知道创宇云图态势感知系统技术白皮书

密级商密云图态势感知系统技术白皮书北京知道创宇信息技术有限公司2016-5北京知道创宇信息技术有限公司2目录1.概述.........................................................................................................................................32.新一代威胁的性质.................................................................................................................53.新一代威胁攻击的五个阶段.................................................................................................74.问题的代价.............................................................................................................................95.新一代威胁如何绕过传统安全...........................................................................................106.传统单点防御的不足...........................................................................................................117.新一代安全阻止高级持续性威胁.......................................................................................12北京知道创宇信息技术有限公司31.概述国际著名IT市场研究机构Gartner公司在2014年安全趋势报告中指出：你所知道的关于安全的一切都在变化常规路线逐渐失控可信能力取代被误导的概念“所有权=信任”所有实体都必须考虑潜在的敌对方所有数据包、URL、设备、应用、用户都是可疑的大量的资源组合使用环境成为作实时安全决策的关键传统安全控制越来越无效反病毒、边界防火墙越来越无效需要改变通过堆叠保护信息的方式超越网络和设备的最终边界违规/高级威胁极难被检测你已经被感染，只是你没有意识到正如Gartner报告所说，安全的一切都在变化，威胁环境也已发生变化。黑客攻击正在从个人向组织化、国家化方向发展，他们目的性强，动机也很明显，往往有明确的商业、经济利益或政治诉求，攻击手段从传统的随机病毒、木马感染及网络攻击，到近来的利用社交工程、各种零日漏洞以及高级逃逸技术（AET）发起的有针对性的APT攻击，具有高级化、组合化、长期化等特点，我们称之为新一代威胁。新一代威胁最明显的一个特点就是能够绕过传统的安全检测和防御体系。网络犯罪分子持有最新的零日漏洞、商业级的工具包以及社会工程技术进行高级针对性攻击。这些威胁行动水平低而缓慢，采用几个阶段和渠道，躲避传统的防御手段，寻找有漏洞的系统和敏感数据。因此在新一代威胁面前，传统基于特征/签名检测的统一威胁管理（UTM）、下一代防火墙（NGFW）、入侵检测/防御系统（IDS/IPS）、防病毒（AV）等安全产品并不能使组织得到充分保护。当前全球IT安全支出显示，几乎所有的费用都花在过时的、基于特征/签名的技术。基于特征/签名的技术只能检测已知威胁，而不是未知的目前正在使用的新一代威胁。针对威胁变种，传统的防御如防火墙、IPS、防病毒、反垃圾邮件和安全网关已经塌陷，给网络罪犯留下一个敞开的漏洞。这就是为什么尽管已经部署了多层传统防御体系，但还是有超过95%的公司网络中有高级恶意软件。现今的攻击利用高级手段，如掺混多态性和个性化，对于基于签名的工具表现出是未知的，但却真的足以绕过垃圾邮件过滤器，甚至骗过有针对性的受害者。例如，网络钓鱼攻击利用社交网站精巧地制作个性化的电子邮件，发送不断变化的恶意网址绕过URL过滤器。传统安全产品正日益成为策略的实施点，而不是更好的抵御网络入侵。例如，URL过滤产品对于执行员工上网使用策略仍是有用的，但对于防范不断变化的网页木马攻击则不再北京知道创宇信息技术有限公司4有效。同样，下一代防火墙（NGFW）只是增加了用户、应用等下一代策略选项，并加强了传统基于签名的保护。虽然NGFW可以加强传统IPS和AV保护，但这些都是基于签名的技术，在保卫网络方面并没有新的提高或创新，集成这些传统的防御不能阻止新一代的威胁。网络攻击已经超过了目前大多数企业使用的防御技术。因此，防范这些攻击需要一个超越静态签名和基本行为启发式的战略。要重新获得对新一代攻击的优势，企业必须转向真正的下一代保护：无需签名，主动，实时。通过对可疑代码贯穿整个攻击生命周期的连续分析和阻塞恶意软件通过多个威胁传播媒介的通信，下一代的保护能够阻止威胁敏感数据资产的高级恶意软件、零日攻击以及高级持续性威胁（APT）。“普遍认为是高级攻击正在绕过我们传统基于签名的安全控制，并持续存在我们的系统中长时间未被发现。这种威胁是真实的。你已经受到损害，你只是不知道这一点。”——Gartner公司，2012北京知道创宇信息技术有限公司52.新一代威胁的性质黑客攻击的形式、功能和复杂程度在几年前已经开始变化。新一代威胁既利用大众市场恶意软件来感染许多系统，又利用复杂的零日恶意软件来感染目标系统。他们混合多种攻击方式包括Web、电子邮件和基于应用的攻击。现今的攻击目标是获取有价值的数据资产——敏感的财务信息，知识产权，认证凭证，内幕信息——而每次攻击往往是一个多阶段的努力渗透网络，传播，最终窃取有价值的数据。从常见的Zeus/Zbot（网银木马）感染到定向的Stuxnet（震网病毒）恶意软件，网络攻击已经证明在窃取敏感数据、造成金融损失和损害企业声誉等方面是有效的。网络犯罪分子正在进行数十亿美元的网络交易活动。一些国家正在利用恶意软件进行网络间谍活动，以刺探反对派活动分子，破坏对手的重要基础设施。由于高风险、零日漏洞的发展和其他犯罪活动被很好的资助，这个支持导致一个活跃的地下生态系统，交易和出售驻留在一些世界上最敏感网络的入口。黑客行动如火焰病毒、极光行动和Nitro攻击等使用定向的APT攻击手段、网络钓鱼以及高级恶意软件已经影响了全球的企业和政府。在信息“供应链”中的每个组织都有被攻击的风险。例如，2011年3月RSA（EMC的一个部门）双因素认证算法的被窃显示了这些攻击的战略性质：他们从RSA窃取的知识产权“作为更广泛攻击的一部分，可能被用于降低当前双因素认证实施的有效性”，使得网络犯罪分子打破了全球的企业。2012年4月，VMware（EMC的子公司）证实，黑客已经公开发布了VMware在2003年和2004年期间的部分源代码。随着越来越多的数据中心采用虚拟化，“普林斯顿大学的研究人员在2013年的一个研究中发现，流行的开源虚拟化管理程序Xen和KVM有近100个安全漏洞，其中超过三分之一的Xen漏洞和近一半的KVM漏洞可以让攻击者访问主机系统。”这只是两个被用于进一步的APT攻击中的高级的有针对性的攻击并寻找有价值的知识产权的例子。“企业面临着不断变化的威胁情况下，他们并没有准备好应对措施。”——Gartner公司“最佳实践缓解高级持续性威胁。”2012年1月“APT攻击者有更高的积极性。他们有更好的技能，更好的资金，更有耐心。他们可能尝试多种不同的攻击途径。而且他们更容易成功。”——BruceSchneier“高级持续性威胁（APT）。”2011年11月北京知道创宇信息技术有限公司6RSASecurID攻击事件分析北京知道创宇信息技术有限公司73.新一代威胁攻击的五个阶段新一代威胁是复杂的，综合多种攻击途径以最大化突破网络防御的机会。多途径攻击通常是通过Web或电子邮件传递。他们利用应用程序或操作系统的漏洞，利用传统的网络保护机制无法提供统一的防御。除了使用多种途径，高级定向攻击还采用多个阶段穿透一个网络，然后提取有价值的信息。这使得它的攻击更不容易被发现。整个攻击生命周期的五个阶段如下：第一阶段：踩点在APT攻击中，攻击者会花几个月甚至更长的时间对目标网络进行踩点，针对性地进行信息收集，目标网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。第二阶段：渗透在多数情况下，攻击者会向目标公司的员工发送邮件，诱骗其打开恶意附件，或单击一个经过伪造的恶意URL，希望利用常见软件(如Java或微软的办公软件)的零日漏洞，投送其恶意代码。一旦到位，恶意软件可能会复制自己，用微妙的改变使每个实例都看起来不一样，并伪装自己，以躲避扫描。有些会关闭防病毒扫描引擎，经过清理后重新安装，或潜伏数天或数周。恶意代码也能被携带在笔记本电脑、USB设备里，或者通过基于云的文件共享来感染一台主机，并在连接到网络时横向传播。移动系统忘记打补丁是很常见的，所以他们很容易受到已知和未知的漏洞利用攻击。一般来说，通过使用零日攻击和社会工程技术，即使最新的主机也可以被感染，特别是当这个系统脱离企业网络后。第三阶段：植入随着漏洞利用的成功，更多的恶意软件的可执行文件——击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着，犯罪分子现在已经建成了进入系统的长期控制机制。第四阶段：控制一旦恶意软件安装，攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的，其目的就是允许从外部控制员工电脑或服务器，即这些工具从位于中心的命令和控制服务器接受命令，然后执行命令，而不是远程得到命令。这种连接方法使其更难以检测，因为员工的机器是主动与命令和控制服务器通信而不是相反。第五阶段：收割也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后，APT攻击者往往要将数据收集到一个文档中，然后压缩并加密该文档。此操作可以使其隐藏内容，防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输和目的地分踩点渗透植入控制收割北京知道创宇信息技术有限公司8析出站流量。那些使用工具监控出站传输的组织也只是寻找“已知的”恶意地址和受到严格监管的数据。北京知道创宇信息技术有限公司94.问题的代价企业付出高昂的运营价格。2012年信息周刊调查发现，超过四分之一受访企业在2011年度IT预算上至少花费10％至25％在安全上。“网络钓鱼和恶意软件有一个强有力的团队。根据我们（信息周刊）的调查显示，恶意软件仍然是我们的受访者所经历的排名第1的违规类型。”2013年安全机构Ponemon的数据泄露成本调查发现，恶意软件或黑客攻击造成的数据泄露损失比系统故障或人为错误造成的损失高出很多。事实上，Ponemon发现，在他们调查的所有九个国家中，恶意软件或黑客攻击是最昂贵的数据泄露事件，恶意攻击制造更多的损失是因为它们很难被检测到，调查进一步发现，他们更难以遏制和修复。恶意软件或黑客攻击分类图1：恶意攻击是数据泄露占比不断提高的根本原因。北京知道创宇信息技术有限公司105.新一代威胁如何绕过传统安全新一代威胁穿透一个网络，然后提取值信息时，要跨越多个途径和多个阶段。网络犯罪结合Web、电子邮件和基于文件的攻击途径进行攻击，使他们更不容易为被发现。当前的防火墙，IPS，防病毒和Web安全网关几乎没有机会阻止使用零日漏洞、一次性恶意软件以及APT手段的攻击者。这些混合的，多阶段的攻击之所以成功，是因为传统的安全技术依赖于静态的基于签