【IT168 评论】9月23日消息,今日,由360主办的首届中国互联网安全大会在国家会议中心举行。在下午召开的企业安全论坛上,众多业界专家、企业代表、第三方分析机构等嘉宾参与并发表了演讲。绿盟科技高级研究员于旸做了《APT防御——未知攻,焉知防?》演讲。
▲绿盟科技高级研究员于旸
于旸首先谈到,“我想很多人了解ATP这个概念是从震网蠕虫开始的,这个事件让整个世界了解了ATP,知道了世界上有这样的一种投入如此巨大的资源去进行一件目的性非常强,而且看成了,达到一个非常巨大的效果的事,在传统的对抗可能需要投入更加巨大的人力,或者是需要通过一些物理上的接触才能做成的事现在一个程序就可以搞定了。”
但是这个事情震网蠕虫这个事情也有不好的结果,就是它让人们认为ATP就是政府和军队之间的游戏,和普通企业关系不太大。我们简单回顾一下ATP是什么?ATP其实就是网络攻击的一个子集。只不过比一般的网络攻击可能要复杂一些,ATP攻击一般是什么样的,它是分步骤的,首先要实现入侵,控制一个结点之后植入后门,利用这个后门进一步的做更深层次的内部的渗透,然后实现目标。这个目标可能是搞一些破坏的,或者是窃取一些数据,达到目的之后会把自己留下的痕迹擦干净安全的撤退。但是实际上,用这种程序化的东西诠释ATP不是特别的确切。
ATP本身的定义:高级持续性威胁。通俗的解释,我的理解其实它就是有目的、有资源、有耐心的入侵。首先做这种攻击的人目的非常明确,达成一个目标,做成一个事情,和一般上我们在新闻上看到的天才少年黑客攻击了多少网站不一样,不是说在家里看谁好欺负欺负一下,不是这么回事,他的目的非常明确,他愿意投入资源,这个资源可能是人、可能是钱,他会为了达到这个目标愿意花钱雇佣团队,购买漏洞,购买找不到的后门,他愿意花钱为这场攻击购买相关的情报作为之前的铺垫。
前面演讲者提到了阿帕奇那个事件,很多网管很辛苦,忙着打补丁,但是攻击者更辛苦,因为很多攻击者他们要入侵这个网站并不是说每一个人手上都可以指哪打哪,目前网络环境不是这样的。他们要入侵一个网站他们会一直惦记着,会盯着你这个网站,先把你的网站用了什么服务器,跑了什么应用程序,把这些信息留着,这些东西什么时候有漏洞了,我跟网管抢时间。如果你需要一个小时把所有服务器打上补丁,我利用半个小时把你的服务器攻击了。所以攻击者更辛苦。他们还要跟同行抢时间,他要在赶在别的攻击者之前把这个网站入侵了,帮你把这个网站打上补丁,让别的攻击者入侵不进来。
这是凄惨的刀口温瑞安这个小说写的一段话—一个人若要暗杀另一个人,只要他够耐心,够狠够绝够时机,蜈蚣再高的人也防范不着。意思就是你必须一直的警惕。
2005年教皇选举和2013年的教皇选举的照片,同一个地方,同一个角度,八年时间,世界不一样了。教皇本人也用iPad。三张照片是我们这个世界的缩影。今天我们每一个人同时生活在两个世界里,一个是网络世界,一个是现实世界。而且随着时间的推移,网络世界对现实世界的入侵可能不是特别合适,两个世界的融合和交织越来越紧密。在这样的一个背景下,入侵也变得不一样了。
把信息安全分成几个年代,在近十几年,信息安全高速发展的前提下,由于我们这个世界的改变,攻击者和防御者他们面临的问题发生了巨大的变化。所以整个对抗形式不一样了。刚才我们说的是环境,现在看看如何防御?
目前信息世界和现实世界的交织导致了信息世界承载了比以前更多的价值。换句话说,人类更多的财富、荣誉、权利被加载在信息世界里,在这样的背景下攻击获益增加了,被攻击遭到的损失也增加了。近十几年来信息世界的发展,防御一方也不一样,十年前世界上95%的网站都非常容易被攻击,今天完全不是这样。对于攻击者而言,攻击门槛大大增加了。现在我们说浏览器漏洞、IE漏洞,微软发布一个IE漏洞是一个很大的事情,十年前我们发现IE漏洞不好意思报告,我们觉得这个东西太没有价值了,报告出去会被笑话的。但是现在一个IE漏洞微软开出最过奖励价格是多少?10万美金一个。攻击门槛成本大大增加。但是不要紧,攻击获益也大大增加了,花10万美金买一个漏洞可以得到几百万美金的收入,那这个成本就可以忽略不计了。
高成本的攻击带来更高价值的收益,反过来,因为防御成本也会相应增加。因为必须要防,一旦遭到攻击受到的损失会大大的增加。所以防御成本的增加现在变得可以接受了。为了防御这些高级攻击,比如一个白名单列表里的可以用,别的不可以用,十年前这种方案谁能买?一台设备几十万美金,放在十年前谁会买?今天完全不一样了。
现在大家提出了很多防御方法,从不同的角度。很多公司提出了各种各样的方案,这是在一个大的浪潮之下各显神通。我们也有我们的尝试,我们构建了我们的TAC系统,其实跟大家没有特别大的区别,只是思路的不同。
今天我在这里最想向大家说的是我们如何做的更好?就是业界包括我们在内如何做的更好?在面对这样的一种新形式的威胁之下。安全界每隔几年会翻出一个词,今年可能就是大数据,但是有一个老词叫“Know your enemy”这个词我觉得不是时髦的一时潮流,它不会过气。在ATP防御上我总结了几点:一个是技术还要知道忽悠,还要知道这里面的坑。
先看忽悠:ATP里有什么忽悠是你要知道的?一位客户告诉我的,有人鼓了一个美女,加我们网管的QQ,先聊天,后来又视频,再后来搞定了网管的电脑,把我们的数据库拖了。这个防御方案怎么对付?这是需要思考的问题。
优刻德CEO季总谈到的,最近几年,发现和协助追查了多起ATP攻击,发现老板秘书室个很薄弱的环节,经常是ATP重点目标。
这是忽悠方面的。
技术:这是一部电影的海报战争之王,讲的是一个军火商的故事。信息世界同样有军火商就是,Vupen和Exodus Intel,他们主要的客户就是政府和军队,他们提供的东西是网络世界的武器,攻击工具。我想的是我们提ATP不能不提他们,类似的有一些更隐蔽的团体和组织不是以明面上的公司形式存在的,也在做类似的事情,并且和这样的公司之间会有一些关系。
这是刚刚暴光的一份合同就是Vupen和美国国家安全局签的安全合同,他们谈的是二进制分析和攻击代码服务。
这是我今年年初3月份的时候再一个安全会议上向业界分享的一种技术,这个技术我前几年发现的,这个技术本身对于攻击来说是非常有利的,因为这个技术所涉及到的一些方法和之前的攻击区别比较大可以绕过很多种防御。当时和业界分享原因也是希望相关企业包括操作系统厂商和防御厂商能把这个做起来。就在我公开这个技术的那天,我发现Vupen,这家公司就利用这个技术,他们在3月7号这一天,用这个参加了一个黑客大赛,赢了一场比赛。另外2012年9月27日他们的推特暗示了他们知道这个技术,他们肯定是从别的渠道获知的。我们发现了之后,我们作为这种类型的安全公司,和这种“卖军火”的肯定不一样的,他拿了就是就放“军火”去了。
这是Vreigdenhil,他听了我的演讲之后说,这个技术我们之前用了,并且我也和我们的客户分享了。他们知道但是他们闷着。
坑:
这个界面是谷歌浏览器中的高级同步设置界面,默认是勾选的,假设你是chrome而用户,并且利用了这个帐号,这些东西会自动同步,不光是数据会同步,换句话说攻击者如果得到了你的Google帐号,绝对不简单是能够看一看你的Gmail,绝对不是这么简单。别的帐号他拿了可能就看一下你的个人隐私,这个就不是这样的,这个默认设定,导致了攻击者一旦拿到你的谷歌帐号,你用Chrome登陆的,攻击者可以在他自己的机器上用你自己的帐号,他给自己的Chrrome装一个他写的恶意插件,然后这个插件会自动同步到你的系统上。这就是坑。要做ATP防御一定要知道这些坑。
苹果也是一样的,一旦你的iPhoneID被别人拿了,不是简单的冒充你的身份跟别人联系,他可以往你的iPhone上装程序。
大家知道国内网络很多运营商用了缓存加速解决方案。就是为了降低网络压力,增加上网的体验,加快下载的速度,很多运营商用了这个,而且这个方案国内有不少家提供,大概机制是,首先终端用户从某个网站下载一个软件, 运营商的系统会检测,当前下载的链接是否是被别人下载过的,已经下载过会从他的缓存池里直接拿,如果是第一个下载这个文件会被缓存在池里,运营商会从这个池子里的数据交给用户。百如从微软下东西,北京这边运营商检测到了,直接从运营商网络里面下,速度肯定非常快,运营商也减少了出口耗力。但是这种解决方案很多实现是有问题的,用这个东西直接把我们公司给挂马了,同时,我根本就没有碰到我们公司的服务器。为什么?因为它这种缓存加速解决方案,如果特别敏感安全人员神经看到缓存两个字就应该想到“投毒”两个字。我实际测试过,至少北京有一套这个方案非常简单的可以投毒,投毒之后可以达到什么效果?可以让我们绿盟科技网站上出现一个虚假链接服务器上根本没有这个文件,但是用户下载链接能下到东西。这个攻击可以针对世界上任何一个网站,你们从微软下补丁,我可以让微软补丁链接是我的数据。你们下360浏览器,我可以让360浏览器安装文件是我的服务器,而且360根本没有办法抵抗,世界任何一家公司都没有办法抵抗,因为我根本没有碰你的服务器。很多常用软件走有自动升级的机制,很多自动升级包是不加钱的,所以说这就是中国特色,这也是一个很大的问题,今天有运营商的朋友希望大家回去检查一下,这对于我们国家信息安全威胁非常大。
虽然存在一些较通用的防御思路,但从目前来看,实用的防御方案仍然很大程度上依赖于对攻击技术的深入了解。未知生、焉知死我这句话衍生出了一句话“我提出了未知攻焉知防”。演讲到此,谢谢大家!