四类APT安全解决方案面面观
来源:CCTIME飞象网
摘要:今年的全球著名信息安全峰会RSA2013共有350家安全厂商参展,厂家数量超过了以往的RSA年会。单从技术热点来看,这两年的RSA峰会热点并没有太多变化,依然还是围绕数据安全、企业安全管理、合规性、应用程序安全、DLP等热点,而围绕数据和企业安全的APT检测成为了今年RSA大会的最热门话题。
Abstract:
Key words :
今年的全球著名信息安全峰会RSA2013共有350家安全厂商参展,厂家数量超过了以往的RSA年会。单从技术热点来看,这两年的RSA峰会热点并没有太多变化,依然还是围绕数据安全、企业安全管理、合规性、应用程序安全、DLP等热点,而围绕数据和企业安全的APT检测成为了今年RSA大会的最热门话题。
APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的
入侵检测和防御方法在检测和防御APT方面效果很不理想,因此,各安全厂商都在研究新的方法并提出了多种多样的解决方案。笔者在今年RSA峰会现场收集了各安全厂商所宣传的APT安全解决方案并进行了梳理。在下文中,我们先回顾一下整个APT攻击过程,对APT安全解决方案进行分类,再介绍一些代表性厂商的APT安全解决方案,最后给出我们的建议。
APT攻击过程分解
整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤:
1、定向情报收集,即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多,包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT攻击手法来看,大多数APT攻击都是从组织员工入手,因此,攻击者非常注意搜集组织员工的信息,包括员工的微博、博客等,以便了解他们的社会关系及其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入组织网络。
2、单点攻击突破,即攻击者收集了足够的信息后,采用恶意代码攻击组织员工的个人电脑,攻击方法包括:1)社会工程学方法,如通过email给员工发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到网页代码的攻击,RSA公司去年发现的水坑攻击(Wateringhole)就是采用这种攻击方法。这些恶意代码往往攻击的是系统未知漏洞,现有杀毒和个人防火墙安全工具无法察觉,最终结果是,员工个人电脑感染恶意代码,从而被攻击者完全控制。
3、控制通道构建,即攻击者控制了员工个人电脑后,需要构建某种渠道和攻击者取得联系,以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道,这个命令控制通道目前多采用HTTP协议构建,以便突破组织的防火墙,比较高级的命令控制通道则采用HTTPS协议构建。
4、内部横向渗透,一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
5、数据收集上传,即攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。
APT检测和防御方案分类
纵观整个APT攻击过程发现,有几个步骤是APT攻击实施的关键,包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令,以及最后的敏感数据外传等过程。当前的APT攻击检测和防御方案其实都是围绕这些步骤展开。我们把本届RSA大会上收集到的APT检测和防御方案进行了整理,根据它们所覆盖的APT攻击阶段不同,将它们分为以下四类:
1、恶意代码检测类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破阶段,它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定其APT检测和防御方案的,典型代表厂商包括FireEye和GFISoftware。
2、主机应用保护类方案:该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。很多做终端和服务器安全的厂商就是从这个角度入手来制定APT检测和防御方案的,典型代表厂商包括Bit9和趋势科技。
3、网络入侵检测类方案:该类方案主要覆盖APT攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。安全分析人员发现,虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。很多做入侵检测网关的厂商就是从这个角度入手来制定APT攻击防御方案的,典型代表厂商有
启明星辰、飞塔等。
4、大数据分析检测类方案:该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有Hadoop。很多做大数据分析和日志分析的厂商都是从这个角度入手来制定APT攻击检测防御方案的,典型的厂商有RSA和SOLERA。
典型APT检测和防御产品
FireEye恶意代码防御系统
FireEye可以说是本次RSA大会上最火的公司,它所推出的基于恶意代码防御引擎的APT检测和防御方案最引人瞩目。FireEye的APT安全解决方案包括MPS(MalwareprotectionSystem)和CMS(CentralManagement System)两个组件,其中MPS是恶意代码防护引擎,它是一个高性能的智能沙箱,可直接采集网络流量,抽取所携带文件,然后放到沙箱中进行安全检测;CMS是集中管理系统模块,它管理系统中各MPS引擎,同时实现威胁情报的收集和及时分发。FireEye的MPS引擎有以下特点:1)支持对Web、邮件和文件共享三种来源的恶意代码检测;2)对于不同来源的恶意代码,采取专门MPS硬件进行专门处理,目的是提高检测性能和准确性;3)MPS支持除可执行文件之外的多达20种文件类型的恶意代码检测;4)MPS可支持旁路和串联部署,以实现恶意代码的检测和实时防护;5)MPS可实时学习恶意代码的命令和控制信道特征,在串联部署模式可以实时阻断APT攻击的命令控制通道。CMS除了对系统中多个MPS引擎进行集中管理外,还可以连接到云中的全球威胁情报网络来获取威胁情报,并支持将检测到的新型恶意代码情报上传到云中,以实现威胁情报的广泛共享。此外,FireEye还可以和其它日志分析产品结合起来,形成功能更强大的信息安全解决方案。FireEye被认为是APT安全解决方案的佼佼者,其产品被很多500强企业采购。
Bit9的可信安全平台
Bit9可信安全平台(Trust-basedsecurityPlatform)使用了软件可信、实时检测审计和安全云三大技术,为企业网络提供网络可视、实时检测、安全保护和事后取证等四大安全功能,从而可以检测和抵御各种高级威胁和恶意代码。Bit9解决方案核心是一个基于策略的可信引擎,管理员可以通过安全策略来定义哪些软件是可信的。Bit9可信安全平台默认假设所有软件都是可疑和禁止加载执行的,只有那些符合安全策略定义的软件才被认为可信和允许执行。Bit9可以基于软件发布商和可信软件分发源等信息来定义软件的可信策略,同时,bit9还使用安全云中的软件信誉服务来度量软件可信度,从而允许用户下载和安装可信度较高的自由软件。这种基于安全策略的可信软件定义方案其实是实现了一个软件白名单,只有那些在软件白名单中的应用软件才可以在企业计算环境中执行,其它则是禁止执行的,从而保护企业的计算环境安全。Bit9解决方案还包括一个可安装在每个终端和服务器上的轻量级实时检测和审计模块,它是实现实时检测、安全防护和事后取证的关键部件。Bit9的实时检测和审计模块将帮助你获得对整个网络和计算环境的全面可视性,通过它你可以实时了解到各终端和服务器的设备状态和关键系统资源状态,可以看到各终端上的文件操作和软件加载执行情况;同时,实时检测和审计模块还审计终端上的文件进入渠道、文件执行、内存攻击,进程行为、注册表、外设挂载情况等等。Bit9解决方案还包括一个基于云的软件信誉服务,它通过主动抓取发布于互联网上的软件,基于软件发布时间、流行程度、软件发布商、软件来源以及AV扫描结果计算各软件信誉度。Bit9解决方案还支持从其它恶意代码检测厂商(比如FireEye)处获取文件哈希列表,从而可以识别更多的恶意代码和可疑文件。
趋势科技DeepDiscovery
趋势科技的DeepDiscovery专门为APT攻击检测而设计,它采用网络入侵检测技术来检测APT攻击的命令控制通道,同时,还可以通过在入侵检测引擎上部署恶意代码检测沙箱来弥补传统特征攻击检测的不足。DeepDiscovery方案包括检测、分析、调整、响应四个步骤。产品形态上包括Inspector和Advisor两个组件。Inspector是个网络入侵检测引擎,依据获取的威胁情报信息来检测APT攻击过程中的命令控制通道,Inspector可以通过Advisor及时获取到趋势科技的全球威胁情报信息,以便及时检测到各种新型的APT攻击命令控制通道;同时,Inspector还包括一个VirtualAnalyzer组件,它是一个智能沙箱,用来分析捕获的恶意代码。Adivsor为一个管理组件,可以实现对各Inspector引擎的集中管理;同时,它还包括一个可选的恶意代码分析引擎,可以接收来自检测引擎的恶意代码,从而实现恶意代码的集中分析;此外,Advisor还承担了威胁情报的实时收集和分发工作,以实现各Inspector引擎之间威胁情报的广泛共享。
RSA的NetWitness
RSANetWitness是一款革命性的网络安全监控平台,它可为企业提供发生在网络中任何时间的网络安全态势,从而协助企业解决多种类型的信息安全挑战。RSANetWitness是一组软件集合,针对APT攻击的检测和防御则主要由Spectrum、Panorama和Live三大组件实现,其中,RSA NetWitness Spectrum是一款安全分析软件,专门用来识别和分析基于恶意软件的企业网络安全威胁,并确定安全威胁的优先级;RSA NetWitness Panorama通过融合成百上千种日志数据源与外部安全威胁情报,从而可可以实现创新性信息安全分析;RSA NetWitness Live是一种高级威胁情报服务,通过利用来自全球信息安全界的集体智慧和分析技能,可以及时获得各APT攻击的威胁情报信息,极大缩短了针对潜在安全威胁的响应时间。RSA NetWitness具有以下特点:1)可对所有网络流量和各网络服务对象的离散事件进行集中分析,实现对网络的全面可视性,从而获得整个网络的安全态势;2)可以识别各种内部威胁、检测零日漏洞攻击、检测各种定向设计的恶意代码和检测各种APT攻击事件和数据泄密事件;3)可对所捕获的网络和日志数据进行实时上下文智能分析,从而为企业提供可行动的安全情报信息;4)可以借助NetWitness监控平台的可扩展性和强大分析能力来实现过程自动化,从而减少安全事件响应时间,并对变化的安全威胁做出及时调整。
纵观RSA2013大会上参展的主流APT攻击检测和方案后发现,目前各厂家所推出的APT检测防御方法都具有一定的局限性,主要表现为:很多APT攻击检测和防御方案都只能覆盖到APT攻击的某个阶段,从而可能导致漏报;很多APT安全解决方案只能检测APT攻击,并没有提供必要的APT攻击实时防御能力。我们认为,理想的APT安全解决方案应该覆盖APT攻击的所有攻击阶段,也就是说,我们的APT安全解决方案应该包括事前、事中和事后三个处置阶段,从而可能全面的检测和防御APT攻击。理想APT安全解决方案应该同时具有检测和实时防御能力,大数据分析和入侵检测防御技术相结合,大数据智能分析平台应该是APT安全解决方案的核心,实现对APT攻击事件的事后分析和情报获取;同时,还应该配合主机应用控制、实时恶意代码检测和网络入侵防御等技术,以实现对APT攻击的时间检测和防御。各APT安全厂商也已经注意到这个问题,开始通过合作或者完善自身技术方法来改进自己的APT检测和防御方案,以弥补其不足,比如,Junior和RSA近期宣布在威胁情报共享上达成合作协议,Junior的安全产品可以使用RSANetWitnessLive提供的安全威胁情报信息,从而提升其安全网关的检测能力;Bit9的可信安全平台可以和FireEye产品集成,利用FireEye高性能智能沙箱和上亿的恶意代码库识别恶意代码,从而更有效地保障主机终端的安全;FireEye的恶意代码防御引擎可以和第三方的安全事件分析平台(SIEM)进行集成,从而可以实现对APT攻击的事后分析和取证。(启明星辰叶润国)
此内容为AET网站原创,未经授权禁止转载。