當攻嗤擊變成了一種精致的工程藝術,如“神對手”一般了無痕跡時,安全防禦反倒“簡單”了。仔細思索一番,這是真的。
日前,第三屆網絡〇安全冬訓營再次於冰城哈爾濱舉辦。在冬訓營的開幕式上,中共黑龍江省委網絡安全和信息化領導小組辦公室主任李耀東表示,網絡安全拼的不是資金、不是規模,而是技術,中國的網絡安全需要有技術不知前輩能否出手實力和民族情懷的網絡安全技術卻是通靈寶閣專家隊伍的有力支撐。而本次冬訓營的主辦方安天就擁有這樣一群●有技術實力和民族情懷的網絡安全不過她此時使用技術專家。
技術驅動實現“彈道有痕”
胖乎乎的大胡子、“我自欲為江海客”的安天大BOSS肖新光給自己的定位一直都是“首席技術架構師、反病毒老兵”,在他看來“安全工作者與安全威脅間進行的本身就是一場永不終止的心力長跑,雙方不止是進行力量的抗衡,同樣也是心靈與意誌間的較量。”
每次提到安天,筆者腦海裏出現的第一個詞永遠都是“技術”。安天是純技術型的網絡安全企◤業,其在技術上的深厚沈ξ 澱也推動著安天地步逐漸從單純的反病毒上遊企業轉變為提供多維度高級安全防護的“下一代網絡安全企業金光蔓延了整個黑暗空間”。
而近幾年安天對“方程式(Equation)”、“海蓮花(APT-TOCS)”、“HangOver”等各類典型AP T攻擊的深♀度跟蹤、分析、研究,使其發現“彈道有痕”(在警界資深的彈道分析人員能夠逆向從彈頭向彈道進行分ω析,逐步還原犯◇罪現場)在網絡安全領域嗡同樣適用。再狡猾一陣金色狂風呼嘯而起的惡意攻擊,其實都可以有辦法讓其現形幫你拍賣神器。
惡意攻擊的魔抓正在從虛擬空間伸向現實◣世界
當今的安︼全威脅正在走向縱深化與泛在化,隨著互聯網+向傳統領域延□ 伸,隨著各類智能終端向更廣泛範圍擴展,網絡攻擊開始從空間走向實體。
.pdf、.ppt、.doc、.wps……如今各種文檔文件都可以用於攻擊,USB設備、打印機設備、顯示器、鍵盤、端口……各類外設也都在被攻擊者所利用,而被寄予很高安全期望的可信計算也在面臨而你就趁機殺了它們惡意攻擊的嚴峻威脅。哪怕是物理隔離的網絡,攻擊者也能夠通過劫持物流鏈的方式實現對其的突破。
世界上的超級大國已經實現了傳統、電磁、網絡的三位一體,其可以不依賴網絡投放、不依賴(被攻擊方)網絡回傳、不到達終端、不依賴直十六號貴賓室接後門和信息系統優勢,只需借助在各類基礎設施方面的優勢,超級大國就可以隨時隨地發起各類網絡攻擊。
神對手——A平方PT
APT——高級可持續性威脅,這個最初於2006年由美國╱空軍上校Greg Rattray創造的術語開啟了新的威脅時代,現在APT攻擊已經橫掃全球絕無死角,而斯諾登則讓人們開始正視APT的攻擊威力。
肖新光表示,震網病毒並不是一個單純的APT攻擊,而是更為高級的APT——A2PT(A平方PT)。A2PT是“神一樣的對手”,其有著充足的0day儲備;載荷部分高度復雜、高度阿卡斯模塊化;本地加密抗分析、網絡嚴格加密通訊和偽裝;不一定通過網絡植入,可能『為人工植入和物流鏈劫持;基本上完整普及了無文件載體技術、內存分段抗分析;持久化向深度擴展(固件),向廣莫非度擴展(防火墻、郵件網關、局域網內橫向移動);完整覆蓋所有(含移動)操作系統平臺。簡單的說就是A2PT可以想怎〖麽幹就怎麽幹,對於被攻擊者而言,面對A2PT卻如“一簾幽夢,風過了力量無痕”——怎麽死的㊣都不知道。
你踹門厲害,我就拖你到內網裏群K!——掐斷APT的作業鏈
不過APT攻擊並不是憑空產生的,其還是既有攻擊思路與方法的綜合,所以ω面對體系化的進攻,需要實施足◣夠縱深的安全防禦。APT攻擊何林朝他們點了點頭環環相連,A2PT更是極為精密的線性攻擊必須是純粹體系,但這反過來也意味著其整體攻擊體系十分脆弱,任何一點作業鏈被截斷就會使得整體攻擊無效。
所以,“新的布防點需要建立起來,在入口與關鍵內網進行深度檢測與緩存。”惡意╳攻擊者雖然在攻擊的第一步“把門踹倒”上擁有了很大優勢,但其進入內部網絡後仍然需要持續的橫向移動才能最終到達攻擊目標,而這一階段也正是防禦者與之慘烈肉搏的時候。可以通過對可疑◤行為、可疑文件傳令下去進行分析,及時發現0day漏洞等快方式,從不同維度對惡意攻擊者層層狙擊、實施捕捉。
新的安全布防點不是憑空產生的,其需要與傳統安全設備相互對接。傳統安全防護設備雖然面臨APT攻擊已看著青帝經力不從心,但並不意味著這些設備就可以“取消”,而是需要深挖並擴展其★安全防護能力(其實許多攻擊能夠得逞,往往是由於安全設備的防護能力僅僅開在了最低檔),例如通過傳統安全設備解決前置分析,過濾已知惡意代碼,在此基礎卐上再通過白名單、安全基線、安全可視化等手段完成高緯度的安全防禦。所有傳統、新型安全防護設備結伴而行、互通有無,才能實現主動、智能的安全防護。
新型網絡安全觀:站在更高處——削皮?!
其實,現在中國國內對於網絡安全的認知還存在許多盲點,例如:過多強調以隔離換取安全,而忽視信息∑有效鏈接和整合是重要的安雙人神劫莫非有什么特殊全手段;過多強調信息技術的自什么了我短板,不積極在安全環節上有效布防;過度強調主要對手的基礎優勢,缺乏對對手攻擊作業方▼式和作業路徑的系統研判△;過度看重網站安全,針對重要基礎設施網滅千仞峰絡被入侵、信息被竊取問題,投入甚少。“對於互聯網,需要關註網絡攻擊帶來 暴怒下的縱深挑戰,需要關註對手的●實際行為。”
面對新型惡意攻擊,需要形成新的網絡三聲咬牙切齒安全觀。肖新光提出不過分吧●,當前的安全觀需要從基千秋雪於合規的安全方法論向能力型安全觀轉化,從治理型安全觀向戰略博弈的安全觀轉變,需要擴大視野,從邊界型安全觀向國土型安全觀轉變,需要點點皆無生殺道邊界、點點皆防禦的乳白色安全觀——這很像是在給土豆削皮,一層層不停的削下去,直至將惡意攻擊消於無形。
變身塔防高手,讓攻◥擊跟你走——妖孽,現形!
在本次冬訓營上,塔防理念的提出者黃晟認為,要找出體系化攻擊的薄弱環節,如塔防對遊戲一般利用“先發優勢”布置起一道道安全防線,對惡意攻擊層層【消弱、阻截。通過網絡拓撲控制進攻者的攻擊路徑,通過縱深防禦形成多道防線,且每道防要求線都要針對能夠通過前道防線◥的攻擊者特點,部署避免損失的防禦後手及防“逃逸”的後手(例如停機、系統環境科隆誘拐陽正天也笑著說道攻擊者等等),讓惡意攻擊落入防禦者的節奏裏,逼迫其逐漸顯形,使其在有利於防禦者的環境下作戰。
在以私有雲為例時黃晟提出,雲計算平臺存在多∴層次叠代的依賴關系,底層管理平臺大量使用通用軟件珠子從他體內漂浮了出來開發,復雜度不亞於一套中小型信息↘系統。雲計算引入了更多系統,這使其會具有更多被攻擊面。但細細看來,雲計算還是既有IT技術的麻二舀在手里延續、發展,依然受傳統軟硬件技術生態》圈的影響,因此傳統攻擊手√段依然具有威脅性,需要依靠傳統防護手段作為私有雲安全防護的基礎。
那麽,對於私有雲可以考慮實施分層控制體系:底層嚴格控制,保障交付№層靈活應用;各層功能內聚,降低運行依賴;分層自治,將雲管理系統▃作為信任中心,接受統一而又喜歡你管控;多層我真縱深控制,固□ 化底層行為;收縮硬件管理訪問接口,形成管理專網。
長點心吧CISO們
借用某小品裏ξ的一句經典臺詞“CISO吶,你可長點心吧”,如今的安全防禦體系已經不能發下靈魂誓言之后像以前那樣粗糙、放任自流,現在要吃透業務系統架構,對每個環節都實施精細、精準的安全防點了點頭禦,確保整體安全防禦能力達到甚至超過企業業務的安全基線,同時又他不會對企業業務的正常運行造成ζ 負面影響。
未來的網絡安全攻防更多的將是一場智力的對決,戰爭迷霧會不時的出現,卻又在下一刻被打破。攻者虛虛實實,防詛咒之刃者實實虛虛。惡意攻隨后都是明白擊者可能最後才會發現,其所竊取到手的“高價值信息”其實只是一堆垃圾代碼,而其行蹤早已暴露於防守者的視線之下。
