美国FBI(联邦调查局)一位高管曾说:世界上只有两种企业,一种是知道自己已被黑客APT入侵的;另一种是还浑然未知的。
APT指高级持续性威胁(Advanced Persistent Threat),它的“高级”在于“用间谍打头阵”。例如,谷歌遭受的著名的“极光行动”中,黑客研究了一位谷歌普通员工与好友的共同爱好,伪装成其好友向其发送邮件,员工访问邮件后中招,谷歌内部终端被未知恶意程序渗透数月,窃取了大量信息。
“它潜伏下来,不做什么坏事,每天像正常‘员工’一样来系统‘上班’,慢慢的传统安全体系会认为它并没有攻击的属性。”亚信安全通用安全产品总经理童宁解释,APT的善伪装、善潜伏、伺机而动,让网络安全的“老三样”(防火墙、入侵检测、杀毒软件)防不胜防,迫切需要一种全新的网络安全治理策略。为此,近日亚信安全发布安全高级威胁治理XDR战略,将发现、响应等能力组合起来,从监测、发现、验伤、应对、止损等多个节点上加强安全治理,打出安全“组合拳”,拆穿黑客中的间谍组织以及背后的主脑“黑手”。
攻击手段“大集锦”,辨识黑客“门派”
现实中的案件发生后,警方会把周边的摄像头数据全部调出来,关联一下,找到人物和时间线索,很快可以抓到罪犯。但是在虚拟的网络环境里,人们看不到人,看到的只有程序、算法、文件等虚拟的字符串,如何锁定黑客呢?
“不同的黑客有不同的‘招法’,就像我们在武侠故事里经常看到的每一个派别都有自己的招法,其实在安全行业里面也是这样,一个黑客是哪个组织的,可以通过看他的攻击手法和特征来判断。”亚信安全通用产品管理副总经理刘政平说,因此针对黑客的行为去建立一些模型或者规则,可以对黑客的攻击进行分析判断,这样的研究被称为IOC,即黑客攻击行为的研究。因此,情报机制非常重要,“虽然黑客在暗、我们在明,但将他们的蛛丝马迹综合起来,将非常有助于对未知威胁的防范。”
一个企业对于威胁的侦测能力与其掌握的威胁情报体量和分析威胁情报的能力密切相关。这就好比一个人的知识广度和分析能力决定了他的认知能力。如何能够对于威胁既不“风声鹤唳”,也不“马虎大意”呢?
为了更准确预测黑客试探背后的威胁,亚信安全形成了本地和云端威胁情报双回路的体系。刘政平解释,比如当企业中有大量的网络数据流,或者恶意文本,该体系可以据此通过威胁情报去检索,看看这种东西有没有在企业其他地方出现过、发生过,它的攻击本质是什么,如何预防。如果本地没有匹配的威胁情报,将进一步把这些异常表现放到云端威胁情报库匹配,寻找蛛丝马迹。“前者是基于我们帮助企业来做相关的知识库和知识体系;后者是购买、共建的全球范围情报体系。”刘政平说,这两个体系互为补充、互通有无。当本地威胁情报确认后,会交给云端威胁情报共享给全球的其他用户使用。其他用户的本地情报也会参与组建威胁情报,共享共用。
练就“火眼金睛”,定性、定量查出真威胁
有安全人士慨叹:有了APT,网络的世界也不再是“非黑即白”了。
以往的病毒就是病毒,它们的特征会被集合进病毒库,列进“黑名单”中。系统不断更新病毒库,就能不断识别这些被通缉的“病毒”。“人们越来越认识到,防范已知威胁远远不够,未知威胁、高级威胁开始对我们的企业产生巨大的破坏。”亚信安全产品总监白日说,例如,伊朗布什尔核电站遭到Stuxnet蠕虫攻击、乌克兰电厂的勒索病毒爆发……这意味着杀毒软件、身份认证、防火墙的“防守打法”开始不奏效了。
2010年开始,包括机器学习、行为学习、大数据、关联分析在内的可预测技术开始帮助人们发现未知的可疑威胁。然而,单纯地发现带来的是“告警”无数的窘况。
“就好像每天有无数的嫌犯进入警察的视野,怎么分辨转变成主要问题。”白日说,企业需要处理和响应的威胁告警越来越多,相当大部分需要人工进行干预。企业的痛点是,人力不够,不会处理。
“企业看到了告警,但看不懂威胁,不知道该如何判断威胁是不是真实发生了,也不知道该怎么去确认这个威胁的本质,弄清威胁的攻击者有什么意图,随后会产生什么样的影响。”白日解释,也就是说,大部分收到威胁告警的企业不知道下一步怎么去作定性和定量的分析,定性是弄清楚黑客的意图,定量是弄清损失情况及被攻击到哪一步。
“定性分析首先判断告警是真还是假;其次判断威胁的本质是经济类的犯罪,还是民事类的犯罪,例如类似于加密DDoS软件攻击,还是一个恶意钓鱼的攻击,或挖矿攻击等,通过攻击模式判断意图。”白日解释,深度威胁分析设备可以在沙箱的环境下,高效率地模拟运行外部攻击,判断攻击意图。
定量分析通过网络取证和主机取证的技术,把黑客的进入路径、留下的痕迹进行追踪和分析。白日解释,就如同在小区的摄像头上发现黑客进入到小区之后怎么进入到家里,又做了什么事情一样,还原事件的经过。通过进行场景回溯,能够得知网络上的主机或者终端遭受哪些感染、破坏或窃取。
精密编排“预案”,迅速应急处理
掌握了一切情报,并且还原了案件的发生,最终是为了实施“抓捕”。
“为了做到快速响应必须有‘预案’,我们可以根据威胁的性质,通过威胁响应的脚本来执行相关的响应策略。”童宁解释,例如接到了加密的勒索邮件攻击,可以先到邮件服务器上把相关的邮件删除,然后通过终端(电脑)来做进一步的恢复处理,最后再在网关上建“防护网”防止类似的加密勒索邮件再次攻击。
“预案”是为了告诉企业,在受到某类攻击之后,按照一定的流程操作就可以把损失或影响减到最小,并且提高自身的防护能力。
“我们提出通过精密编排能力打造一套安全联动运维体系的理念。”白日表示,利用精密编排的联动安全解决方案将安全产品以及安全流程连接和整合起来,通过全面收集的安全数据和告警,集成人工专家以及机器学习的力量来进行事故分析。
为此,亚信安全提出将整个威胁发现、处理、响应流程中的“准备、发现、分析、遏制、消除、恢复、优化”7个阶段整合为XDR方案。
刘政平解释:“X是指各种可能的场景,不管黑客在什么场景攻击,工业还是车联网,都要有相应的应对方式。D是指传感器,在虚拟世界,不管是在云的架构上,还是网络架构上,还是在终端层面,都要有不同的监控机制和数据的还原机制。R是指响应,通过精密编排,根据不同的业务特征、不同的攻击来编排精准的响应,而且越来越倾向于自动化。”
什么样的技术能让响应来得更快、更简单?
童宁认为,“红客”经验的积累和提炼,所形成的响应预案将能够推动APT治理能力的进化。“XDR是一个开放的方案,需要未来更多的经验、数据和技术的积累,目的是用融合力改变业内分散片面的堆叠式的安全应对‘招数’,形成‘组合拳’,应对处心积虑的APT。”