apt攻擊是近幾年來出現(xiàn)的一種高級攻擊，具有難檢測、持續(xù)時間長和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御apt方面效果很不理想，因此，各安全廠商都在研究新的方法并提出了多種多樣的解決方案。

針對APT逐步滲透攻擊的特點，我們提出了一個針對工控 APT 攻擊的檢測與防護方案，針對 APT 攻擊的五個階段分別討論了相應(yīng)的應(yīng)對策略。

(1) 全方位抵御水坑攻擊基于“水坑+網(wǎng)站掛馬方式”的突破防線技術(shù)愈演愈烈，并出現(xiàn)了單漏洞多水坑的新攻擊方法。針對這種趨勢，一方面寄希望于網(wǎng)站管理員重視并做好網(wǎng)站漏洞檢測和掛馬檢測;另一方面要求用戶(尤其是能接觸到工業(yè)控制設(shè)備的雇員)盡量使用相對較安全的Web瀏覽器，及時安裝安全補丁，最好能夠部署成熟的主機入侵防御系統(tǒng)。

(2) 防范社會工程攻擊、阻斷 C&C 通道 在工業(yè)控制系統(tǒng)運行的各個環(huán)節(jié)和參與者中，人往往是其中最薄弱的環(huán)節(jié)，故非常有必要通過周期性的安全培訓(xùn)課程努力提高員工的安全意識。另外，也應(yīng)該加強從技術(shù)上阻斷攻擊者通過社會工程突破防線后建立C&C通道的行為，建議部署值得信賴的網(wǎng)絡(luò)入侵防御系統(tǒng)。

(3) 工業(yè)控制系統(tǒng)組件漏洞與后門檢測與防護工業(yè)控制系統(tǒng)行業(yè)使用的任何工業(yè)控制系統(tǒng)組件均應(yīng)假定為不安全或存在惡意的，上線前必需經(jīng)過嚴(yán)格的漏洞、后門檢測以及配置核查，盡可能避免工業(yè)控制系統(tǒng)中存在2014 工業(yè)控制系統(tǒng)的安全研究與實踐的各種已知或未知的安全缺陷。其中針對未知安全缺陷(后門或系統(tǒng)未聲明功能)的檢測相對困難，目前多采用系統(tǒng)代碼的靜態(tài)分析方法或基于系統(tǒng)虛擬執(zhí)行的動態(tài)分析方法相結(jié)合的方式。

(4) 異常行為的檢測與審計上述列舉出的 APT 突破防線和完成任務(wù)階段采用的各種新技術(shù)和方法，以及其他已經(jīng)出現(xiàn)或者即將出現(xiàn)的新技術(shù)和方法，直觀上均表現(xiàn)為一種異常行為。建議部署工控審計系統(tǒng)， 全面采集工業(yè)控制系統(tǒng)相關(guān)網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志;結(jié)合基于行為的業(yè)務(wù)審計模型對采集到的信息進行綜合分析，識別發(fā)現(xiàn)業(yè)務(wù)中可能存在的異常流量與異常操作行為，發(fā)現(xiàn) APT 攻擊的一些蛛絲馬跡，甚至可能還原整個 APT攻擊場景。鑒于工業(yè)控制系統(tǒng)業(yè)務(wù)場景比較穩(wěn)定、操作行為比較規(guī)范的實際情況，在實施異常行為審計的同時，也可以考慮引入基于白環(huán)境的異常檢測模型，對工業(yè)控制系統(tǒng)中的異常操作行為進行實時檢測與發(fā)現(xiàn)。

apt攻擊過程分解

整個apt攻擊過程包括定向情報收集、單點攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟：

1、定向情報收集

定向情報收集，即攻擊者有針對性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多，包括網(wǎng)絡(luò)隱蔽掃描和社會工程學(xué)方法等。從目前所發(fā)現(xiàn)的apt攻擊手法來看，大多數(shù)apt攻擊都是從組織員工入手，因此，攻擊者非常注意搜集組織員工的信息，包括員工的微博、博客等，以便了解他們的社會關(guān)系及其愛好，然后通過社會工程方法來攻擊該員工電腦，從而進入組織網(wǎng)絡(luò)。

2、單點攻擊突破

單點攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工的個人電腦，攻擊方法包括：

1)社會工程學(xué)方法，如通過email給員工發(fā)送包含惡意代碼的文件附件，當(dāng)員工打開附件時，員工電腦就感染了惡意代碼;

2)遠(yuǎn)程漏洞攻擊方法，比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬，當(dāng)員工訪問該網(wǎng)站時，就遭受到網(wǎng)頁代碼的攻擊，rsa公司去年發(fā)現(xiàn)的水坑攻擊(watering hole)就是采用這種攻擊方法。

這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞，現(xiàn)有殺毒和個人防火墻安全工具無法察覺，最終結(jié)果是，員工個人電腦感染惡意代碼，從而被攻擊者完全控制。

3、控制通道構(gòu)建

控制通道構(gòu)建，即攻擊者控制了員工個人電腦后，需要構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進一步攻擊指令。攻擊者會創(chuàng)建從被控個人電腦到攻擊者控制服務(wù)器之間的命令控制通道，這個命令控制通道目前多采用http協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級的命令控制通道則采用https協(xié)議構(gòu)建。

4、內(nèi)部橫向滲透

內(nèi)部橫向滲透，一般來說，攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個人電腦為跳板，在系統(tǒng)內(nèi)部進行橫向滲透，以攻陷更多的pc和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

5、數(shù)據(jù)收集上傳

數(shù)據(jù)收集上傳，即攻擊者在內(nèi)部橫向滲透和長期潛伏過程中，有意識地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進行壓縮、加密和打包，然后通過某個隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。

apt檢測和防御方案分類

縱觀整個apt攻擊過程發(fā)現(xiàn)，有幾個步驟是apt攻擊實施的關(guān)鍵，包括攻擊者通過惡意代碼對員工個人電腦進行單點攻擊突破、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令，以及最后的敏感數(shù)據(jù)外傳等過程。當(dāng)前的apt攻擊檢測和防御方案其實都是圍繞這些步驟展開。

我們把本屆rsa大會上收集到的apt檢測和防御方案進行了整理，根據(jù)它們所覆蓋的apt攻擊階段不同，將它們分為以下四類：

1、惡意代碼檢測類方案：

該類方案主要覆蓋apt攻擊過程中的單點攻擊突破階段，它是檢測apt攻擊過程中的惡意代碼傳播過程。大多數(shù)apt攻擊都是通過惡意代碼來攻擊員工個人電腦，從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的，因此，惡意代碼檢測對于檢測和防御apt攻擊至關(guān)重要。

2、主機應(yīng)用保護類方案：

該類方案主要覆蓋apt攻擊過程中的單點攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個人電腦發(fā)送惡意代碼，這個惡意代碼必須在員工個人電腦上執(zhí)行才能控制整個電腦。因此，如果能夠加強系統(tǒng)內(nèi)各主機節(jié)點的安全措施，確保員工個人電腦以及服務(wù)器的安全，則可以有效防御apt攻擊。

3、網(wǎng)絡(luò)入侵檢測類方案：

該類方案主要覆蓋apt攻擊過程中的控制通道構(gòu)建階段，通過在網(wǎng)絡(luò)邊界處部署入侵檢測系統(tǒng)來檢測apt攻擊的命令和控制通道。安全分析人員發(fā)現(xiàn)，雖然apt攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測方法來檢測apt的命令控制通道。該類方案成功的關(guān)鍵是如何及時獲取到各apt攻擊手法的命令控制通道的檢測特征。

4、大數(shù)據(jù)分析檢測類方案：

該類方案并不重點檢測apt攻擊中的某個步驟，它覆蓋了整個apt攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路，它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進行集中的海量數(shù)據(jù)存儲和深入分析，它可在發(fā)現(xiàn)apt攻擊的一點蛛絲馬跡后，通過全面分析這些海量數(shù)據(jù)來還原整個apt攻擊場景。大數(shù)據(jù)分析檢測方案因為涉及海量數(shù)據(jù)處理，因此需要構(gòu)建大數(shù)據(jù)存儲和分析平臺，比較典型的大數(shù)據(jù)分析平臺有hadoop