一、 安全威胁对抗进入新的阶段
1.1 威胁:四面围城
从整体上看,当前的安全威胁呈现出四个方面的演进趋势,可称之为四面围城:
第一,***面不断扩大。从传统IT的基础设施扩展到供应链、工控、云以及BYOD和IoT设备。
第二,***成本不断降低。在2015年5月27日发布的报告 中披露了越方针对我方的***,其特点是使用了美方所生产的商用***平台Cobalt Strike。本次WannaCry事件和伪装成勒索蠕虫的“必加”事件,所采用的都是美国NSA在2017年4月14日被“影子经纪人”披露的军火级的漏洞。
第三,***支撑点不断增加。黑产大数据当前已经成为一个地下的情报体系,僵尸网络提供了大量的僵尸节点,同时比特币又提供了一种新的不可追溯的牟利方式。
第四,***方式不断立体。过去,简单的在网络上达成进出的***正在演变成立体的***,比如,在“乌克兰停电事件”中,其作业方式实际上是由线上的恶意代码***与线下的对应急电话的DDoS***组合构成的。包括我们所看到的大量针对前置供应链的预制,以及有人带入和传统电磁的手段。
在此情况下,单点的安全产品均不能应对全面的安全问题,因此,更需要全面建设系统性的态势感知能力。但在传统的态势感知中存在大量的top或者“地图炮”的情况,且一些人仍以产品防御了多少亿次的***作为衡量。如果在DDoS时代和蠕虫时代,事件的传播次数或者***次数是事件强度的度量衡,那么在APT这种高隐蔽性的***下,这种统计是完全没有意义的,正如在2016年5月25日总书记所说的“易于看见的***往往不是更高风险的威胁,更高风险的威胁往往是难以被看到的***”。
1.2 传统的对抗
从另一角度来看,***和安全手段之间的对抗也进入到了一个新的历史阶段。对于传统的对抗可以概括成三类:
第二,***成本不断降低。在2015年5月27日发布的报告中披露了越方针对我方的***,其特点是使用了美方所生产的商用***平台Cobalt Strike。本次WannaCry事件和伪装成勒索蠕虫的“必加”事件,所采用的都是美国NSA在2017年4月14日被“影子经纪人”披露的军火级的漏洞。第一类是对载荷检测的对抗,主要是对传统检测引擎归一化机制的穿透。
第二类是对主机系统的场景对抗,我们将其称为Rootkit,当然其也演变出了BIOSkit或Bootkit等,其核心就是使***载荷无法被安全产品的IO能力获取,从而无法进入到产品的内部循环中。
第三类是网络侧的逃逸技术。是通过各种加密、编码、伪装、夹带等方式来对抗相应的感知和分析手段。
1.3 对能力点和能力闭环的***
总体来看,传统的对抗还是单点对抗,所对应的是安全产品内建的从IO到检测,再到处置的循环,以免杀、隐蔽、逃逸、对抗作为其基础***点。
目前,该***已经演变成了一种体系性的***,不仅可以***“IO→检测→处置”的小闭环,还能***安全厂商和其产品之间的大闭环。首先,各种产品本身是可以被***方获取来进行相关模拟测试的,包括搭建相应的场景;其次,无论是安全厂商向客户的能力发布,还是客户向安全厂商的感知上行,本身都是可以被干扰的。此外,类似Duqu2.0(毒曲)***卡巴斯基的事件说明了安全厂商也是高级威胁的直接目标,而且安全厂商每日所接收的大量数据中也存在大量的干扰。
1.4 ***装备针对主动防御、物理隔离等的穿透
可以看到,高等级***者的穿透是有机理性质的,并非简单的一对一的特征免杀对抗,而是针对主动防御机制基于行为特性加权的弱点展开的。比如,美方将其主机作业拆解为原子化作业,使其任意模块都无法构成告警;***者采用专用的投放硬件设备达成***的注入和信息的回传,这就绕开了网络内的监测场景(后端具有***平台的支撑)。
1.5 ***者的感知覆盖和能力前出
实际上,在防御方具有态势感知的情况下,***者也具有态势感知。根据斯诺登泄露的文档可以看到,自2007年起,NSA开始制定CamberDaDa计划,其所关注的目标包括俄罗斯国防产品出口公司等。该计划如何保证对***目标的***有效性?实际上是利用了其已经在俄方电信体系中建立的持久化节点去关注***目标和卡巴斯基之间的通讯,当***目标向卡巴斯基的告警中含有美方的样本或者***信息时,则认为***已经暴露;当在告警中含有第三方样本时,美方则会尝试第三方样本是否可以被二次利用。
1.6 网络靶场——防御能力的搭建和模拟
同时,目前广泛使用的网络靶场技术,使得传统的对杀毒软件进行免杀处理或者对单一安全产品进行穿透的方法变成了模拟防御方的整个防御体系,从而研究如何有效绕过防御方体系的方法。
1.7 建立应对安全问题的有效“敌情想定”
在***方系统性的能力演进的情况下,如果仍采用传统的“物理隔离+好人假定+规则推演”的思路去思考安全问题,将构成当前最大的自我安全麻痹,因此,无论是研发态势感知还是具体的安全产品,都需要建立在有效的“敌情想定”的基础上。总书记在4.19讲话中也明确告诫我们“物理隔离防线可以被跨网***”,使用单一产品保安全的思路已经过时了。