當前,高級持續性威脅(APT,AdvancedPersistentThreat)已成為各級各類網絡所面臨的主要安全威脅。它使網絡威脅從散兵游勇式的隨機攻擊變成有目的、有組織、有預謀的群體式攻擊,使傳統的以實時檢測、實時阻斷為主體的防御方式難以再發揮作用。因此,在對抗中,我們必須轉變思路,采取新的形式。
一、APT對傳統檢測技術形成的挑戰
正如其名稱所體現出來的含義,APT為傳統檢測技術帶來了兩大難題:
A(Advanced)難題:即高級入侵手段帶來的難題。相比傳統攻擊手法,APT攻擊具有單點隱蔽能力強、攻擊空間路徑不確定、攻擊渠道不確定等特點,使得傳統的基于特征匹配的邊界防御技術難以施效。
P(Persistent)難題:即持續性攻擊帶來的難題。典型的APT在攻擊時間上具有長持續性,一旦入侵成功則長期潛伏,尋找合適的機會外傳敏感信息,而在單個時間點上卻無明顯異常,使得基于單個時間點的實時檢測技術難以應對。
從博弈雙方看,攻方可借助跳板隱藏自身,在入侵成功后刪除目標主機上的日志信息,隱藏攻擊過程;對檢測方而言,只有在攻方與目標之間的通信鏈路是可控的。從鏈路中獲取的流量真實完整地記錄攻擊過程且不會被攻方躲避和篡改。從鏈路流量中檢測APT攻擊是可行的辦法,這也是當前的主流方案。
二、當前業內APT檢測方案對比
沙箱方案:為解決特征匹配對新型攻擊的滯后性而產生的解決方案。其原理是將實時流量先引入虛擬機或沙箱,通過對沙箱的文件系統、進程、注冊表、網絡行為實施監控,判斷流量中是否包含惡意代碼。同傳統的特征匹配技術相比,沙箱方案對未知惡意代碼具有較好的檢測能力,但其難點在于模擬的客戶端類型是否全面,如果缺乏合適的運行環境,會導致流量中的惡意代碼在檢測環境中無法觸發,造成漏報。
異常檢測方案;為解決特征匹配和實時檢測不足而產生的解決方案。其原理是通過對網絡中的正常行為模式建模而識別異常。核心技術包括元數據提取、正常行為建模和異常檢測算法。該方案同樣能夠檢測未知攻擊,但檢測效率依賴于背景流量中的業務模式,如果業務模式發生偏差,則會導致較高的漏報與誤報。
全流量審計方案:同樣是為解決傳統特征匹配不足而產生的解決方案。其原理是對鏈路中的流量進行深層次的協議解析和應用還原,識別其中是否包含攻擊行為。檢測到可疑攻擊行為時,在全流量存儲的條件下,回溯分析相關流量,例如可將包含的http訪問、下載的文件、及時通信信息進行還原,協助確認攻擊的完整過程。這種方案具備強大的事后溯源能力和實時檢測能力,是將安全人員的分析能力、計算機強大的存儲能力和運算能力相結合的完整解決方案。
上述異常檢測方案、全流量審計方案底層都要依靠大數據處理技術。通過對國際上主流產品的調研,我們發現目前此類產品的處理能力可支持10G帶寬及10TB級的海量存儲,以及對上千種協議的應用識別與深層解析,具備常見應用如HTTP頁面、流媒體、IM等的還原能力,同時具備規則匹配能力和異常檢測能力。
三、基于記憶的智能檢測系統
有了全流量審計,我們很自然地會面臨接下來的問題:傳統的檢測產品和平臺還有必要嗎?在全流量都被審計的前提下,還需要進行傳統的攻擊檢測嗎?
首先,需要全流量檢測,因為傳統的檢測技術只解決了“What”的問題,沒有解決“How”和“HowMuch”的問題。使用檢測產品雖然可以檢測到特定的攻擊,但檢測不到攻擊的細節(如:具體的攻擊流量是什么)及攻擊的進展程度(如:目標是否已被入侵)。通過全流量審計,這些問題都可以找到答案。
此外,也需要傳統檢測技術,因為在對全流量進行審計時,需在海量數據中找到分析任務的聚焦點。一個百兆的網絡,22個小時的流量就達1TB,如果沒有任何指示信息,在如此海量的數據中進行攻擊檢測猶如大海撈針。此時,傳統檢測技術的作用則類似于“觸發器”與“探照燈”,當檢測到APT行為的蛛絲馬跡時,結合全流量審計進行回溯與深度分析,則可建立完整的攻擊場景。
在全流量審計的輔助下,傳統的檢測產品將對歷史流量具備“記憶”能力,形成基于記憶的智能檢測系統,其檢測對象不再是實時時間點,而是歷史時間窗;對于漏報的攻擊行為,也可通過對歷史流量進行回溯審查的方式進行二次檢測和關聯分析,從而具備更強大的檢測能力。
總之,對于APT這種攻擊模式,傳統的檢測技術難以應對,我們的對抗策略是以時間對抗時間,對長時間、全流量數據進行深度分析,以解決傳統的特征匹配與實時檢測的不足。全流量存儲與現有檢測技術相結合,形成了新一代基于記憶的智能檢測系統,這使得我們可在長時間窗口上對流量進行回溯分析,提升對APT攻擊的檢測能力。
推薦閱讀
北京時間8月17日消息,據國外媒體報道,據跟蹤蘋果零售店業務的博客ifoAppleStore援引知情人士的消息稱,蘋果負責零售店業務的高級副總裁約翰布勞維特(JohnBrowett)正在悄然削減零售業務員工,目的是精簡零售業務和>>>詳細閱讀
地址:http://www.sdlzkt.com/a/xie/20120330/121217.html
網友點評
精彩導讀
科技快報
品牌展示