APT攻擊其實(shí)每天都在發(fā)生,我們的網(wǎng)絡(luò)資源、機(jī)密數(shù)據(jù)其實(shí)都在源源不斷的泄露出去而沒(méi)有察覺(jué),現(xiàn)在新的信息安全的理念是“以“假定已陷入危險(xiǎn)”的方式考慮信息安全問(wèn)題”,信息安全策略成功的定義已經(jīng)不是將入侵者擋在門外,而是盡管攻擊者有時(shí)已經(jīng)進(jìn)入網(wǎng)絡(luò),但是能夠盡快發(fā)現(xiàn)并將影響最小化“。如何發(fā)現(xiàn)攻擊者的蛛絲馬跡?也許要采取同以往完全不同的思路來(lái)考慮這個(gè)問(wèn)題。
北京時(shí)間6月4日消息,一個(gè)自稱"SwaggSec"的黑客組織聲稱,這個(gè)團(tuán)體已經(jīng)攻入華納兄弟和中國(guó)電信的網(wǎng)絡(luò),發(fā)布了據(jù)稱是被其攻破后所獲取的文件和登陸證書。這個(gè)名為SwaggSec(又稱“Swagg Security”)近日通過(guò)Twitter消息宣稱其黑入了上述兩家公司的網(wǎng)絡(luò),并在代碼分享網(wǎng)站Pastebin上發(fā)布了一份聲明,同時(shí)提供了通往BT網(wǎng)站海盜灣(Pirate Bay)的被盜文件的鏈接。
今年2月,據(jù)搜狐IT報(bào)道,"SwaggSec"黑客組織在Twitter上宣稱利用漏洞攻破了全球最大電子配件制造商富士康的內(nèi)部網(wǎng)絡(luò),獲取了包括微軟、蘋果在內(nèi)的大量富士康客戶的郵箱和密碼信息。SwaggSec聲稱,他們抓住了一個(gè)富士康員工IE瀏覽器上未修復(fù)的漏洞,輕易繞過(guò)防火墻并以管理員身份入侵內(nèi)網(wǎng),他們?cè)谖臋n中公布了大量富士康內(nèi)部資料,包括可以登錄多個(gè)內(nèi)網(wǎng)服務(wù)器的用戶名密碼以及部分財(cái)務(wù)信息,這些服務(wù)器目前已經(jīng)被緊急關(guān)停。被SwaggSec入侵的還包括一個(gè)富士康的郵箱服務(wù)器,這令黑客成功獲得了富士康所有用戶的郵箱密碼,其中還包括CEO郭臺(tái)銘。
據(jù)天融信安全研究中心分析,從上述簡(jiǎn)短介紹來(lái)看,包括富士康公司在內(nèi)的幾家公司其實(shí)是遭到了APT攻擊。所謂APT攻擊,就是“高級(jí)可持續(xù)性攻擊”,或叫“針對(duì)特定目標(biāo)的攻擊”。它結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊、社會(huì)工程學(xué)方法等多種攻擊的高端攻擊模式,它不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞,而是從人開(kāi)始找薄弱點(diǎn),APT往往利用組織內(nèi)部的人員作為攻擊跳板。一步一步的獲取那些網(wǎng)絡(luò)、安全管理人員的進(jìn)入組織內(nèi)部的高級(jí)權(quán)限,然后滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏,不斷收集各種信息,直到收集到重要情報(bào)。
具體到富士康那個(gè)案例,那個(gè)遭到攻擊的富士康員工或者就是一個(gè)安全管理員,具備了訪問(wèn)多個(gè)內(nèi)部服務(wù)器的權(quán)限。當(dāng)他的電腦被入侵以后,實(shí)際上已經(jīng)成為了穿上網(wǎng)絡(luò)安全管理員馬甲的黑客控制的僵尸機(jī)。由于在一般企業(yè)中網(wǎng)絡(luò)管理員的權(quán)限過(guò)高,沒(méi)有監(jiān)督機(jī)制,一旦被入侵,這些電腦就可以被黑客利用,在內(nèi)網(wǎng)中長(zhǎng)驅(qū)直入,沒(méi)有任何監(jiān)督可言。導(dǎo)致這次富士康大量服務(wù)器數(shù)據(jù)大量被竊取。
盡管富士康公司對(duì)網(wǎng)絡(luò)安全已經(jīng)十分重視,部署了相對(duì)完備的縱深安全防御體系,可能既包括針對(duì)某個(gè)安全威脅的安全設(shè)備,如防火墻、IDP、防病毒也包括了將各種單一安全設(shè)備串聯(lián)起來(lái)的管理平臺(tái)如SOC,而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個(gè)階段,但是依舊對(duì)這次攻擊無(wú)能為力。因?yàn)榧词惯@些安全體系十分全面,但是忽略了一個(gè)至關(guān)重要的因素,那就是網(wǎng)絡(luò)安全管理員本身沒(méi)有被納入監(jiān)控體系中,這個(gè)體系出現(xiàn)了一個(gè)漏洞。
攻擊者經(jīng)常采用惡意郵件的方式攻擊受害者,并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過(guò)濾系統(tǒng)大部分就是基于垃圾郵件地址庫(kù)的,顯然,這些合法郵件不在其列。再者,郵件附件中隱含的惡意代碼往往都是0day漏洞,郵件內(nèi)容分析也難以奏效。像這次攻擊就采用了一個(gè)IE0day 漏洞。而企業(yè)和組織目前的安全防御/檢測(cè)設(shè)備無(wú)法識(shí)別這些0day漏洞攻擊;其次,在攻擊者控制受害機(jī)器的過(guò)程中,往往使用SSL鏈接,導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測(cè)系統(tǒng)無(wú)法分析傳輸?shù)膬?nèi)容,同時(shí)也缺乏對(duì)于可疑連接的分析能力;另外,攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候,一定會(huì)向外部傳輸數(shù)據(jù),這些數(shù)據(jù)往往都是壓縮、加密的,沒(méi)有明顯的指紋特征。這導(dǎo)致現(xiàn)有絕大部分基于特征庫(kù)匹配的檢測(cè)系統(tǒng)都失效了;最后,這類攻擊的持續(xù)時(shí)間一般都在幾個(gè)星期甚至幾個(gè)月,通常的SIEM或日志分析產(chǎn)品無(wú)法關(guān)聯(lián)時(shí)間跨度如此大的安全事件;
為了確保對(duì)網(wǎng)絡(luò)內(nèi)部出現(xiàn)的異常行為及時(shí)檢測(cè),必須要對(duì)網(wǎng)絡(luò)內(nèi)部所有節(jié)點(diǎn)的訪問(wèn)行為做持續(xù)監(jiān)控,這就包括對(duì)于每一個(gè)需要關(guān)注的資產(chǎn)對(duì)象,需要按照一定的時(shí)間步長(zhǎng)進(jìn)行以下持續(xù)的統(tǒng)計(jì):
◇作為源地址訪問(wèn)的所有目的地址列表(FanOut);
◇ 作為源地址的所有的目的端口(協(xié)議)列表
◇ 作為目的地址所有源地址列表(FanIn)
◇ 作為目的地址所有源端口列表
◇ 傳送的數(shù)據(jù)大小變化情況
◇ 相互通信列表(a 與b 的交集)
將上面的統(tǒng)計(jì)結(jié)果按照資產(chǎn)排序,找出不同的TOPN,將本期的TOPN與前一期的TOPN紀(jì)錄比較發(fā)現(xiàn)變化。
通過(guò)這個(gè)過(guò)程,一臺(tái)機(jī)器的網(wǎng)絡(luò)行為模型就基本建立,這樣就可以回答用戶關(guān)心的如下問(wèn)題:
◇ 某一天訪問(wèn)了哪些地址,與每天訪問(wèn)的地址列表中的地址(白名單)相似度多少,這些不同的地址是否屬于惡意地址(黑名單)?,這些地址是否屬于整個(gè)內(nèi)部大的白名單?是否確定需要更新名單(黑白)?傳送的文件數(shù)量是否超出閾值?
◇ 通過(guò)整理內(nèi)部所有機(jī)器的訪問(wèn)目的地址列表,找出交集,形成了內(nèi)部大的目的地址白名單。
◇ 這是該用戶應(yīng)該出現(xiàn)的行為嗎?是否被控制了?穿了馬甲?最近的訪問(wèn)行為目的是否出現(xiàn)了嚴(yán)重的異化?比如網(wǎng)絡(luò)管理員的電腦出現(xiàn)了大量的外連上傳行為,其目的是以前從未訪問(wèn)過(guò)的境外地址,而這些地址現(xiàn)在經(jīng)常出現(xiàn)在訪問(wèn)目的地址的TOPN。
根據(jù)APT的攻擊特點(diǎn),從管理范圍來(lái)看,必須是全員都被納入到行為監(jiān)控的范圍里。這里沒(méi)有特權(quán),沒(méi)有例外,因?yàn)槠髽I(yè)里面的每一個(gè)人從高層領(lǐng)導(dǎo)、董秘、網(wǎng)絡(luò)管理員,到基層員工,都有可能成為APT的攻擊目標(biāo)。
但是從一般企業(yè)的實(shí)際情況來(lái)看,要實(shí)現(xiàn)全員監(jiān)控幾乎是不可能的。任誰(shuí)也不愿將自己的網(wǎng)絡(luò)行蹤公布出來(lái)讓其他人平頭論足,但這也是要做APT跟蹤和防護(hù)的一個(gè)必經(jīng)之路,可能只有像富士康這樣已經(jīng)遭遇了大面積數(shù)據(jù)泄露的企業(yè)才能痛下決心,從董事長(zhǎng)帶頭做起,真正認(rèn)識(shí)到信息安全對(duì)企業(yè)的極端重要性,最終走上全員監(jiān)控,徹底審計(jì)的道路,讓披著馬甲的黑客不再有藏身之處。只有這樣,才可以考慮后面如何實(shí)現(xiàn)的策略和技術(shù)手段。
