1 新型威脅的應對之策

1.1 總體思路

2011年7月13日～14日，RSA與TechAmerica舉辦一次針對APT的閉門峰會。有大約100位CISO，CIO和CEO參加，涵蓋政府、金融、制造、醫藥、技術、服務業等多個領域。在峰會上，與會專家總結了應對APT的10條共識：

1) 攻擊手段已經從技術延伸到人。社會工程學是第一位的威脅向量。人成為了新的網絡邊界，只要給定恰當的上下文，任何人都可能成為釣魚受害者。而傳統的對人員進行安全意識培訓的方法也不足以應付釣魚攻擊。

2) 組織必須學會在已經遭受攻擊的情況下生存。阻止攻擊者進來是不現實的，更現實的做法是規劃好在攻擊者已經進來后應該采取什么響應動作。組織應該將重點放在如何盡快關閉遭受破壞的時間窗口，降低損失上，例如隔離系統、阻止敏感信息外泄，以及回到諸如“最小特權”、“縱深防御”這些核心的IT安全原則上來。防御的關鍵在于找到本組織中最核心最的、最需要受到保護的資產，清楚地知道這些資產在哪兒，誰對他進行了訪問，在出現攻擊的時候如何將資產隔離(鎖定);

3) 要提前監測出威脅必須依靠態勢感知，尤其是需要更大范圍的態勢感知，不能只關注于自身網絡中的態勢，而要關注與自身網絡相關的整個生態系統的態勢。企業間合作共享十分重要。

4) 利用供應鏈發起攻擊的情況正在抬頭，供應鏈正在成為安全防御中的最薄弱環節，攻擊者正在通過研究和收集可信供應商的弱點來發起攻擊。而對供應商的安全檢測是一個巨大的挑戰。可以借助一些方法，例如信譽評級、第三方審計、外部監測等。

5) 突發事件響應應該是整個組織的事情，而非純安全的事，并且要事先就制定好應對APT的突發事件響應程序/計劃，并做好演練。

6) 定制化——作為APT的一個重要特點——是對傳統的基于簽名(特征)的檢測方法的重大挑戰。定制化即意味著攻擊的目的性極強，并且利用0day包裝出一個攻擊的速度極快，而研究出這個漏洞的簽名(特征)則慢得多。

7) 目前攻擊方在實時情報共享方面做的比防御者更好。防御者在情報共享方面存在諸多障礙。而快速有效的情報共享是目前的第一要務。

8) 組織必須積極主動地去盡早發現攻擊，并用各種方式破壞攻擊鏈條(路徑)。

9) 現在公開出來的APT攻擊僅僅是冰山一角。同時，除了關注數據竊取，還要關注其他目的的APT攻擊，例如poisoning, disruption，embarrassment 。

10) 簡單的安全才是更好的安全。我們要簡化我們的技術環境(IT基礎架構)，只有更好的理解資產、流程和端點(終端)才有機會進行真正的防御。使用最小的技術去達成一個目標。

2012年8月，RSA發布了著名的報告——《當APT成為主流》。報告提及了現在組織和企業中現有的安全防護體系存在一些缺陷，導致很難識別APT攻擊。現有的防護體系包括FW，AV，IDS/IPS，SIEM/SOC，以及CERT和組織結構，工作流程等等。都存在不足。報告指出，應對APT需要采取一種與以往不同的信息安全策略，這種策略被稱作“高級方法”。他與傳統的方法相比，更加注重對核心資產的保護、技術手段上更加注重檢測技術、以數據為中心、分析日志更多是為了檢測威脅、注重攻擊模式的發現和描述、從情報分析的高度來分析威脅。

《當APT成為主流》提出了7條建議：

1) 進行高級情報收集與分析 – 讓情報成為戰略的基石。

2) 建立智能監測機制 – 知道要尋找什么，并建立信息安全與網絡監控機制，以尋找所要尋找之物。

3) 重新分配訪問控制權 – 控制特權用戶的訪問。

4) 認真開展有實效的用戶培訓 – 培訓用戶以識別社會工程攻擊，并迫使用戶承擔保證企業信息安全的個人責任。

5) 管理高管預期 – 確保最高管理層認識到，抗擊高級持續性攻擊的本質是與數字軍備競賽戰斗。

6) 重新設計IT架構 – 從扁平式網絡轉變為分隔式網絡，使攻擊者難以在網絡中四處游蕩，從而難以發現最寶貴的信息。

7) 參與情報交換 – 分享信息安全威脅情報，利用其他企業積累的知識。

Verizon發布的《2013年數據破壞調查報告》中則更加簡明扼要的概括了應對APT的最高原則——知己、更要知彼，強調真正的主動安全是料敵先機，核心就是對安全威脅情報的分析與分享。

1.2 技術手段分析

從具體的技術層面來說，為了應對APT攻擊，新的技術也是層出不窮。

從監測和檢測的角度，為了識別APT，可以從APT攻擊的各個環節進行突破，任一環節能夠識別即可斷開整個鏈條。

根據APT攻擊過程，我們可以從防范釣魚攻擊、識別郵件中的惡意代碼、識別主機上的惡意代碼、識別僵尸網絡(C&C)通訊、監測網絡數據滲出等多個環節入手。

而不論從哪個環節入手，都主要涉及以下幾類新型技術手段：

1.2.1 基于沙箱的惡意代碼檢測技術

要檢測惡意代碼，最具挑戰性的就是利用0day漏洞的惡意代碼。因為是0day，就意味著沒有特征，傳統的惡意代碼檢測技術就此失效。沙箱技術通俗的講就是構造一個模擬的執行環境，讓可疑文件在這個模擬環境中運行起來，通過可疑文件觸發的外在行為來判定是否是惡意代碼。

沙箱技術的模擬環境可以是真實的模擬環境，也可以是一個虛擬的模擬環境。而虛擬的模擬環境可以通過虛擬機技術來構建，或者通過一個特制程序來虛擬。

1.2.2 基于異常的流量檢測技術

傳統的IDS都是基于特征(簽名)的技術去進行DPI分析，有的也用到了一些簡單DFI分析技術。面對新型威脅，DFI技術的應用需要進一步深化。基于Flow，出現了一種基于異常的流量檢測技術，通過建立流量行為輪廓和學習模型來識別流量異常，進而識別0day攻擊、C&C通訊，以及信息滲出。本質上，這是一種基于統計學和機器學習的技術。

1.2.3 全包捕獲與分析技術

應對APT攻擊，需要做好最壞的打算。萬一沒有識別出攻擊并遭受了損失怎么辦?對于某些情況，我們需要全包捕獲及分析技術(FPI)。借助天量的存儲空間和大數據分析(BDA)方法，FPI能夠抓取網絡中的特定場合下的全量數據報文并存儲起來，進行歷史分析或者準實時分析。通過內建的高效索引機制及相關算法，協助分析師剖絲抽繭，定位問題。

1.2.4 信譽技術

信譽技術早已存在，在面對新型威脅的時候，可以助其他檢測技術一臂之力。無論是WEB URL信譽庫、文件MD5碼庫、僵尸網絡地址庫，還是威脅情報庫，都是檢測新型威脅的有力武器。而信譽技術的關鍵在于信譽庫的構建，這需要一個強有力的技術團隊來維護。

1.2.5 綜合分析技術

所謂綜合分析，就是在前述所有技術之上的，并且涵蓋傳統檢測技術之上的，一個橫向貫穿的分析。我們已經知道APT攻擊是一個過程，是一個組合，如果能夠將APT攻擊各個環節的信息綜合到一起，有助于確認一個APT攻擊行為。

綜合分析技術要能夠從零散的攻擊事件背后透視出真正的持續攻擊行為，包括組合攻擊檢測技術、大時間跨度的攻擊行為分析技術、態勢分析技術、情境分析技術，等等。

1.2.6 人的技能

最后，要實現對新型攻擊的防范，除了上述新的監測/檢測技術之外，還需要依靠強有力的專業分析服務做支撐，通過專家團隊和他們的最佳實踐，不斷充實安全知識庫，進行即時的可疑代碼分析、滲透測試、漏洞驗證，等等。安全專家的技能永遠是任何技術都無法完全替代的。#p#

2 新型威脅的最新技術發展動向

新型威脅自身也在不斷發展進化，以適應新的安全監測、檢測與防御技術帶來的挑戰。以下簡要分析新型威脅采取的一些新技術。

2.1 精準釣魚

精準釣魚是一種精確制導的釣魚式攻擊，比普通的定向釣魚(spear phishing)更聚焦，只有在被攻擊者名單中的人才會看到這個釣魚網頁，其他人看到的則是404 error。也就是說，如果你不在名單之列，看不到釣魚網頁。如此一來，一方面攻擊的精準度更高，另一方面也更加保密，安全專家更難進行追蹤(因為你不知道名單，且不在名單之列)。

2.2 高級隱遁技術

高級隱遁技術這個術語最初源自2010年芬蘭的Stonesoft公司(2013年5月被McAfee收購)的一個研究成果。高級隱遁技術(AET，Advanced Evasion Technology)是一種通過偽裝和/或修飾網絡攻擊以躲避信息安全系統的檢測和阻止的手段。

高級隱遁技術是一系列規避安全檢測的技術的統稱，可以分為網絡隱遁和主機隱遁，而網絡隱遁又包括協議組合、字符變換、通訊加密、0day漏洞利用等技術。

2.3 沙箱逃避

新型的惡意代碼設計越來越精巧，想方設法逃避沙箱技術的檢測。例如有的惡意代碼只有在用戶鼠標移動的時候才會被執行，從而使得很多自動化執行的沙箱沒法檢測到可疑行為。還有的沙箱用到了虛擬機方式來執行，那么惡意代碼的制作者就會想辦法去欺騙虛擬機。

2.4 水坑式攻擊

所謂“水坑攻擊”，是指黑客通過分析被攻擊者的網絡活動規律，尋找被攻擊者經常訪問的網站的弱點，先攻下該網站并植入攻擊代碼，等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀錄片中的一種情節：捕食者埋伏在水里或者水坑周圍，等其他動物前來喝水時發起攻擊獵取食物。

3 結語

總之，在應對新型威脅的道路上，我們還有很多工作需要去做。