當(dāng)前,高級(jí)持續(xù)性威脅(APT,AdvancedPersistentThreat)已成為各級(jí)各類網(wǎng)絡(luò)所面臨的主要安全威脅。它使網(wǎng)絡(luò)威脅從散兵游勇式的隨機(jī)攻擊變成有目的、有組織、有預(yù)謀的群體式攻擊,使傳統(tǒng)的以實(shí)時(shí)檢測(cè)、實(shí)時(shí)阻斷為主體的防御方式難以再發(fā)揮作用。因此,在對(duì)抗中,我們必須轉(zhuǎn)變思路,采取新的形式。
一、APT對(duì)傳統(tǒng)檢測(cè)技術(shù)形成的挑戰(zhàn)
正如其名稱所體現(xiàn)出來(lái)的含義,APT為傳統(tǒng)檢測(cè)技術(shù)帶來(lái)了兩大難題:
A(Advanced)難題:即高級(jí)入侵手段帶來(lái)的難題。相比傳統(tǒng)攻擊手法,APT攻擊具有單點(diǎn)隱蔽能力強(qiáng)、攻擊空間路徑不確定、攻擊渠道不確定等特點(diǎn),使得傳統(tǒng)的基于特征匹配的邊界防御技術(shù)難以施效。
P(Persistent)難題:即持續(xù)性攻擊帶來(lái)的難題。典型的APT在攻擊時(shí)間上具有長(zhǎng)持續(xù)性,一旦入侵成功則長(zhǎng)期潛伏,尋找合適的機(jī)會(huì)外傳敏感信息,而在單個(gè)時(shí)間點(diǎn)上卻無(wú)明顯異常,使得基于單個(gè)時(shí)間點(diǎn)的實(shí)時(shí)檢測(cè)技術(shù)難以應(yīng)對(duì)。
從博弈雙方看,攻方可借助跳板隱藏自身,在入侵成功后刪除目標(biāo)主機(jī)上的日志信息,隱藏攻擊過(guò)程;對(duì)檢測(cè)方而言,只有在攻方與目標(biāo)之間的通信鏈路是可控的。從鏈路中獲取的流量真實(shí)完整地記錄攻擊過(guò)程且不會(huì)被攻方躲避和篡改。從鏈路流量中檢測(cè)APT攻擊是可行的辦法,這也是當(dāng)前的主流方案。
二、當(dāng)前業(yè)內(nèi)APT檢測(cè)方案對(duì)比
沙箱方案:為解決特征匹配對(duì)新型攻擊的滯后性而產(chǎn)生的解決方案。其原理是將實(shí)時(shí)流量先引入虛擬機(jī)或沙箱,通過(guò)對(duì)沙箱的文件系統(tǒng)、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)行為實(shí)施監(jiān)控,判斷流量中是否包含惡意代碼。同傳統(tǒng)的特征匹配技術(shù)相比,沙箱方案對(duì)未知惡意代碼具有較好的檢測(cè)能力,但其難點(diǎn)在于模擬的客戶端類型是否全面,如果缺乏合適的運(yùn)行環(huán)境,會(huì)導(dǎo)致流量中的惡意代碼在檢測(cè)環(huán)境中無(wú)法觸發(fā),造成漏報(bào)。
異常檢測(cè)方案;為解決特征匹配和實(shí)時(shí)檢測(cè)不足而產(chǎn)生的解決方案。其原理是通過(guò)對(duì)網(wǎng)絡(luò)中的正常行為模式建模而識(shí)別異常。核心技術(shù)包括元數(shù)據(jù)提取、正常行為建模和異常檢測(cè)算法。該方案同樣能夠檢測(cè)未知攻擊,但檢測(cè)效率依賴于背景流量中的業(yè)務(wù)模式,如果業(yè)務(wù)模式發(fā)生偏差,則會(huì)導(dǎo)致較高的漏報(bào)與誤報(bào)。
全流量審計(jì)方案:同樣是為解決傳統(tǒng)特征匹配不足而產(chǎn)生的解決方案。其原理是對(duì)鏈路中的流量進(jìn)行深層次的協(xié)議解析和應(yīng)用還原,識(shí)別其中是否包含攻擊行為。檢測(cè)到可疑攻擊行為時(shí),在全流量存儲(chǔ)的條件下,回溯分析相關(guān)流量,例如可將包含的http訪問(wèn)、下載的文件、及時(shí)通信信息進(jìn)行還原,協(xié)助確認(rèn)攻擊的完整過(guò)程。這種方案具備強(qiáng)大的事后溯源能力和實(shí)時(shí)檢測(cè)能力,是將安全人員的分析能力、計(jì)算機(jī)強(qiáng)大的存儲(chǔ)能力和運(yùn)算能力相結(jié)合的完整解決方案。
上述異常檢測(cè)方案、全流量審計(jì)方案底層都要依靠大數(shù)據(jù)處理技術(shù)。通過(guò)對(duì)國(guó)際上主流產(chǎn)品的調(diào)研,我們發(fā)現(xiàn)目前此類產(chǎn)品的處理能力可支持10G帶寬及10TB級(jí)的海量存儲(chǔ),以及對(duì)上千種協(xié)議的應(yīng)用識(shí)別與深層解析,具備常見應(yīng)用如HTTP頁(yè)面、流媒體、IM等的還原能力,同時(shí)具備規(guī)則匹配能力和異常檢測(cè)能力。
三、基于記憶的智能檢測(cè)系統(tǒng)
有了全流量審計(jì),我們很自然地會(huì)面臨接下來(lái)的問(wèn)題:傳統(tǒng)的檢測(cè)產(chǎn)品和平臺(tái)還有必要嗎?在全流量都被審計(jì)的前提下,還需要進(jìn)行傳統(tǒng)的攻擊檢測(cè)嗎?
首先,需要全流量檢測(cè),因?yàn)閭鹘y(tǒng)的檢測(cè)技術(shù)只解決了“What”的問(wèn)題,沒(méi)有解決“How”和“HowMuch”的問(wèn)題。使用檢測(cè)產(chǎn)品雖然可以檢測(cè)到特定的攻擊,但檢測(cè)不到攻擊的細(xì)節(jié)(如:具體的攻擊流量是什么)及攻擊的進(jìn)展程度(如:目標(biāo)是否已被入侵)。通過(guò)全流量審計(jì),這些問(wèn)題都可以找到答案。
此外,也需要傳統(tǒng)檢測(cè)技術(shù),因?yàn)樵趯?duì)全流量進(jìn)行審計(jì)時(shí),需在海量數(shù)據(jù)中找到分析任務(wù)的聚焦點(diǎn)。一個(gè)百兆的網(wǎng)絡(luò),22個(gè)小時(shí)的流量就達(dá)1TB,如果沒(méi)有任何指示信息,在如此海量的數(shù)據(jù)中進(jìn)行攻擊檢測(cè)猶如大海撈針。此時(shí),傳統(tǒng)檢測(cè)技術(shù)的作用則類似于“觸發(fā)器”與“探照燈”,當(dāng)檢測(cè)到APT行為的蛛絲馬跡時(shí),結(jié)合全流量審計(jì)進(jìn)行回溯與深度分析,則可建立完整的攻擊場(chǎng)景。
在全流量審計(jì)的輔助下,傳統(tǒng)的檢測(cè)產(chǎn)品將對(duì)歷史流量具備“記憶”能力,形成基于記憶的智能檢測(cè)系統(tǒng),其檢測(cè)對(duì)象不再是實(shí)時(shí)時(shí)間點(diǎn),而是歷史時(shí)間窗;對(duì)于漏報(bào)的攻擊行為,也可通過(guò)對(duì)歷史流量進(jìn)行回溯審查的方式進(jìn)行二次檢測(cè)和關(guān)聯(lián)分析,從而具備更強(qiáng)大的檢測(cè)能力。
總之,對(duì)于APT這種攻擊模式,傳統(tǒng)的檢測(cè)技術(shù)難以應(yīng)對(duì),我們的對(duì)抗策略是以時(shí)間對(duì)抗時(shí)間,對(duì)長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析,以解決傳統(tǒng)的特征匹配與實(shí)時(shí)檢測(cè)的不足。全流量存儲(chǔ)與現(xiàn)有檢測(cè)技術(shù)相結(jié)合,形成了新一代基于記憶的智能檢測(cè)系統(tǒng),這使得我們可在長(zhǎng)時(shí)間窗口上對(duì)流量進(jìn)行回溯分析,提升對(duì)APT攻擊的檢測(cè)能力。
推薦閱讀
蘋果為提高利潤(rùn)率 開始裁減零售業(yè)務(wù)員工
北京時(shí)間8月17日消息,據(jù)國(guó)外媒體報(bào)道,據(jù)跟蹤蘋果零售店業(yè)務(wù)的博客ifoAppleStore援引知情人士的消息稱,蘋果負(fù)責(zé)零售店業(yè)務(wù)的高級(jí)副總裁約翰布勞維特(JohnBrowett)正在悄然削減零售業(yè)務(wù)員工,目的是精簡(jiǎn)零售業(yè)務(wù)和>>>詳細(xì)閱讀
本文標(biāo)題:傳統(tǒng)檢測(cè)落伍 智能檢測(cè)系統(tǒng)更快發(fā)現(xiàn)APT攻擊
地址:http://m.sdlzkt.com/a/xie/20120330/121217.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示