四類APT安全解決方案面面觀
來源:CCTIME飛象網(wǎng)
摘要: 今年的全球著名信息安全峰會RSA2013共有350家安全廠商參展,,廠家數(shù)量超過了以往的RSA年會,。單從技術(shù)熱點(diǎn)來看,,這兩年的RSA峰會熱點(diǎn)并沒有太多變化,,依然還是圍繞數(shù)據(jù)安全,、企業(yè)安全管理、合規(guī)性,、應(yīng)用程序安全,、DLP等熱點(diǎn),而圍繞數(shù)據(jù)和企業(yè)安全的APT檢測成為了今年RSA大會的最熱門話題,。
Abstract:
Key words :
今年的全球著名信息安全峰會RSA2013共有350家安全廠商參展,,廠家數(shù)量超過了以往的RSA年會。單從技術(shù)熱點(diǎn)來看,,這兩年的RSA峰會熱點(diǎn)并沒有太多變化,,依然還是圍繞數(shù)據(jù)安全、企業(yè)安全管理,、合規(guī)性,、應(yīng)用程序安全、DLP等熱點(diǎn),,而圍繞數(shù)據(jù)和企業(yè)安全的APT檢測成為了今年RSA大會的最熱門話題,。
APT攻擊是近幾年來出現(xiàn)的一種高級攻擊,具有難檢測,、持續(xù)時間長和攻擊目標(biāo)明確等特征,。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御APT方面效果很不理想,因此,,各安全廠商都在研究新的方法并提出了多種多樣的解決方案,。筆者在今年RSA峰會現(xiàn)場收集了各安全廠商所宣傳的APT安全解決方案并進(jìn)行了梳理。在下文中,,我們先回顧一下整個APT攻擊過程,,對APT安全解決方案進(jìn)行分類,再介紹一些代表性廠商的APT安全解決方案,最后給出我們的建議,。
APT攻擊過程分解
整個APT攻擊過程包括定向情報收集,、單點(diǎn)攻擊突破、控制通道構(gòu)建,、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟:
1,、定向情報收集,即攻擊者有針對性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息,。信息搜集方法很多,,包括網(wǎng)絡(luò)隱蔽掃描和社會工程學(xué)方法等。從目前所發(fā)現(xiàn)的APT攻擊手法來看,,大多數(shù)APT攻擊都是從組織員工入手,,因此,攻擊者非常注意搜集組織員工的信息,,包括員工的微博,、博客等,以便了解他們的社會關(guān)系及其愛好,,然后通過社會工程方法來攻擊該員工電腦,,從而進(jìn)入組織網(wǎng)絡(luò)。
2,、單點(diǎn)攻擊突破,,即攻擊者收集了足夠的信息后,采用惡意代碼攻擊組織員工的個人電腦,,攻擊方法包括:1)社會工程學(xué)方法,,如通過email給員工發(fā)送包含惡意代碼的文件附件,當(dāng)員工打開附件時,,員工電腦就感染了惡意代碼,;2)遠(yuǎn)程漏洞攻擊方法,比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬,,當(dāng)員工訪問該網(wǎng)站時,,就遭受到網(wǎng)頁代碼的攻擊,RSA公司去年發(fā)現(xiàn)的水坑攻擊(Wateringhole)就是采用這種攻擊方法,。這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞,,現(xiàn)有殺毒和個人防火墻安全工具無法察覺,最終結(jié)果是,,員工個人電腦感染惡意代碼,,從而被攻擊者完全控制。
3,、控制通道構(gòu)建,,即攻擊者控制了員工個人電腦后,,需要構(gòu)建某種渠道和攻擊者取得聯(lián)系,以獲得進(jìn)一步攻擊指令,。攻擊者會創(chuàng)建從被控個人電腦到攻擊者控制服務(wù)器之間的命令控制通道,,這個命令控制通道目前多采用HTTP協(xié)議構(gòu)建,以便突破組織的防火墻,,比較高級的命令控制通道則采用HTTPS協(xié)議構(gòu)建,。
4、內(nèi)部橫向滲透,,一般來說,,攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的,它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器,,因此,,攻擊者將以員工個人電腦為跳板,在系統(tǒng)內(nèi)部進(jìn)行橫向滲透,,以攻陷更多的PC和服務(wù)器,。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。
5,、數(shù)據(jù)收集上傳,,即攻擊者在內(nèi)部橫向滲透和長期潛伏過程中,有意識地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn),,進(jìn)行壓縮、加密和打包,,然后通過某個隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者,。
APT檢測和防御方案分類
縱觀整個APT攻擊過程發(fā)現(xiàn),有幾個步驟是APT攻擊實(shí)施的關(guān)鍵,,包括攻擊者通過惡意代碼對員工個人電腦進(jìn)行單點(diǎn)攻擊突破,、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令,,以及最后的敏感數(shù)據(jù)外傳等過程,。當(dāng)前的APT攻擊檢測和防御方案其實(shí)都是圍繞這些步驟展開。我們把本屆RSA大會上收集到的APT檢測和防御方案進(jìn)行了整理,,根據(jù)它們所覆蓋的APT攻擊階段不同,,將它們分為以下四類:
1、惡意代碼檢測類方案:該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破階段,,它是檢測APT攻擊過程中的惡意代碼傳播過程,。大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個人電腦,從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的,,因此,,惡意代碼檢測對于檢測和防御APT攻擊至關(guān)重要,。很多做惡意代碼檢測的安全廠商就是從惡意代碼檢測入手來制定其APT檢測和防御方案的,典型代表廠商包括FireEye和GFISoftware,。
2,、主機(jī)應(yīng)用保護(hù)類方案:該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個人電腦發(fā)送惡意代碼,,這個惡意代碼必須在員工個人電腦上執(zhí)行才能控制整個電腦,。因此,如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施,,確保員工個人電腦以及服務(wù)器的安全,,則可以有效防御APT攻擊。很多做終端和服務(wù)器安全的廠商就是從這個角度入手來制定APT檢測和防御方案的,,典型代表廠商包括Bit9和趨勢科技,。
3、網(wǎng)絡(luò)入侵檢測類方案:該類方案主要覆蓋APT攻擊過程中的控制通道構(gòu)建階段,,通過在網(wǎng)絡(luò)邊界處部署入侵檢測系統(tǒng)來檢測APT攻擊的命令和控制通道,。安全分析人員發(fā)現(xiàn),雖然APT攻擊所使用的惡意代碼變種多且升級頻繁,,但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化,,因此,可以采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道,。該類方案成功的關(guān)鍵是如何及時獲取到各APT攻擊手法的命令控制通道的檢測特征,。很多做入侵檢測網(wǎng)關(guān)的廠商就是從這個角度入手來制定APT攻擊防御方案的,典型代表廠商有啟明星辰,、飛塔等,。
4、大數(shù)據(jù)分析檢測類方案:該類方案并不重點(diǎn)檢測APT攻擊中的某個步驟,,它覆蓋了整個APT攻擊過程,。該類方案是一種網(wǎng)絡(luò)取證思路,它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志,,然后進(jìn)行集中的海量數(shù)據(jù)存儲和深入分析,,它可在發(fā)現(xiàn)APT攻擊的一點(diǎn)蛛絲馬跡后,通過全面分析這些海量數(shù)據(jù)來還原整個APT攻擊場景,。大數(shù)據(jù)分析檢測方案因?yàn)樯婕昂A繑?shù)據(jù)處理,,因此需要構(gòu)建大數(shù)據(jù)存儲和分析平臺,比較典型的大數(shù)據(jù)分析平臺有Hadoop,。很多做大數(shù)據(jù)分析和日志分析的廠商都是從這個角度入手來制定APT攻擊檢測防御方案的,,典型的廠商有RSA和SOLERA。
典型APT檢測和防御產(chǎn)品
FireEye惡意代碼防御系統(tǒng)
FireEye可以說是本次RSA大會上最火的公司,,它所推出的基于惡意代碼防御引擎的APT檢測和防御方案最引人矚目,。FireEye的APT安全解決方案包括MPS(MalwareprotectionSystem)和CMS(CentralManagement System)兩個組件,,其中MPS是惡意代碼防護(hù)引擎,它是一個高性能的智能沙箱,,可直接采集網(wǎng)絡(luò)流量,,抽取所攜帶文件,然后放到沙箱中進(jìn)行安全檢測,;CMS是集中管理系統(tǒng)模塊,,它管理系統(tǒng)中各MPS引擎,同時實(shí)現(xiàn)威脅情報的收集和及時分發(fā),。FireEye的MPS引擎有以下特點(diǎn):1)支持對Web,、郵件和文件共享三種來源的惡意代碼檢測;2)對于不同來源的惡意代碼,,采取專門MPS硬件進(jìn)行專門處理,,目的是提高檢測性能和準(zhǔn)確性;3)MPS支持除可執(zhí)行文件之外的多達(dá)20種文件類型的惡意代碼檢測,;4)MPS可支持旁路和串聯(lián)部署,,以實(shí)現(xiàn)惡意代碼的檢測和實(shí)時防護(hù);5)MPS可實(shí)時學(xué)習(xí)惡意代碼的命令和控制信道特征,,在串聯(lián)部署模式可以實(shí)時阻斷APT攻擊的命令控制通道,。CMS除了對系統(tǒng)中多個MPS引擎進(jìn)行集中管理外,還可以連接到云中的全球威脅情報網(wǎng)絡(luò)來獲取威脅情報,,并支持將檢測到的新型惡意代碼情報上傳到云中,,以實(shí)現(xiàn)威脅情報的廣泛共享。此外,,F(xiàn)ireEye還可以和其它日志分析產(chǎn)品結(jié)合起來,,形成功能更強(qiáng)大的信息安全解決方案。FireEye被認(rèn)為是APT安全解決方案的佼佼者,,其產(chǎn)品被很多500強(qiáng)企業(yè)采購。
Bit9的可信安全平臺
Bit9可信安全平臺(Trust-basedsecurityPlatform)使用了軟件可信,、實(shí)時檢測審計和安全云三大技術(shù),為企業(yè)網(wǎng)絡(luò)提供網(wǎng)絡(luò)可視,、實(shí)時檢測、安全保護(hù)和事后取證等四大安全功能,,從而可以檢測和抵御各種高級威脅和惡意代碼,。Bit9解決方案核心是一個基于策略的可信引擎,管理員可以通過安全策略來定義哪些軟件是可信的,。Bit9可信安全平臺默認(rèn)假設(shè)所有軟件都是可疑和禁止加載執(zhí)行的,,只有那些符合安全策略定義的軟件才被認(rèn)為可信和允許執(zhí)行。Bit9可以基于軟件發(fā)布商和可信軟件分發(fā)源等信息來定義軟件的可信策略,,同時,,bit9還使用安全云中的軟件信譽(yù)服務(wù)來度量軟件可信度,,從而允許用戶下載和安裝可信度較高的自由軟件。這種基于安全策略的可信軟件定義方案其實(shí)是實(shí)現(xiàn)了一個軟件白名單,,只有那些在軟件白名單中的應(yīng)用軟件才可以在企業(yè)計算環(huán)境中執(zhí)行,,其它則是禁止執(zhí)行的,從而保護(hù)企業(yè)的計算環(huán)境安全,。Bit9解決方案還包括一個可安裝在每個終端和服務(wù)器上的輕量級實(shí)時檢測和審計模塊,,它是實(shí)現(xiàn)實(shí)時檢測、安全防護(hù)和事后取證的關(guān)鍵部件,。Bit9的實(shí)時檢測和審計模塊將幫助你獲得對整個網(wǎng)絡(luò)和計算環(huán)境的全面可視性,,通過它你可以實(shí)時了解到各終端和服務(wù)器的設(shè)備狀態(tài)和關(guān)鍵系統(tǒng)資源狀態(tài),可以看到各終端上的文件操作和軟件加載執(zhí)行情況,;同時,,實(shí)時檢測和審計模塊還審計終端上的文件進(jìn)入渠道、文件執(zhí)行,、內(nèi)存攻擊,,進(jìn)程行為、注冊表,、外設(shè)掛載情況等等,。Bit9解決方案還包括一個基于云的軟件信譽(yù)服務(wù),它通過主動抓取發(fā)布于互聯(lián)網(wǎng)上的軟件,,基于軟件發(fā)布時間,、流行程度、軟件發(fā)布商,、軟件來源以及AV掃描結(jié)果計算各軟件信譽(yù)度,。Bit9解決方案還支持從其它惡意代碼檢測廠商(比如FireEye)處獲取文件哈希列表,從而可以識別更多的惡意代碼和可疑文件,。
趨勢科技DeepDiscovery
趨勢科技的DeepDiscovery專門為APT攻擊檢測而設(shè)計,,它采用網(wǎng)絡(luò)入侵檢測技術(shù)來檢測APT攻擊的命令控制通道,同時,,還可以通過在入侵檢測引擎上部署惡意代碼檢測沙箱來彌補(bǔ)傳統(tǒng)特征攻擊檢測的不足,。DeepDiscovery方案包括檢測、分析,、調(diào)整,、響應(yīng)四個步驟。產(chǎn)品形態(tài)上包括Inspector和Advisor兩個組件,。Inspector是個網(wǎng)絡(luò)入侵檢測引擎,,依據(jù)獲取的威脅情報信息來檢測APT攻擊過程中的命令控制通道,Inspector可以通過Advisor及時獲取到趨勢科技的全球威脅情報信息,,以便及時檢測到各種新型的APT攻擊命令控制通道,;同時,,Inspector還包括一個VirtualAnalyzer組件,它是一個智能沙箱,,用來分析捕獲的惡意代碼,。Adivsor為一個管理組件,可以實(shí)現(xiàn)對各Inspector引擎的集中管理,;同時,,它還包括一個可選的惡意代碼分析引擎,可以接收來自檢測引擎的惡意代碼,,從而實(shí)現(xiàn)惡意代碼的集中分析,;此外,Advisor還承擔(dān)了威脅情報的實(shí)時收集和分發(fā)工作,,以實(shí)現(xiàn)各Inspector引擎之間威脅情報的廣泛共享,。
RSA的NetWitness
RSANetWitness是一款革命性的網(wǎng)絡(luò)安全監(jiān)控平臺,它可為企業(yè)提供發(fā)生在網(wǎng)絡(luò)中任何時間的網(wǎng)絡(luò)安全態(tài)勢,,從而協(xié)助企業(yè)解決多種類型的信息安全挑戰(zhàn),。RSANetWitness是一組軟件集合,針對APT攻擊的檢測和防御則主要由Spectrum,、Panorama和Live三大組件實(shí)現(xiàn),,其中,RSA NetWitness Spectrum是一款安全分析軟件,,專門用來識別和分析基于惡意軟件的企業(yè)網(wǎng)絡(luò)安全威脅,,并確定安全威脅的優(yōu)先級;RSA NetWitness Panorama通過融合成百上千種日志數(shù)據(jù)源與外部安全威脅情報,,從而可可以實(shí)現(xiàn)創(chuàng)新性信息安全分析,;RSA NetWitness Live是一種高級威脅情報服務(wù),通過利用來自全球信息安全界的集體智慧和分析技能,,可以及時獲得各APT攻擊的威脅情報信息,,極大縮短了針對潛在安全威脅的響應(yīng)時間。RSA NetWitness具有以下特點(diǎn):1)可對所有網(wǎng)絡(luò)流量和各網(wǎng)絡(luò)服務(wù)對象的離散事件進(jìn)行集中分析,,實(shí)現(xiàn)對網(wǎng)絡(luò)的全面可視性,,從而獲得整個網(wǎng)絡(luò)的安全態(tài)勢;2)可以識別各種內(nèi)部威脅,、檢測零日漏洞攻擊、檢測各種定向設(shè)計的惡意代碼和檢測各種APT攻擊事件和數(shù)據(jù)泄密事件,;3)可對所捕獲的網(wǎng)絡(luò)和日志數(shù)據(jù)進(jìn)行實(shí)時上下文智能分析,,從而為企業(yè)提供可行動的安全情報信息;4)可以借助NetWitness監(jiān)控平臺的可擴(kuò)展性和強(qiáng)大分析能力來實(shí)現(xiàn)過程自動化,,從而減少安全事件響應(yīng)時間,,并對變化的安全威脅做出及時調(diào)整,。
縱觀RSA2013大會上參展的主流APT攻擊檢測和方案后發(fā)現(xiàn),目前各廠家所推出的APT檢測防御方法都具有一定的局限性,,主要表現(xiàn)為:很多APT攻擊檢測和防御方案都只能覆蓋到APT攻擊的某個階段,,從而可能導(dǎo)致漏報;很多APT安全解決方案只能檢測APT攻擊,,并沒有提供必要的APT攻擊實(shí)時防御能力,。我們認(rèn)為,理想的APT安全解決方案應(yīng)該覆蓋APT攻擊的所有攻擊階段,,也就是說,,我們的APT安全解決方案應(yīng)該包括事前、事中和事后三個處置階段,,從而可能全面的檢測和防御APT攻擊,。理想APT安全解決方案應(yīng)該同時具有檢測和實(shí)時防御能力,大數(shù)據(jù)分析和入侵檢測防御技術(shù)相結(jié)合,,大數(shù)據(jù)智能分析平臺應(yīng)該是APT安全解決方案的核心,,實(shí)現(xiàn)對APT攻擊事件的事后分析和情報獲取,;同時,,還應(yīng)該配合主機(jī)應(yīng)用控制、實(shí)時惡意代碼檢測和網(wǎng)絡(luò)入侵防御等技術(shù),,以實(shí)現(xiàn)對APT攻擊的時間檢測和防御,。各APT安全廠商也已經(jīng)注意到這個問題,開始通過合作或者完善自身技術(shù)方法來改進(jìn)自己的APT檢測和防御方案,,以彌補(bǔ)其不足,,比如,Junior和RSA近期宣布在威脅情報共享上達(dá)成合作協(xié)議,,Junior的安全產(chǎn)品可以使用RSANetWitnessLive提供的安全威脅情報信息,,從而提升其安全網(wǎng)關(guān)的檢測能力;Bit9的可信安全平臺可以和FireEye產(chǎn)品集成,,利用FireEye高性能智能沙箱和上億的惡意代碼庫識別惡意代碼,,從而更有效地保障主機(jī)終端的安全;FireEye的惡意代碼防御引擎可以和第三方的安全事件分析平臺(SIEM)進(jìn)行集成,,從而可以實(shí)現(xiàn)對APT攻擊的事后分析和取證,。(啟明星辰葉潤國)
此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載,。