新型威胁的应对之策

　　一、总体思路

　　2012年8月，RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷，导致很难识别APT攻击。现有的防护体系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和组织结构，以及工作流程等等都存在不足。报告指出，应对APT需要采取一种与以往不同的信息安全策略及方法。该方法更加注重对核心资产的保护，以数据为中心，从检测威胁的角度去分析日志，注重攻击模式的发现和描述，从情报分析的高度来分析威胁。

　　报告提出了7条建议：

　　1、 进行高级情报收集与分析。让情报成为战略的基石。

　　2、 建立智能监测机制。知道要寻找什么，并建立信息安全与网络监控机制，以寻找所要寻找之物。

　　3、 重新分配访问控制权。控制特权用户的访问。

　　4、 认真开展有实效的用户培训。培训用户以识别社会工程攻击，并迫使用户承担保证企业信息安全的个人责任。

　　5、 管理高管预期。确保最高管理层认识到，抗击高级持续性攻击的本质是与数字军备竞赛战斗。

　　6、 重新设计IT架构。从扁平式网络转变为分隔式网络，使攻击者难以在网络中四处游荡，从而难以发现最宝贵的信息。

　　7、 参与情报交换。分享信息安全威胁情报，利用其他企业积累的知识。

　　Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己，更要知彼，强调真正的主动安全是料敌先机，核心就是对安全威胁情报的分析与分享。

　　二、技术手段分析

　　从具体的技术层面来说，为了应对APT攻击，新的技术也是层出不穷。

　　从监测和检测的角度，为了识别APT，可以从APT攻击的各个环节进行突破，任一环节能够识别即可断开整个链条。

　　根据APT攻击过程，我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。

　　而不论从哪个环节入手，都主要涉及以下几类新型技术手段：

　　基于沙箱的恶意代码检测技术。要检测恶意代码，最具挑战性的就是利用0day漏洞的恶意代码。因为是0day，就意味着没有特征，传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境，让可疑文件在这个模拟环境中运行起来，通过可疑文件触发的外在行为来判定是否是恶意代码。

　　沙箱技术的模拟环境可以是真实的模拟环境，也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建，或者通过一个特制程序来虚拟。

　　基于异常的流量检测技术。传统的IDS都是基于特征(签名)的技术去进行DPI分析，有的也用到了一些简单DFI分析技术。面对新型威胁，DFI技术的应用需要进一步深化。基于Flow，出现了一种基于异常的流量检测技术，通过建立流量行为轮廓和学习模型来识别流量异常，进而识别0day攻击、C&C通讯，以及信息渗出。本质上，这是一种基于统计学和机器学习的技术。

　　全包捕获与分析技术。应对APT攻击，需要做好最坏的打算。万一没有识别出攻击并遭受了损失了怎么办?对于某些情况，我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法，FPI能够抓取网络中的特定场合下的全量数据报文并存储起来，进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法，协助分析师剖丝抽茧，定位问题。

　　信誉技术。信誉技术早已存在，在面对新型威胁的时候，它可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络地址库，还是威胁情报库，都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建，这需要一个强有力的技术团队来维护。

　　综合分析技术。所谓综合分析，就是在前述所有技术之上的，并且涵盖传统检测技术之上的，一个横向贯穿的分析。我们已经知道APT攻击是一个过程，是一个组合，如果能够将APT攻击最多环节的信息综合到一起，有助于确认一个APT攻击行为。综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为，包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术，等等。

　　人的技能。最后，要实现对新型攻击的防范，除了上述新的监测/检测技术之外，还需要依靠强有力的专业分析服务做支撑，通过专家团队和他们的非常好的实践，不断充实安全知识库，进行即时的可疑代码分析、渗透测试、漏洞验证，等等。安全专家的技能永远是任何技术都无法完全替代的。