应对APT的挑战
震网出来之后的4年内,围绕其的分析主要有:它是如何攻击位于Natanz的伊朗核设施的?它是如何隐藏自己的?它是如何违背开发者的期望并扩散到Natanz之外的?但是这些分析的主要内容要么是错误的要么是不完整的。这些问题困扰着网络安全专家、军事战略家、信息安全专家、政治决策者和广大公众。
与之前出现的病毒、木马全然不同,类似于震网这样的。APT(高级持续性感染)种类的攻击是另外完全不同的一种,那么,如何有效应对APT攻击?
业内专家分析说,在早期感染式病毒为主导的时代,我们面对的是对文件完整性的焦虑,因此,我们要进行人工分析,编写清除病毒的参数、脚本或模块,把文件恢复到感染前的状态;而对于蠕虫,我们面对的是及时性焦虑,类似Slammer在不到十分钟的时间就感染了全球百万台SQL Server服务器的等情况,让产业界更关注发现并遏制蠕虫的及时性;而对于木马,我们主要担心其数量级数的膨胀,是一种数量级和处理能力焦虑,我们需要增强海量计算资源的自动分析和终端上的主动防御能力与之抗衡;而对于APT,我们却是难以预见和防御的,我们对APT的恐惧是对其后果的焦虑,那么我们应如何有效应对APT?我们所能做的是如何更快速的感知和深度分析APT,以及对APT的回溯评估。
他进一步尖锐地指出,“面对类似APT等新兴威胁,传统查杀率统计已经失去了意义,安全厂商能力表现的度量衡又是什么呢?”
在过去,大部分蠕虫病毒虽然让安全企业很困扰,但大部分病毒可以在24小时内被捕获,有的时间稍长但也是以天来计算。而APT时代,“我们对相关恶意代码的感知时间则以年为单位来计算,比如,Flame是在初始活动近5年后才被发现的,这是由于投放的定向性、条件触发、自毁等方法导致的攻守不平衡。而另一原因也是境内外能力与信息的不对称,无法得到国外工控等厂商的技术支持。”
不同的时代,由于威胁对象和方法的不同,引发了需求和焦虑感的不同,进而导致我们工作方法也随之产生相应地改变。
对抗方式的改变
攻击方式的改变,攻击思维的改变,意味着对抗方式必须改变。最初的安全对抗只是单纯的加密与解密的对抗;之后的系统安全也相对简单。但APT出现后的网络攻防的复杂程度已经超越以往。
那么,中国网络安全防护的现状如何?相关人士分析说,仅在漏洞发现方面,我们就远远落后于我们的对手。
就APT攻击而言,攻击者通常会组合使用“零日漏洞”(0day)、用社会工程学攻击方法、使用特征未知尚不能检测的攻击程序等。杜跃进认为,有三类漏洞影响着中国的网络安全。一类是隐藏多年的“战略级储备漏洞”,它们具有重大利用价值、被攻击者长期秘密掌握而不为外人所知。第二类是多如牛毛的“自主开发的漏洞”。这些漏洞是因为我们的软件开发人员不懂得安全编程、所用的软件也不经过安全检测和审计,最终导致大量的自主开发软件存在多如牛毛的漏洞( 因为如今都是联网环境,这些漏洞都比较容易被攻击者探测和利用)。第三类是复杂关联的“代码共用漏洞”,指的是现在大量软件互相共用代码模块,导致某个软件的漏洞实际上会影响大量其他软件,但是这种漏洞的关联影响常常从用户到开发者都没注意到。
2012年,国外媒体刊登了一篇文章《玻璃龙》,玻璃,意味着透明。作者是一个技术人员,他花了一年半的时间每天花费7个小时探测和研究中国的网站。种种观察之后,这篇文章最后得出观点:“中国的网络攻击能力与其经济大国的地位不相称,能力偏低;网站缺少基本的防护,数以万计的网络和数据库难以抵挡远程攻击;中国黑客使用的工具质量低下、隐蔽能力差、加密技术落后,代码重复使用普遍;攻击方式比较低级,似乎只在攻击某一特定行业时比较在行。这名黑客还分析了之所以出现这种情况的原因,包括,人才培养不够,缺乏有效的安全管理等等。
杜跃进认为,这个分析是比较客观的。“值得关注的是,我们的很多软件,系统,包括承载着许多敏感信息的系统都漏洞百出。因为我们不懂怎么做安全的设计和安全的开发与测试,但是今天互联网与全球连接,有的是人对我们感兴趣,如果不解决这些问题,未来的网络安全状况可想而知。”
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。