【IT168 评论】9月23日消息，今日，由360主办的首届中国互联网安全大会在国家会议中心举行。在下午召开的企业安全论坛上，众多业界专家、企业代表、第三方分析机构等嘉宾参与并发表了演讲。来自公安部第一研究所信息安全部副主任胡光俊做了《行业联动对抗APT攻击》演讲。

▲公安部第一研究所信息安全部副主任胡光俊

　　胡光俊ATP攻击的要点、行业开展的工作、联动对抗ATP攻击三个方面进行了介绍。首先，胡光俊介绍了ATP攻击要点，他谈到，ATP的定义有很多，ATP本身这个词工业从美国告诉持续危险这样翻译过来的，但是我们如果把它翻译成中文容易理解定义的话，我是把它定义为以获取经济或政治利益为目的，针对特定目标进行一系列网络攻击的过程。第一点就是目标性，第二点就是它是阶段性的，它是一个过程，第三强调的是攻击的复杂性，它是一系列的网络攻击手段的综合利用。这种综合利用目标性非常强，所有进攻动作都是这一个目标。ATP这个概念提出来是当时美国在炒作中国网络攻击的时候提出来的一个概念，ATP如果我没有记错的话，应该是在谷歌遭到激光漏洞攻击前后提出的概念，主要说的是中国ATP，美国一些所谓的测试，是这样提出来的。后续随着卡巴对Dook(音)震网二代病毒和火焰病毒不断的发现，把ATP概念泛泛了，泛指世界范围内针对特定目标的攻击。

　　国内有很多重要的信息系统，就是国内的基础行业，这些行业面临着重大ATP攻击风险。国外的一些单位，采用ATP手段对我国信息系统进行渗透、潜伏、泄密和破坏。ATP怎么揭露的都是美国的案例，中国没有案例报出来呢?我感觉这跟我们的国籍非常相关。第一个，我们国家之间习惯了有问题先捂盖着，不想公开出来因为后面有问责。第二个中美安全这块投入水平不一样，美国能把一次完整的ATP攻击从头到尾揭示出来，但是我们检测只是定位一个点，比如360发现一个病毒，但是病毒可能就是ATP中的一个木马，我们没有完整的追踪链没有追踪出来是一个病毒，或者说发生报警一个环节被发现，但是没有做联动。所以说国内遭受ATP攻击的风险是非常大的，案例也应该不少，但是由于这些差异，大家没有再揭露出来。

　　第二个，ATP攻击手法非常多样，一般的攻击以社会工程学位先导。就是通过微博、微信、博客、论坛，个人不小心散发出去的个人信心作为先潜，找到攻击目标以后利用漏洞、木马，再进行内网渗透，进行边界超越。ATP攻击是网络攻击手段综合的利用，它不是一个点。所以为了共同的目标进行一系列攻击的组合，如果我们信息安全产品只是检测某个点，最终ATP监测恐怕我们要甘拜下风。

　　第三个就是长期、持续。ATP会不端的尝试，也许这次没有攻击下来没关系，继续收集信息继续攻击。所以说这个攻击过程非常长，控制周期也非常长，控制周期长，一旦把你攻陷以后，会想办法在你的系统里长期驻留。

　　ATP攻击特点，有三个主要的检测特点，第一个就是漏洞。攻击者要通过漏洞控制服务和和终端。尤其是现在的零备漏洞。

　　第二个就是木马，木马融入到ATP攻击里面，它跟普通的盗号完全不一样了，这个木马使用以后会进行一系列的安全检测，甚至检测一些入侵检测防火墙检出率。

　　第三个是协议。这个协议要解决的问题就是秘密通道的控制性。现在很多木马把这个协议做的很高级，可能用DNS协议，这样对协议的检测也是一个非常重要的方面。所以综合以上，我感觉在ATP检测技术方面，主要集中在漏洞、木马和协议这三方面的检测当中。

　　另外协议检测木马回传数据的时候流量上是有明显的特征的，通过协议分析统计流量也可以发现内部的信息对照。

　　ATP攻击的路径：首先是终端路径，就是第一目标是终端或者是个人，他通过社会工程找到个人得联系方式，邮箱或者即时通讯，或者其他的微博、微信这些，找到以后给里发邮件或者发链接这样直接到达你的终端，然后利用漏洞实现植入，植入以后进行木马病毒的严控，一旦控制了就可以进入你的漏洞终端，最终要控制重要的服务器和重要的终端，在这些重要的服务器和终端上获取他需要的情报。

　　第二个路径是开放服务路径。网站有什么漏洞，或者是参与一个补丁，攻击完以后渗透密码，最后从服务器上把他需要的文件拿走。

　　其实还有第三种就是终端路径和服务路径混合路径。典型的就是通过WEB渗透，反透终端，从终端上获取重要的信息。

　　行业开展的工作：传统信息安全产品对抗ATP的短板：一般来讲信息安全产品老三样，杀毒软件、防火墙、检测。就是老三样产品对付ATP攻击这块，现在业界普遍认为已经力不从心了。笼统来讲，对防火墙来讲，只是进行IP端口协议控制，但是如果ATP通过正常渠道进来，防火墙没有办法甄别，会失效。

　　第二个是入侵检测。如果攻击只是简单的一次加密，就可能把入侵检测它的特征值比对放过了。

　　第三个就是杀毒软件。ATP攻击以前，杀毒软件会提前测试，把各种杀毒软件杀一遍，再测，没有问题了再用。这是一般的思路。比较高级思路，像振网就是盗用知名公司的签名，一般杀毒软件特征码太大了，需要一些特征码，签名是重要的来源，所以盗用特征码很容易绕过检测。

　　面对漏洞攻击，在新型攻击下我们也做出了很多努力，第一个是有ATP专检产品。第二个是新一代杀毒。传统的杀毒软件靠特征库，但是以360为代表的是靠云端的黑白名单，这样极大的降低了杀毒软件的资源占用。另外在防火墙市场里，现在也提出了下一代防火墙的概念。我感觉这对传统防火墙企业来说是倒逼的举措，传统的防火墙企业一直跟踪的目标是在WEB网络上用，在追求高性能上在做。随着网康这些公司的介入，他们是做互联网审计产品的，做审计产品，下一代防火墙我感觉是拿这个照防火墙厂商。

　　入侵检测这块有厂商提出了智能入侵检测，NGSS。它的特点是针对传统的入侵检测差异性，传统的入侵检测基于规则，或者是基于数据流的一些协议。它是更贴近实时的检测。但是我们知道ATP是一个长期的过程，它是一段时间内的一次攻击，或者一系列的攻击。所以下一代检测是基于一个时间窗口，是基于一个存储，把一段时间的流量存下来，在时间窗口或者UA进行回检，这样就避免了实时检测漏报误报的现象。

　　我们看完国内ATP的情况，可以参加国外ATP成功解决方案。BIT9是基于白名单拦截，在美国有一个巨大的拦截库，基本策略就是白名单内的允许，不在白名单内的拒绝。国外厂商针对ATP攻击它的检测本身已经是一个过程的检测，检测反击也是一个过程这是BIT9的做法。

　　第二个是Fireaye，我感觉它的虚拟机执行技术跟查杀的技术还是有差异的，我们是在一个查杀环境里装PDF等等，看看是不是有恶意的，这种检测效率会偏低。Freaye虚拟机检测要比查杀检测更高一些。Fireaye有一个恶意代码分析中心，发现可疑代码发到这个中心进行集中分析，单点发现问题以后，通常只是针对这个点的攻击，但是如果把一个网里多个传感器数据传到一个地方，甚至把我们国家重要信息系统都布上这个传感器，最后把攻击数据汇总分析的话，我们会清晰看到我们哪些系统正在面临谁的攻击?因为汇总到一起以后进行大数据分析会很清晰了。它现在也有一个库，沿着分析进行判断。

　　综合美国安全产品检测的成功产品，我把它归纳为两个技术：一个是基于云计算的白名单技术，第二个就是杀杀技术。

　　联动对抗ATP的攻击

　　ATP攻击要进行检测，我们要讲它检测的时机，什么时候检测它?对终端检测时机包括网络植入、终端植入(就是文件到达的时候发起的检测)、终端启动(启动的时候予以检测)、终端控制、网络控制。

　　开放服务发起的ATP检测时机：

　　网络扫苗手动和自动;权限提升;内网扫描、服务器控制。

　　这是我们种不同路径ATP检测的时机。为什么要说检测时机?刚才我这些介绍大家应该隐约有一个感觉，这些东西好像似曾相识，这不是防火墙杀毒呆的位置吗?他们是不是把这些活可以干了。基于之前的分析，ATP检测有这一系列的相关技术。第一个就是全流量审计，我们要把流量全部记录下来。其实个审计，有些公司把这个审计作为一个单独的产品，我一直觉得审计应该石哥哥安全产品必须的功能。这个审计是为了事后追查，像公安安全装摄象头一样，首先第一个是全流量审计。

　　第二个是应用协议的深度解析。

　　第三个是关联别人的应用审议。ATP攻击是对人的攻击，发出攻击之前对社会工程学非常了解，他知道我要攻击谁，定向性非常强。所以我们做检测的时候也要把审计关联到人，这样才能更准确的把攻击的路径路线描绘出来。

　　第四个是基于白名单的云检测。

　　第五个是虚拟机和沙杀。这个已经讲过了。

　　终端程序运行审计，运行所有的零信任，运行所有的程序都是不信任它的，刚才有人提到了这个概念。我们既然都不信任，那么在终端上所有的程序他的这些行为都要审计，这样如果将来检测的时候终端没有发现异常，但是网络发现异常了，网络可以发联合查询请求，这样就把这些事情可以记录下来，才可以进行后续关联分析。

　　再往下是内核监控权限变化。攻击过程中必须提升自己的权限以便提高民跟数据。最后一个就是蜜罐技术，是针对内网渗透过程中要知道网里面到底有哪些信息和设备，哪些应用系统?

　　在座可能有很多厂商，大家可以对着这个列表看一下你们的产品，哪些技术用到了，哪些技术还可以继续深入研究?哪些技术可以需要联合提升产品的质量?

　　基于之前的分析，我提出了四条论断：

　　一、不是所有的ATP攻击都能被检测。大家不要认为有ATP专检产品了，甚至这些产品都联动起来了，ATP问题就能解决了，百分之百能监测出来，这肯定是不可以的。我们常常说安全没有百分之百的意思是一引得。

　　二、不是所有的ATP攻击早期都能被检测出来。我们很多用户希望一进来就发现，千万不是在我的东西被偷走的时候才发现，但是ATP特点和特性决定了不可能在早期就槛出来，必须在后面工作中特征检测才可能被检测出。

　　三、不是所有的ATP攻击在每一个结点都可以被检测出。我讲的联动概念提出来是基于我们现在这个网络防护的位置，比如网络边界，网络终端，这些位置都可以做一些ATP检测手段。但是不是说每一个点不是说在所有的点上都可以被检测出来。

　　四、不是所有的异常都是ATP攻击。

　　基于这四个论断我提出一个思路：通过纵深防御的基础上这些防御产品联动检测ATP。在我们这些产品的联动基础上，只要某一个产品报告了一次可疑ATP攻击这就是我们检测发起的时机，就可以发起一些查询数据汇总过来进行一些分析。

　　纵深防御虽然提出来很早，但是不过时。现在有一个基本情况，国内现有的信息安全产品，基本上组成了纵深防御的体系，而且现在已经有这个趋势了，信息中心或者机房设备越堆越多，如果并联很多东西，设备越来越多，对于用户来说是很大的负担，所以说基于现有的产品，我们可以做一些整合。我们叫“分久必合、合久必分”，我们借助ATP威胁攻击检测时机做一个整个产品的整合。比如下一代防火墙我理解就是把互联网审计产品和传统的防火墙产品进行整合。入侵检测产品完全可以跟在网络层做数据检测做结合。终端审计一些检测功能可以强化起来，或者终端管理强化起来，这样跟杀毒软件做整合。这些就降低了用户的运维压力。

　　单独的产品或者单一厂家对于ATP检出的能力还是有限的，因为我们ATP攻击面临着一个优异的力量在攻击我们，如果我们还是单打独斗，我认为我们解决ATP前景非常不乐观。所以我提出一个论点：针对ATP监测各个厂商技术层面已经行动起来，但是急需建立一个产业联动机制，这样对可疑关联分析汇总起来，对ATP攻击全路径进行描述，因为它是多个产品的综合，在这个综合上再进行段个高解，这样准确率要高，准确率和误报率都会降低很多。

　　前面讲了这么多，我提出一个基本联动的步骤：

　　一、我们需要设立一个中央管理系统。大家要把产品发现的可疑ATP攻击向这个系统报告，各家厂商的数据报给谁都不太合适，所以大家都把数据往这儿报，安全产品要向CMS登记，登记的时候要说我是谁，我能干什么，这个过程需要有一个语义和语法的定义。CMS知道以后需要联动的时候就知道找谁。第三个就是某一个产品发现异常，下面CMS报告，收到报告以后下发通知，每一个产品收到通知以后进行检索和上报到CMS，CMS根据排列可疑步骤进行判断，如果判断可疑攻击我们就联合防御。

　　我们要做这个事情，我们的信息安全界首先应该成立一个ATP攻击检测联盟。因为ATP是特定组织一系列攻击的手法，我们需要用团队对团队的理念进行问题的解决。在联盟基础上完成相关的标准。比如说网内安全产品的登记、语法定义、事件检索等等，最后进行相关研发。

　　我们公安部一所是公安部最大的研究所，我们所是国家一代证、二代证研发和生产单位。从这个角度讲，我们所里有强大的业务实施能力。

　　第二，我们所近两年来领导非常重视信息安全业务，信息安全不算是一个特别新鲜的事情，但是信息安全对我们所来讲是两个重点发展行业之一。一所是公安部很多标委会秘书所在单位，我们在标准制订方面还是有很大的实力的。信息安全对一所来说是一个新兴产业，我们这个平台是一个非常平等的，不管厂商无论大小，在我们的平台上都有一个平等的位置，我们共同协作，为对抗ATP攻击做出我们产业的贡献。