,那么整个压力就(jiu)将转嫁到态势感知体系(xi)和相应的研判策略上。

3.5 有效防护

此前非常流行的(de)“暗云”木(mu)(mu)马的(de)一个(ge)非常大的(de)特(te)点(dian)是(shi),它是(shi)一个(ge)拥有Bootkit机(ji)制的(de)木(mu)(mu)马家族,通(tong)过流氓劫持(chi)和(he)DDoS等方式(shi)牟利,根据安天的(de)监测,其已经在国内形(xing)成百万(wan)量级的(de)节(jie)点(dian)感染。它不仅(jin)仅(jin)通(tong)过感染MBR的(de)方式(shi)实现加载,而且具有一系列非常复(fu)杂的(de)驱动(dong)机(ji)制,可(ke)以干扰(rao)安全产品对(dui)于MBR的(de)读取和(he)处(chu)(chu)置。一旦(dan)该(gai)木(mu)(mu)马写入MBR,就(jiu)将(jiang)形(xing)成顽固(gu)感染,处(chu)(chu)置将(jiang)十分困难。

实际上(shang),任(ren)何安(an)全产品(pin)都(dou)不(bu)能保证其(qi)能够绝对地识别(bie)出(chu)哪个威胁(xie),但是我们可以提炼出(chu)相应的威胁(xie)行为(wei)。在(zai)(zai)把整个病(bing)毒(du)库关闭之后,如果在(zai)(zai)智甲的防护上(shang)来执行“暗云”木(mu)马,它就会拦截掉(diao)修改MBR的行为(wei),从而使其(qi)引(yin)导链(lian)不(bu)能成立。

3.6 防护有效性全面降低处置成本

WannaCry勒(le)索病(bing)毒并不是(shi)一种新(xin)的(de)威(wei)胁形式,而是(shi)一种从历史上一脉(mai)相(xiang)承的(de)威(wei)胁形式,只是(shi)随着近几(ji)年比特币和暗(an)网的(de)流行,才成为一种典型的(de)方式。因此,既然攻击者是(shi)要(yao)进行勒(le)索,就一定要(yao)批量地(di)进行文(wen)件操作,原则上来看,非受信(xin)程序进行批量文(wen)件操作就是(shi)一种威(wei)胁的(de)行为。

从2016年(nian)年(nian)初开始(shi),安天在智甲中就(jiu)开始(shi)内(nei)置一整(zheng)套(tao)包括行为(wei)分析、诱饵(er)文件的(de)(de)分析机(ji)(ji)制(zhi)。如果把(ba)WannaCry拿到2016年(nian)10月的(de)(de)智甲产品版本上执行,并把(ba)病(bing)毒(du)库(ku)检测都关(guan)闭(bi),则其不能(neng)实现有效的(de)(de)加密。但是(shi)如果没有前面的(de)(de)防御(yu)机(ji)(ji)制(zhi),那么在WannaCry事件发生(sheng)之后,安天所发布的(de)(de)免疫(yi)工具(ju)、内(nei)存解密工具(ju)、专杀工具(ju)等(deng)就(jiu)会带来一个非(fei)常(chang)复杂的(de)(de)响(xiang)应链。

3.7 端点有效防护

在此情况下,通过主机加固、主机的边界防御、未知威胁防御、未知威胁鉴定、APT追溯和定点清除就可以构成端点的有效防护。在一个行业体系内部,当大量的问题可以发现于防御端点时,就使得需要上层态势感知系统进行作用的相关安全事件发生全面的收敛。因此,把端点安全抛弃在态势感知之外,是非常不明智的决定,端点既是态势基础的采集支撑,同时也是态势策略有效的落实手段。

3.8 从日志留存到全要素采集

过去以SIEM和SOC为基(ji)础的(de)(de)(de)系(xi)统(tong),所依(yi)赖的(de)(de)(de)其实是(shi)日(ri)志留(liu)(liu)存。这种(zhong)日(ri)志留(liu)(liu)存的(de)(de)(de)本质,无论相应(ying)对(dui)象是(shi)一个载荷(he),还是(shi)一个数(shu)据(ju)包(bao),除了应(ying)用层的(de)(de)(de)系(xi)统(tong)日(ri)志之外,更(geng)多的(de)(de)(de)是(shi)基(ji)于检(jian)(jian)测(ce)(ce)(ce)引(yin)擎和规则(ze)库的(de)(de)(de)匹(pi)配结果。我(wo)们(men)曾多次介绍过,恶意代码的(de)(de)(de)检(jian)(jian)测(ce)(ce)(ce)其实是(shi)由归一化(hua)检(jian)(jian)测(ce)(ce)(ce)、精确检(jian)(jian)测(ce)(ce)(ce)、未知检(jian)(jian)测(ce)(ce)(ce)多个分支(zhi)共同维护的(de)(de)(de)体系(xi)。从流(liu)(liu)量上来看,安(an)天2003年的(de)(de)(de)流(liu)(liu)量检(jian)(jian)测(ce)(ce)(ce)产品所形成(cheng)的(de)(de)(de)日(ri)志,其实是(shi)围绕着五(wu)元(yuan)组和检(jian)(jian)测(ce)(ce)(ce)名称形成(cheng)的(de)(de)(de)结果,这就意味着对(dui)所有(you)检(jian)(jian)测(ce)(ce)(ce)不出来的(de)(de)(de)对(dui)象全部放行。但在如(ru)此复杂的(de)(de)(de)攻(gong)防(fang)条件下(xia),我(wo)们(men)必须假定(ding)第一攻(gong)击(ji)波是(shi)检(jian)(jian)测(ce)(ce)(ce)不出来的(de)(de)(de),就像在军事斗(dou)争中,敌人的(de)(de)(de)F-22隐形飞机飞来了,而我(wo)们(men)是(shi)发(fa)现(xian)不了的(de)(de)(de),那(nei)么我(wo)们(men)能否实现(xian)后续的(de)(de)(de)有(you)效(xiao)拦(lan)截和有(you)效(xiao)止损?

3.9 流量可靠采集

这时就产生了我们如何在流量侧进行可靠采集的问题,它不仅是传统的单包检测,其实是对IP、域名、URL、文件、会话、账户信息等形成全面的采集能力,包括流检测、包检测、信标检测、文件检测、深度检测和行为分析等,最后从态势的角度来看,形成支撑威胁信息、威胁行为和威胁分布的价值。

整(zheng)个(ge)流量(liang)采集(ji)主(zhu)要分成三个(ge)步(bu)骤(zhou):

第一,实现相应的全要素采集,即从传统的五元组采集能力扩展到如今美国人所讲的十三元组采集能力;

第二,要对大量的应用侧信息进行提取,之后进行多维度的对相应采集对象的检测;

第三,在检测本身之上还要实现基于场景赋能的深度能力赋予。

3.10 可靠采集——全要素采集

传统的(de)协议(yi)解析实际(ji)上是基于对(dui)(dui)所(suo)有不识别的(de)恶意(yi)代码一(yi)律放行而形成(cheng)简单的(de)日志;而从全(quan)要(yao)素(su)采集(ji)来看,我们实际(ji)上要(yao)实现对(dui)(dui)检测对(dui)(dui)象的(de)膨胀(zhang)化,如对(dui)(dui)http流量要(yao)从相关的(de)主(zhu)机信(xin)(xin)息、域(yu)名信(xin)(xin)息、agent等方面对(dui)(dui)大量信(xin)(xin)息进(jin)行留存(cun),如果其中有Payload,那么要(yao)对(dui)(dui)这个Payload进(jin)行进(jin)一(yi)步(bu)相应的(de)解析,无论该(gai)文件是否(fou)是恶意(yi)的(de)。

3.11 可靠采集的加工器——下一代威胁检测引擎

这种全要素采集的一个非常重要的基础加工器就是下一代威胁检测引擎。上一代威胁检测引擎的核心是,对于一个输入对象,输出一个针对该对象的鉴定结果,包括是黑还是白,如果是黑的,则名称是什么;如果是白的,则放行。对下一代威胁检测引擎而言,不存在所谓的不记录或者需要放行的对象,而是根据态势感知系统的要求对所有的对象都要进行解析。比如,过去在反病毒的实践中,我们非常看重“有毒格式”或者“无毒格式”,遇到“无毒格式”则选择跳过(比如,认为BMP、JPG是没有病毒的,那么就选择跳过)。但在如今我们看到存在大量的格式文档溢出攻击的情况下,只要会被解析到的格式就都有可能潜藏攻击,因此简单的跳过或者放行是不行的,对于此类文件,也要进行相应的全格式识别和深度的格式解析。

对于(yu)(yu)安天探(tan)海而言,其区(qu)分(fen)度有(you)两类:可(ke)(ke)识(shi)别(bie)的(de)(de)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)和不可(ke)(ke)识(shi)别(bie)的(de)(de)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)。基(ji)于(yu)(yu)大规模(mo)互(hu)联网采样的(de)(de)情况下,不可(ke)(ke)识(shi)别(bie)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)本身就意味着高风险。无论是采用AES加(jia)密的(de)(de)PE载荷投放,还是加(jia)密包的(de)(de)回传(chuan),都(dou)会走(zou)入到不可(ke)(ke)识(shi)别(bie)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)的(de)(de)分(fen)支中。那么探(tan)海既会对既有(you)的(de)(de)威胁格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)做(zuo)出更深度的(de)(de)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)解析,同时也(ye)会对现有(you)的(de)(de)“无毒(du)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)”做(zuo)出相应的(de)(de)格(ge)(ge)(ge)(ge)式(shi)(shi)(shi)(shi)解析和留存。

这就带来了下一代威胁检测的一个基础思想,即检测是一种有条件的安全手段。对于传统的威胁检测引擎而言,其工作方式是“你是好人我放行;你是坏人我拦截”,但是对下一代威胁检测引擎而言,没有简单的“好人”、“坏人”的概念,尽管会贴一个相应的标签,但即使你是个“好人”,我也要留存、解析,也要把你拆解成数百个相应的向量,从而构成一个大数据空间。

3.12 采集数据的知识化

对于每个(ge)文(wen)件,大概要采集(ji)出500个(ge)左右的向(xiang)量(liang),其中200个(ge)是由静(jing)态的检测引擎完成(cheng)的,300个(ge)是由动态的沙(sha)箱完成(cheng)的。这(zhei)其中将面临一个(ge)问题,这(zhei)些向(xiang)量(liang)对用(yong)户(hu)而言是非(fei)常(chang)难以驾(jia)驭的。在(zai)此背景下(xia),在(zai)向(xiang)量(liang)和最(zui)终判定结(jie)果之间,我们建(jian)立了一个(ge)知识层次,这(zhei)个(ge)知识层次叫(jiao)做(zuo)标签(qian)。

标(biao)(biao)签(qian)是一(yi)种可(ke)理(li)解的(de)文(wen)本短语,其(qi)(qi)代(dai)表某种向量决(jue)策逻辑(ji),这是安天(tian)对于(yu)标(biao)(biao)签(qian)的(de)一(yi)个定义(yi)。比如,“蠕虫程序(xu)”、“跨境通讯(xun)”都是安天(tian)所使用的(de)标(biao)(biao)签(qian),当一(yi)个PE出现多次自我复制的(de)情况时,就会自动在(zai)整个态(tai)势中被定义(yi)为(wei)一(yi)个“蠕虫程序(xu)”;当其(qi)(qi)源目的(de)IP跨越到境内、外时,就会被标(biao)(biao)注为(wei)“跨境通讯(xun)”。

3.13 自适应/人工的标签扩展

在此过程中,实际上可以由用户来定义一个复杂的向量逻辑,比如,定义某个格式为一个压缩包,格式中存在一个扩展名为.js的脚本,这是一个用户可以自行去维护的规则。过去,几乎所有的产品都不具备用户自行维护的能力,最多是可以让用户添加一个Hash或者IP地址,想要添加深度的像决策树似的规则是不可能的。而安天则可以自动地去扩展相应的人工标签,包括正在形成一些自适应的标签扩展能力,其概念是,不仅可以添加深度的规则,同时可以添加知识。

3.14 基于可靠采集的威胁追踪

最后我们要达(da)成(cheng)一(yi)(yi)(yi)(yi)个(ge)效(xiao)果,基于流量(liang)侧和端点侧全量(liang)的(de)数据采集或者定制化的(de)数据采集,形成(cheng)了安全分析的(de)大(da)数据空间,而(er)在此空间中(zhong),通过各(ge)种向量(liang)级的(de)线索,不是简单的(de)哈希(xi)值或者IP地址,而(er)是类似一(yi)(yi)(yi)(yi)个(ge)互斥链、一(yi)(yi)(yi)(yi)个(ge)在样本中(zhong)出现的(de)字(zi)符串,一(yi)(yi)(yi)(yi)个(ge)PDB路径等,就可以完成(cheng)追(zhui)溯(su)。

3.15 视角:从以事件为中心到以资产为中心

从安天对于态势的理解来看,我们已经深入地感觉到仅仅在一个大的地理场景上去展示一个“地图炮”是不够的,这种“地图炮”除了能够证明威胁是在发生之外,不存在其他价值。而我们是要从认识论视角把传统的态势感知以相应的事件积累和在地图上进行标注为中心延展到以资产评价为中心,其核心就是通过把相关的有效采集转化成一种对资产进行画像的过程,评价出资产的信誉,从而构成一种空间的表达,这种表达可能包括以拓扑为中心、以管理者为中心和以地理位置为中心(比如大规模机房)。在此情况下,就相当于把相关的属性视为一个图层,在其中导入各种条件作为线索,进行相应的威胁分析,从而把宏观的态势展现转化为中观和微观的安全分析。

3.16 视角:从威胁检测到威胁认知的提升

安天对于某(mou)个威胁(xie)的完(wan)整认(ren)知包括了(le)九个维度:

第一,载荷。是否使用了相应的可执行程序、脚本程序或者其他的数据体。

第二,行为。在相关主机或者网络上的动作是什么。

第三,资源。使用了哪些IP地址或者相应的硬件设施。

第四,攻击装备。是否使用了其他配套的攻击平台,比如,Cobalt Strike以及“方程式”组织所使用的攻击平台等。

第五,攻击者。发动攻击的是某一个个体、某一个黑客、某一个无政府组织,还是某一个政府机构。

第六,意图。其攻击意图是什么?是为了窃密、通过环境预制干扰我们的基础设施,还是仅仅为了牟利或者有趣?

第七,被攻击者。被攻击者是谁?

第八,资产。受到影响的资产是什么?

第九,后果。对于这种攻击的后果应该如何评价?应该如何定损和量损?

这就(jiu)构(gou)成了一(yi)个(ge)(ge)从威(wei)(wei)胁检测(ce)提升到威(wei)(wei)胁认知(zhi)的(de)维度。当然,完(wan)(wan)成这样一(yi)个(ge)(ge)威(wei)(wei)胁认知(zhi),是需要一(yi)个(ge)(ge)完(wan)(wan)整(zheng)的(de)知(zhi)识(shi)体系演进作为支撑的(de)。

3.17 面向资产的可视化管理

那么在此情况下,态势感知的可视化不再是简单的在地图上打来打去,而是面向资产和业务体系的可视化管理,包括了业务系统态势、设备资产态势、脆弱性态势、业务流程态势等,能够与相关应用更好地融合。

3.18 价值:网络威胁情报生产

态势感知如何实现有效的价值落地,是否仅是形成一些专报或者顶层决策?我认为态势感知体系本身也可以回馈于相关的防护产品和感知探针,可以建立起基于厂商赋能的自维护能力。

从威胁情报(bao)(bao)的(de)生(sheng)产(chan)过程来看,基于(yu)流(liu)量侧(ce)、终端侧(ce)、爬(pa)虫或者蜜网形成的(de)感(gan)(gan)知环(huan)节,在进行黑白判断之后(hou),除了文(wen)件的(de)标识和(he)传统的(de)检测特(te)征(zheng)提(ti)取外,也(ye)会(hui)生(sheng)成相(xiang)应(ying)的(de)网络特(te)征(zheng)和(he)C2规(gui)则(ze)。由于(yu)网络特(te)征(zheng)和(he)C2规(gui)则(ze)是高度动态的(de),很多人将其视(shi)为一种威胁情报(bao)(bao),而这(zhei)种情报(bao)(bao)就(jiu)可以应(ying)用于(yu)感(gan)(gan)知、预警、取证和(he)追溯等环(huan)节中。

在此情况(kuang)下,当一(yi)个态势感知系统的(de)后端(duan)部(bu)(bu)署(shu)了自身的(de)分(fen)析环节之后,比(bi)如,对追影(ying)自动化(hua)(hua)分(fen)析系统进行(xing)集群化(hua)(hua)部(bu)(bu)署(shu),就可以每日分(fen)析几(ji)万到十几(ji)万,甚至几(ji)十万的(de)样本,在此过程中,可以自行(xing)完成上述的(de)威胁情报生产过程,生成内容规则、网络特(te)征和C2规则等。

相关的态势感知使用方,比如,网信办或者其他机构,就可以在不依赖于安全厂商的基础上形成向相关探针和检测环节推送相关规则的能力,从而使深度的客户赋能达成私有化的安全知识与相应的经验。我们的客户可以通过相关的系统在完全不需要我们支持的情况下实现家族识别、威胁情报提取、监测,并最后达成案件破获的目标。

四、 安天简介

4.1 我们最了解对手

如果进行相关的(de)(de)网络查证可以发现,安天所发布的(de)(de)境外对我(wo)的(de)(de)攻击(ji)报告是(shi)最丰(feng)富(fu)的(de)(de),安天是(shi)立足于对手(shou)情报级别的(de)(de)手(shou)段来(lai)建(jian)立自身防御产品能力(li)的(de)(de),这就是(shi)我(wo)们的(de)(de)产品与寻常的(de)(de)和日常黑产作斗争的(de)(de)产品的(de)(de)能力(li)差异。

4.2 对手最关注我们

2007年(nian),美国(guo)(guo)(guo)的(de)(de)CamberDaDa计划把(ba)安(an)(an)天(tian)(tian)列为唯(wei)一需要(yao)关注的(de)(de)中国(guo)(guo)(guo)厂(chang)商(shang)(shang)。除此之外(wai),安(an)(an)天(tian)(tian)还取(qu)得了中国(guo)(guo)(guo)安(an)(an)全厂(chang)商(shang)(shang)的(de)(de)首个国(guo)(guo)(guo)际权威(wei)测评(ping)机构的(de)(de)年(nian)度(du)奖项(xiang),也(ye)是迄(qi)今为止唯(wei)一曾经排(pai)入过网络空(kong)间(jian)安(an)(an)全创(chuang)新(xin)百强(qiang)的(de)(de)中国(guo)(guo)(guo)厂(chang)商(shang)(shang)。2016年(nian)12月22日(ri),境外(wai)的(de)(de)一篇分析(xi)(xi)(xi)报告对中国(guo)(guo)(guo)网络空(kong)间(jian)安(an)(an)全协会进(jin)行了相应(ying)的(de)(de)解析(xi)(xi)(xi),安(an)(an)天(tian)(tian)是其唯(wei)一做出段落性(xing)全面解析(xi)(xi)(xi)的(de)(de)中国(guo)(guo)(guo)厂(chang)商(shang)(shang),在(zai)报告中,其指出“安(an)(an)天(tian)(tian)是中国(guo)(guo)(guo)支撑APT攻(gong)击分析(xi)(xi)(xi)的(de)(de)支点(dian)型厂(chang)商(shang)(shang)”。

4.3 我们拥有完整的自主产品和核心技术体系

安天拥有非常完整的(de)坚持十(shi)七(qi)年自主研发所形成的(de)自主产品和核心技术体系,包括相(xiang)应的(de)产品矩阵、服务能(neng)力和以上层的(de)态势感知(zhi)和网络靶场为(wei)主导的(de)解决方案。

五、 结束语——我们担当使命

2016年(nian)4月19日(ri)和5月25日(ri),我两次有(you)幸作为(wei)安(an)天人的(de)代表(biao)见到总书(shu)记,聆听总书(shu)记的(de)教诲。作为(wei)总书(shu)记所说的(de)民(min)营企业中的(de)国家队,安(an)天愿(yuan)意担当网络安(an)全的(de)使命。