APT攻擊其實每天都在發生,我們的網絡資源、機密數據其實都在源源不斷的泄露出去而沒有察覺,現在新的信息安全的理念是“以“假定已陷入危險”的方式考慮信息安全問題”,信息安全策略成功的定義已經不是將入侵者擋在門外,而是盡管攻擊者有時已經進入網絡,但是能夠盡快發現并將影響最小化“。如何發現攻擊者的蛛絲馬跡?也許要采取同以往完全不同的思路來考慮這個問題。
北京時間6月4日消息,一個自稱"SwaggSec"的黑客組織聲稱,這個團體已經攻入華納兄弟和中國電信的網絡,發布了據稱是被其攻破后所獲取的文件和登陸證書。這個名為SwaggSec(又稱“Swagg Security”)近日通過Twitter消息宣稱其黑入了上述兩家公司的網絡,并在代碼分享網站Pastebin上發布了一份聲明,同時提供了通往BT網站海盜灣(Pirate Bay)的被盜文件的鏈接。
今年2月,據搜狐IT報道,"SwaggSec"黑客組織在Twitter上宣稱利用漏洞攻破了全球最大電子配件制造商富士康的內部網絡,獲取了包括微軟、蘋果在內的大量富士康客戶的郵箱和密碼信息。SwaggSec聲稱,他們抓住了一個富士康員工IE瀏覽器上未修復的漏洞,輕易繞過防火墻并以管理員身份入侵內網,他們在文檔中公布了大量富士康內部資料,包括可以登錄多個內網服務器的用戶名密碼以及部分財務信息,這些服務器目前已經被緊急關停。被SwaggSec入侵的還包括一個富士康的郵箱服務器,這令黑客成功獲得了富士康所有用戶的郵箱密碼,其中還包括CEO郭臺銘。
據天融信安全研究中心分析,從上述簡短介紹來看,包括富士康公司在內的幾家公司其實是遭到了APT攻擊。所謂APT攻擊,就是“高級可持續性攻擊”,或叫“針對特定目標的攻擊”。它結合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊、社會工程學方法等多種攻擊的高端攻擊模式,它不再像傳統的攻擊方式找企業的漏洞,而是從人開始找薄弱點,APT往往利用組織內部的人員作為攻擊跳板。一步一步的獲取那些網絡、安全管理人員的進入組織內部的高級權限,然后滲透到網絡內部后長期蟄伏,不斷收集各種信息,直到收集到重要情報。
具體到富士康那個案例,那個遭到攻擊的富士康員工或者就是一個安全管理員,具備了訪問多個內部服務器的權限。當他的電腦被入侵以后,實際上已經成為了穿上網絡安全管理員馬甲的黑客控制的僵尸機。由于在一般企業中網絡管理員的權限過高,沒有監督機制,一旦被入侵,這些電腦就可以被黑客利用,在內網中長驅直入,沒有任何監督可言。導致這次富士康大量服務器數據大量被竊取。
盡管富士康公司對網絡安全已經十分重視,部署了相對完備的縱深安全防御體系,可能既包括針對某個安全威脅的安全設備,如防火墻、IDP、防病毒也包括了將各種單一安全設備串聯起來的管理平臺如SOC,而防御體系也可能已經涵蓋了事前、事中和事后等各個階段,但是依舊對這次攻擊無能為力。因為即使這些安全體系十分全面,但是忽略了一個至關重要的因素,那就是網絡安全管理員本身沒有被納入監控體系中,這個體系出現了一個漏洞。
攻擊者經常采用惡意郵件的方式攻擊受害者,并且這些郵件都被包裝成合法的發件人。而企業和組織現有的郵件過濾系統大部分就是基于垃圾郵件地址庫的,顯然,這些合法郵件不在其列。再者,郵件附件中隱含的惡意代碼往往都是0day漏洞,郵件內容分析也難以奏效。像這次攻擊就采用了一個IE0day 漏洞。而企業和組織目前的安全防御/檢測設備無法識別這些0day漏洞攻擊;其次,在攻擊者控制受害機器的過程中,往往使用SSL鏈接,導致現有的大部分內容檢測系統無法分析傳輸的內容,同時也缺乏對于可疑連接的分析能力;另外,攻擊者在持續不斷獲取受害企業和組織網絡中的重要數據的時候,一定會向外部傳輸數據,這些數據往往都是壓縮、加密的,沒有明顯的指紋特征。這導致現有絕大部分基于特征庫匹配的檢測系統都失效了;最后,這類攻擊的持續時間一般都在幾個星期甚至幾個月,通常的SIEM或日志分析產品無法關聯時間跨度如此大的安全事件;
為了確保對網絡內部出現的異常行為及時檢測,必須要對網絡內部所有節點的訪問行為做持續監控,這就包括對于每一個需要關注的資產對象,需要按照一定的時間步長進行以下持續的統計:
◇作為源地址訪問的所有目的地址列表(FanOut);
◇ 作為源地址的所有的目的端口(協議)列表
◇ 作為目的地址所有源地址列表(FanIn)
◇ 作為目的地址所有源端口列表
◇ 傳送的數據大小變化情況
◇ 相互通信列表(a 與b 的交集)
將上面的統計結果按照資產排序,找出不同的TOPN,將本期的TOPN與前一期的TOPN紀錄比較發現變化。
通過這個過程,一臺機器的網絡行為模型就基本建立,這樣就可以回答用戶關心的如下問題:
◇ 某一天訪問了哪些地址,與每天訪問的地址列表中的地址(白名單)相似度多少,這些不同的地址是否屬于惡意地址(黑名單)?,這些地址是否屬于整個內部大的白名單?是否確定需要更新名單(黑白)?傳送的文件數量是否超出閾值?
◇ 通過整理內部所有機器的訪問目的地址列表,找出交集,形成了內部大的目的地址白名單。
◇ 這是該用戶應該出現的行為嗎?是否被控制了?穿了馬甲?最近的訪問行為目的是否出現了嚴重的異化?比如網絡管理員的電腦出現了大量的外連上傳行為,其目的是以前從未訪問過的境外地址,而這些地址現在經常出現在訪問目的地址的TOPN。
根據APT的攻擊特點,從管理范圍來看,必須是全員都被納入到行為監控的范圍里。這里沒有特權,沒有例外,因為企業里面的每一個人從高層領導、董秘、網絡管理員,到基層員工,都有可能成為APT的攻擊目標。
但是從一般企業的實際情況來看,要實現全員監控幾乎是不可能的。任誰也不愿將自己的網絡行蹤公布出來讓其他人平頭論足,但這也是要做APT跟蹤和防護的一個必經之路,可能只有像富士康這樣已經遭遇了大面積數據泄露的企業才能痛下決心,從董事長帶頭做起,真正認識到信息安全對企業的極端重要性,最終走上全員監控,徹底審計的道路,讓披著馬甲的黑客不再有藏身之處。只有這樣,才可以考慮后面如何實現的策略和技術手段。
