APT攻击其实每天都在发生,我们的网络资源、机密数据其实都在源源不断的泄露出去而没有察觉,现在新的信息安全的理念是“以“假定已陷入危险”的方式考虑信息安全问题”,信息安全策略成功的定义已经不是将入侵者挡在门外,而是尽管攻击者有时已经进入网络,但是能够尽快发现并将影响最小化“。如何发现攻击者的蛛丝马迹?也许要采取同以往完全不同的思路来考虑这个问题。
北京时间6月4日消息,一个自称"SwaggSec"的黑客组织声称,这个团体已经攻入华纳兄弟和中国电信的网络,发布了据称是被其攻破后所获取的文件和登陆证书。这个名为SwaggSec(又称“Swagg Security”)近日通过Twitter消息宣称其黑入了上述两家公司的网络,并在代码分享网站Pastebin上发布了一份声明,同时提供了通往BT网站海盗湾(Pirate Bay)的被盗文件的链接。
今年2月,据搜狐IT报道,"SwaggSec"黑客组织在Twitter上宣称利用漏洞攻破了全球最大电子配件制造商富士康的内部网络,获取了包括微软、苹果在内的大量富士康客户的邮箱和密码信息。SwaggSec声称,他们抓住了一个富士康员工IE浏览器上未修复的漏洞,轻易绕过防火墙并以管理员身份入侵内网,他们在文档中公布了大量富士康内部资料,包括可以登录多个内网服务器的用户名密码以及部分财务信息,这些服务器目前已经被紧急关停。被SwaggSec入侵的还包括一个富士康的邮箱服务器,这令黑客成功获得了富士康所有用户的邮箱密码,其中还包括CEO郭台铭。
据天融信安全研究中心分析,从上述简短介绍来看,包括富士康公司在内的几家公司其实是遭到了APT攻击。所谓APT攻击,就是“高级可持续性攻击”,或叫“针对特定目标的攻击”。它结合了包括钓鱼攻击、木马攻击、恶意软件攻击、社会工程学方法等多种攻击的高端攻击模式,它不再像传统的攻击方式找企业的漏洞,而是从人开始找薄弱点,APT往往利用组织内部的人员作为攻击跳板。一步一步的获取那些网络、安全管理人员的进入组织内部的高级权限,然后渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。
具体到富士康那个案例,那个遭到攻击的富士康员工或者就是一个安全管理员,具备了访问多个内部服务器的权限。当他的电脑被入侵以后,实际上已经成为了穿上网络安全管理员马甲的黑客控制的僵尸机。由于在一般企业中网络管理员的权限过高,没有监督机制,一旦被入侵,这些电脑就可以被黑客利用,在内网中长驱直入,没有任何监督可言。导致这次富士康大量服务器数据大量被窃取。
尽管富士康公司对网络安全已经十分重视,部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,如防火墙、IDP、防病毒也包括了将各种单一安全设备串联起来的管理平台如SOC,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段,但是依旧对这次攻击无能为力。因为即使这些安全体系十分全面,但是忽略了一个至关重要的因素,那就是网络安全管理员本身没有被纳入监控体系中,这个体系出现了一个漏洞。
攻击者经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,邮件内容分析也难以奏效。像这次攻击就采用了一个IE0day 漏洞。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;其次,在攻击者控制受害机器的过程中,往往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力;另外,攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;最后,这类攻击的持续时间一般都在几个星期甚至几个月,通常的SIEM或日志分析产品无法关联时间跨度如此大的安全事件;
为了确保对网络内部出现的异常行为及时检测,必须要对网络内部所有节点的访问行为做持续监控,这就包括对于每一个需要关注的资产对象,需要按照一定的时间步长进行以下持续的统计:
◇作为源地址访问的所有目的地址列表(FanOut);
◇ 作为源地址的所有的目的端口(协议)列表
◇ 作为目的地址所有源地址列表(FanIn)
◇ 作为目的地址所有源端口列表
◇ 传送的数据大小变化情况
◇ 相互通信列表(a 与b 的交集)
将上面的统计结果按照资产排序,找出不同的TOPN,将本期的TOPN与前一期的TOPN纪录比较发现变化。
通过这个过程,一台机器的网络行为模型就基本建立,这样就可以回答用户关心的如下问题:
◇ 某一天访问了哪些地址,与每天访问的地址列表中的地址(白名单)相似度多少,这些不同的地址是否属于恶意地址(黑名单)?,这些地址是否属于整个内部大的白名单?是否确定需要更新名单(黑白)?传送的文件数量是否超出阈值?
◇ 通过整理内部所有机器的访问目的地址列表,找出交集,形成了内部大的目的地址白名单。
◇ 这是该用户应该出现的行为吗?是否被控制了?穿了马甲?最近的访问行为目的是否出现了严重的异化?比如网络管理员的电脑出现了大量的外连上传行为,其目的是以前从未访问过的境外地址,而这些地址现在经常出现在访问目的地址的TOPN。
根据APT的攻击特点,从管理范围来看,必须是全员都被纳入到行为监控的范围里。这里没有特权,没有例外,因为企业里面的每一个人从高层领导、董秘、网络管理员,到基层员工,都有可能成为APT的攻击目标。
但是从一般企业的实际情况来看,要实现全员监控几乎是不可能的。任谁也不愿将自己的网络行踪公布出来让其他人平头论足,但这也是要做APT跟踪和防护的一个必经之路,可能只有像富士康这样已经遭遇了大面积数据泄露的企业才能痛下决心,从董事长带头做起,真正认识到信息安全对企业的极端重要性,最终走上全员监控,彻底审计的道路,让披着马甲的黑客不再有藏身之处。只有这样,才可以考虑后面如何实现的策略和技术手段。