2.安徽省电力公司信息通信分公司 230061;3.北京中电普华信息技术有限公司 100085)
摘要:针对于电力信息网络日益猖獗的攻击行为,利用目前企业中已有的安全防护设备,结合国内外针对APT攻击的安全研究技术,构建一套新型纵深防御体系模型,形成安全威胁防护闭环。
关键词:纵深防御;APT;大数据;威胁分析;威胁检测
1.电力信息安全新威胁
随着信息安全环境的恶化和安全威胁的日益严峻,攻击者的目标方式和攻击心理都正在发生快速变化。攻击者的动机已不仅仅在于炫耀技术,已从自我满足,无利益诉求转向团队化作战、获取商业、政治利益为目的的攻击方式,受政治、经济等多方面影响更具有功利性,攻击者形成利益群体,分工明确,目的性强,伴随着地下黑色产业链的利益效应,攻击者群体更为明确、专注的攻击目标,且行为更为隐藏,持续性时间可长达数年。此外,云计算、虚拟化、大数据、移动互联网等新技术在电力行业迅速应用,也不可避免的引入新的安全问题并对当前的信息安全防护能力提出新的挑战。
1.1网络威胁新动态
近些年来针对电力工控系统的攻击事件日益频繁,如席卷全球工业界的震网(Stuxnet)病毒攻击使得伊朗核工业基础设施遭到重创;代号夜龙(Night Dragon)的APT攻击使得5家跨国能源公司遭到攻击,超过千兆字节的敏感文件被窃,包括油气田操作的机密信息、项目融资与投标文件等;blackenergy APT攻击使得乌克兰多家电厂设施被感染,造成大面积停电,整个城市陷入恐慌,损失惨重。这一系列的安全事件,凸显了网络新型攻击的高威胁性,这里总结了新型网络攻击与企业防护能力的关系。
1)变种多、传播快
新型网络攻击为了能够躲避安全检测、防护类设备的识别,往往会进行一定程度的伪装,通过对代码进行混淆处理、攻击包碎片化或者恶意软件加壳等方式进行防护绕过,由于攻击者具有较强的目的性和持续性,在针对某个系统的一次攻击未成功发生的前提下,攻击者一般会变换攻击方式,对攻击包或者恶意软件进行进一步混淆化处理以为了能够绕过安全防护设备达到攻击效果。据统计40%的攻击会在1小时之内对下一个组织机构发起攻击,可见新型网络攻击的传播速度之快。
2)目标唯一性
新型网络攻击会在攻击发动之前对攻击目标的安全现状进行扫描分析并制定针对该攻击目标特定的攻击方式和攻击数据包,以为了减少攻击过程被目标网络安全设备阻挡的可能性,最大程度上确保攻击的成功率。据统计70%—90%的恶意文件样本对组织来说是唯一的,这也说明攻击具有极强的目的性。
3)高级持续性威胁
高级持续性威胁也就是通常所说的APT攻击,对于目前传统常规防御体系内的系统而言是对安全性的最大挑战。对于高级持续性威胁而言,高级体现在可绕过目前的防御系统,攻击者的攻击变种多,手段丰富;持续性体现在攻击者会不断进行攻击尝试,直到攻击成功进入目标系统,并且一旦进入,就可以成功躲避目前的检测系统,直到实现其攻击目的;威胁体现在这种攻击可造成极大危害,如长期占领受害系统可持续获取敏感信息,对受害系统进行定时定点针对性破坏等等。
所以,就目前传统的安全防护系统而言,安全设备之间相对孤立,设备之间缺乏联动,安全孤岛现象突出,在高级持续性威胁(APT)攻击面前束手无策,无法形成真正的安全体系。
2.新型纵深防御体系
2.1APT攻击防御方案
在之前的部分,讨论了当前的攻击者类型,及由此而来的新一代威胁;同时由于传统的安全技术很难应这种新型的威胁,因此进一步讨论了需要怎样的技术来应对。在这一章希望提供一些具体方案层面的建议。
正是因为传统安全防御机制在APT攻击下缺乏必要的监测能力,因此近年来有大量的建立较完善传统防御机制的企业被APT攻击者成功得手,针对APT攻击,国内外安全界一直保持持续关注和研究,并提出了多种不同的检测或预防技术,本文提出的威胁分析系统就是其中核心技术之一。
威胁分析系统可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。
系统共三个核心检测组件:病毒检测引擎、静态检测引擎(包含漏洞检测及shellcode检测)和动态沙箱检测引擎,通过多种检测技术的并行检测,在检测已知威胁的同时,可以有效检测0day攻击和未知攻击,进而能够有效地监测高级可持续威胁,其主要功能如下:
1)动态沙箱检测(虚拟执行检测)
动态沙箱检测,也称虚拟执行检测,它通过虚拟机技术建立多个不同的应用环境,观察程序在其中的行为,来判断是否存在攻击。这种方式可以检测已知和未知威胁,并且因为分析的是真实应用环境下的真实行为,因此可以做到极低的误报率,而较高的检测率。
图1 虚拟执行过程图
2)集成多种已知威胁检测技术:AV、基于漏洞的静态检测
静态漏洞检测模块,不同与基于攻击特征的检测技术,它关注与攻击威胁中造成溢出等漏洞利用的特征,虽然需要基于已知的漏洞信息,但是检测精度高,并且针对利用同一漏洞的不同恶意软件,可以使用一个检测规则做到完整的覆盖,也就是说不但可以针对已知漏洞和恶意软件,对部分的未知恶意软件也有较好的检测效果。
2.2网络高级威胁防护体系
APT高级持续性攻击,普遍采用“攻击链”的方式逐步渗透。总体来说,可以分为三个大的环节,即尝试进入阶段、潜伏扩散阶段和数据盗取阶段。
新型纵深防御体系能够对APT威胁进行检测和防御,切断APT威胁的攻击链,在威胁尝试进入企业,在企业内部进行扩散,以及最后的信息盗取的每一个环节,都有对应的防护方案。
图2 APT攻击链和防护方案
网络高级威胁防护体系,有本地威胁分析系统、威胁防护模块入侵防御系统、大数据分析平台和安全管理平台等系统组成。威胁分析系统和入侵防御系统首先会和大数据分析平台进行远程联动,同步更新信誉库。
图3 联动部署图
网络高级威胁防护体系场景各个模块工作流程:
1.威胁分析系统把产生的告警日志上报给大数据分析平台,大数据分析平台根据威胁分析系统上传的告警日志进行威胁分析;
2.入侵防御系统把产生的入侵防护日志上传给大数据分析平台,大数据分析平台根据入侵防御系统上传入侵防护日志进行威胁分析;
3.威胁分析系统对镜像的流量还原,通过静态检测和虚拟执行技术,上报恶意软件中存在下载地址,回连地址,样本及告警信息上报给安全管理平台;
4.安全管理平台将整合的信息以信誉库的形式下发给入侵防御系统;
5.入侵防御系统在现网中对匹配信誉库的恶意软件的下载和回连信息进行拦截,告警信息上报给安全管理平台。
3.新型纵深防御体系的构建措施
图4 纵深防御体系构建模型图
上文简单阐述了面对网络高级威胁时建立的一个简易安全防御体系模型,以此类推针对邮件高级威胁和终端高级威胁所构建的防御体系模型与此类似,以上这些场景核心都是威胁分析系统加上一种专业安全防护系统的组合方案。还可以根据实际的业务需求,防护系统进行组合,比如网络和邮件,邮件和终端等。根据防护通道的侧重来选择和组合不同的部署场景。
通过此纵深防御体系,可有效检测和防御APT威胁,帮助企业建立安全防护的金钟罩。
●威胁“进不来”
把威胁阻挡在企业外网,防止威胁进入到企业。攻击初始阶段的检测和防御,是纵深防御体系的重中之重。在攻击初始阶段,攻击者常用“水坑攻击”和“钓鱼攻击”方式,定向诱导用户上网下载软件或者打开邮件,以此感染恶意软件。纵深防御体系。从上网、邮件、终端等不同层面对威胁进行检测和防御。
●扩散“藏不住”
对少部分进入到网络的威胁,在其尝试扩散攻击时及时检测和防护。终端安全套件既能防范已知威胁,还会和威胁分析系统进行联动,检测高级威胁,让其无所遁形。通过大数据分析网络流量、注册表等异常,分析APT威胁的蛛丝马迹。
●敏感数据“带不走”
敏感数据泄露防护。APT威胁是以窃取敏感数据为最终目的。经过APT威胁检测和防御,已经能够将绝大部分的威胁拒之门外,最后通过数据泄露防护,让APT威胁不能完成目的,有效保护敏感数据。
4.结语
本文提出的新型纵深防御体系,从网络边界到内网终端,既能防御传统安全威胁,还特别针对APT攻击进行检测和防御,形成预警、检测、防护、清除的安全威胁防护闭环。
新一代威胁以及 APT 攻击在近年逐渐被政府及企业重视起,从时间上看来,攻击者在多年以前就开始使用新一代的手段和技术,但是到现今才被市场真正的重视,这似乎预示着防御总是会落后于攻击。但是市场并没有一致的认识,怎样的方案是适合的,本文中提出的新型纵深防御体系模型希望能给大家一些启发,帮助找到满足业务需要的解决案。
参考文献:
[1]国家发展改革委员会.发改委14号令 电力监控系统安全防护规定[S].2014
[2]张晓兵.下一代网络安全解决方案[J].电信工程技术与标准化,2014,27(6):59-61.
[3]王春雷,方兰,王东霞,等.基于知识发现的网络安全态势感知系统[J].计算机科学,2012,39(7):11-24.
[4]张拥军,唐俊.基于云模型的网络安全态势分析与评估[J].计算机工程与科学,2014,36(1):63-67.
[5]Gartner.Defining Next-Generation Network Intrusion Prevention [J].
论文作者:方圆1,俞骏豪2,刘伟3
论文发表刊物:《电力设备》2016年第17期
论文发表时间:2016/11/9
标签:系统论文; 防护论文; 攻击者论文; 纵深论文; 体系论文; 高级论文; 网络论文; 《电力设备》2016年第17期论文;