張富華 普 鋼 張 睿 汪林嬌

（1.云南電網有限責任公司 云南 650011；2.云南云電同方科技有限公司 云南 650217）

0 引言

根據目前網絡空間的發(fā)展情況可以看到，APT攻擊由于具備攻擊的復雜性、針對性、長期性和隱蔽性，從而使其成為最佳的網絡攻擊武器。而電力行業(yè)因在國民生產生活中的關鍵性和重要性，則被動成為APT攻擊的最佳目標。

APT攻擊對電力行業(yè)所造成的安全威脅是顯而易見的。其中包括直接造成發(fā)電企業(yè)停止運轉，區(qū)域內大規(guī)模停電，嚴重影響國民生產生活。對電力運營企業(yè)而言，則可能導致電力運營數據的泄露，間接導致國家生產經濟數據的泄露以及用戶身份信息的泄露。此外由于今年來APT攻擊還存在著以徹底破壞為目的的攻擊方式，因此對于電力行業(yè)而言，如果發(fā)生此類行為而導致生產經營中關鍵系統、系統配置信息、生產經營數據信息的刪除或損壞，即便相關企業(yè)具備相應的安全災備措施，但由于電力行業(yè)的復雜性、關聯性和龐大性，該攻擊也勢必造成生產經營的嚴重損失，產生巨大的社會負面影響。

因此，對于電力行業(yè)而言，必須要加強和重視APT攻擊，切實通過相關的管理及技術措施提高對 APT攻擊的安全防護能力。

1 某電力企業(yè)APT防護安全現狀分析

本項目據APT攻擊鏈路模型，從APT攻擊鏈路模型的七個階段（情報收集階段、攻擊進入階段、命令與控制階段、橫向擴展階段、資產/資料發(fā)掘階段、資料竊取階段、潛伏與撤離階段）梳理出各個階段過程中的信息安全應對措施。通過組對某電網公司信息安全防護安全現狀進行了實地調研并根據APT防護措施進行了針對性的安全現狀分析。

經過評估，某電力企業(yè)經過多年持續(xù)的信息安全建設已基本建立較為全面的信息安全管理防護體系。其中管理制度相對較全，具備了網絡邊界防護、主機終端防護、網絡準入防護、漏洞補丁管理、數據加密、安全審計等安全防護技術手段，但面對APT攻擊時仍然存在以下問題。

1.1 信息收集階段的安全防護現狀

由于攻擊者首先會鎖定某一內部員工作為潛在受害者，一方面，通過社交網站，如微博、博客等，廣泛搜集其信息，包括了解其興趣愛好，愛逛的網站，朋友圈，甚至于受害者平時的行為模式等；另一方面，會盡量搜集其所使用的全部電子設備，包括PC、手機、路由器、智能電器，甚至于智能插座、體重計等的型號，操作系統的類型和版本、辦公軟件的類型和版本、工作網絡環(huán)境的情況以及所安裝的移動應用等各種IT信息存在的漏洞。目前相關信息并未列為敏感信息，因此員工在這些方面的安全意識有待加強。

1.2 攻擊進入階段的安全防護現狀

根據收集到的信息，利用當前系統或已安裝應用軟件、常去網站存在的漏洞，包括已發(fā)布的，或者尋找尚未發(fā)布的0day漏洞，再結合當前設備所安裝的殺毒軟件以及其他檢測工具版本所使用的漏洞庫，將滲透工具進行免殺處理，從而繞過安全防御系統的檢測。目前現有的殺毒軟件基本難以防御此類攻擊，安全審計系統由于缺少數據來源也無法發(fā)現相關問題，導致個人終端極易被攻破。

1.3 命令與控制階段的安全防護現狀

攻擊者獲取個人終端控制權后，將采取措施維持控制權，通常采用僵尸網絡。目前僵尸網絡已出現各種加密通信信道、利用現有協議冗余字段進行控制，以避免 IDS、防火墻或其他方式的網絡偵聽。在這種形勢下，缺少網絡流量異常分析工具，將難以檢測到終端被控事件。

1.4 橫向擴展與資料發(fā)掘階段的安全防護現狀

在受害人被控制后，攻擊者會不斷搜集其計算機里的資料，通過訪問通訊錄等功能，輕易獲取目標網絡中更多的受害者。當攻擊者獲得足夠多信息的時候，在目標網絡中找出放有敏感信息的重要計算機，就會利用受害者社交或辦公賬戶向更近的目標，采用社會工程學、0Day工具、Pass the Hash以及暴力法等手段獲取管理員權限。而目前單位防御體系注重網絡邊界防護，對內部的防護和審計相對較弱，雖然企業(yè)啟用了運維堡壘機，但攻擊者可以通過正常用戶的訪問方式長期、少量的發(fā)掘資料。

1.5 資料竊取階段的安全防護現狀

在資料竊取階段，攻擊者主要在發(fā)掘自己有用的數據，緊接著，通過控制的客戶端，分布式地使用合法加密的數據通道、Tor 匿名網絡甚至基于時間的隱蔽信道等隱蔽、長期的把偷竊到的數據上傳到控制服務器，完全繞開了企業(yè)的安全審計和安全設備的保護。

1.6 潛伏/撤離階段的安全防護現狀

在潛伏階段，攻擊者為躲避安全設備檢測或反病毒軟件檢測，往往采用反向控制手段，由受控端定期檢測某看似合法的服務器，獲取進一步指令。更有甚者，利用了虛擬機沙盒檢測技術，在檢測到上述環(huán)境后會自動銷毀或完全停止運行，從而達到長期潛伏或撤離的目的。目前在惡意代碼檢測和網絡異常檢測方面都沒有較好的防御手段。

綜上所述，現有安全制度與技術的不足，給APT防護工作帶來極大困難。

2 電力企業(yè)APT防護安全策略研究

2.1 安全策略設計思路

2.1.1 立足實際、查缺補漏

APT攻擊是目前世界上各國政府、各大企業(yè)以及信息安全界非常關注的一個信息安全熱點，對于APT攻擊的研究和防護建設目前仍處在研究、跟蹤和不斷改進的過程中。因此在設計方案時需要對企業(yè)的信息安全現狀進行深入調研和全面理解，仔細認真評估現有安全措施在應對 APT攻擊情況下的安全防護不足和防護效果。根據評估情況有針對性的提出安全解決方案。安全防護設計方案應盡量不對企業(yè)現有的網絡架構做出重大改變，設計產品在提高整體安全性的同時應不影響企業(yè)業(yè)務應用的習慣性、可靠性和可用性。

2.1.2 管理為輔，技術為主

APT本身一種高級的信息安全威脅行為，已發(fā)現的攻擊案例多次證明這是一種以利用復雜技術手段為主的信息安全綜合攻擊行為，常見的安全技術手段在APT攻擊面前防護效果不明顯，甚至有些形同虛設。在被曝光的伊朗核電站、美國RSA公司的案例中可以看到這些組織都有嚴格的安全管理制度，但是安全管理制度在執(zhí)行中存在未嚴格執(zhí)行的情況，而更為嚴重的是缺乏相應的技術防護措施。因此在APT的解決方案設計中應該采用三分管理、七分技術的策略。一方面應強化信息安全管理制度的執(zhí)行和檢查；而另一方面則應將防護重點集中在先進的技術安全防護措施上，通過增加和加強現有安全防護技術手段來應對APT威脅。

2.2 安全管理策略

2.2.1 定期開展社會工程學的安全培訓與安全測試

APT攻擊在對目標對象發(fā)起攻擊的過程中，往往采取精心設計的社會工程學陷阱，誘騙被攻擊者打開惡意文件、點擊惡意連接網站或者告知敏感信息。因為人的因素是信息安全中最為薄弱的一個環(huán)節(jié)，從而使得利用社會工程學的威脅攻擊行為具備事半功倍的效果。因此在防護APT的攻擊過程中，需要持續(xù)不斷的、定期的對所屬員工開展社會工程學的安全培訓，使員工建立和鞏固對社會工程學的安全防護意識，讓攻擊者無機可乘。

此外為了檢測員工對社會工程學的防護意識和防護效果，可以通過第三方公司或自行組織適時開展進行社會工程學的安全測試或安全演練。安全測試和演練的內容應包括但不限于以下：

（1）測試員工對未知郵件的打開反應；

（2）測試員工對未知網絡連接的點擊反應；

（3）測試員工對未知移動介質的使用反應；

（4）測試員工對未知電話通話的接聽反應；

（5）測試員工對未知即時通訊的通信反應；

（6）測試員工對未知可疑人員的關注反應。

2.2.2 加強員工網絡行為規(guī)范管理

由于網絡行為訪問管理規(guī)范的缺失，員工在訪問互聯網的時候缺乏安全指導和行為約束，因此在實際工作中極有可能點擊了由于APT攻擊者精心偽造的包含惡意代碼的網站；打開了包含惡意代碼的文件和郵件；在網絡中私自使用代理無線WIFI等，給企業(yè)帶來了安全威脅。

因此建議企業(yè)加強員工網絡行為的管理，通過制定網絡行為管理規(guī)范，引導員工樹立安全、健康的網絡訪問意識，規(guī)范員工安全、合理的使用互聯網資源。

網絡行為管理規(guī)范的內容應包含但不限于以下：

（1）合理使用網絡資源；

（2）注重個人信息保護；

（3）積極、健康的互聯網訪問；

（4）安全的互聯網訪問；

（5）瀏覽器的安全設置；

（6）下載文件或電子郵件的安全鑒別；

（7）知識產權、軟件版權的保護和使用。

2.2.3 完善電力安全基線內容

近年來，各單位均制定和頒發(fā)了符合自身實際及需求的安全基線。安全基線的制定和執(zhí)行不僅有力的提高了企業(yè)整體的安全防護能力，而且對IT系統而言也較好提高了對APT的攻擊防護效果。

然而，由于不少APT攻擊者常利用互聯網網站誘騙受害者訪問虛假網站，執(zhí)行包含惡意代碼的web插件，使受害者終端感染惡意代碼并為下一步攻擊行為埋下伏筆。目前主流的終端瀏覽器，如IE、Firefox、Chrome、Safari、Opera等都具備相應的安全功能并可進行相應安全設置。如用戶開啟使用安全功能及進行安全設置后，則可以提高網絡訪問的安全性，一定程度上降低APT攻擊的成功概率。可以參考美國FDCC規(guī)范并結合以上主流瀏覽器廠家的安全配置建議，增補桌面終端關于瀏覽器的安全配置基線。

終端瀏覽器安全配置基線的內容應包含但不限于以下：

（1）網絡安全區(qū)域的安全級別設置；

（2）Net Framework的設置使用；

（3）ActiveX的控件和插件使用；

（4）腳本程序的使用；

（5）Cookie的設置使用；

（6）證書的設置使用；

（7）用戶身份驗證；

（8）文件下載的使用設置。

2.2.4 加強終端補丁管理

在APT攻擊過程中，員工個人終端往往是APT攻擊漏洞利用的直接對象，也是終端控制攻擊得手后進行惡意代碼擴散和展開后繼攻擊行為的內部源頭。

企業(yè)應加強對桌面終端的補丁管理，定期對所有終端的補丁更新情況進行檢查和督促，增加APT攻擊防護過程中桌面終端這一安全環(huán)節(jié)的防護能力。

2.3 安全技術防護策略

2.3.1 未知惡意代碼檢測防護策略

未知惡意代碼檢測防護系統的不依賴傳統的簽名檢測技術，而是基于先進的動態(tài)檢測技術，即基于沙箱虛擬執(zhí)行的方式。根據軟件在虛擬環(huán)境中的代碼行為特征進行實時分析，來判斷是否存在攻擊特征，這種檢測方式不需龐大的檢測簽名庫，同時檢測已知和未知威脅，并且可以防止各種針對靜態(tài)檢測的逃避技術。目前該檢測方式是高級可持續(xù)威脅監(jiān)測最有效的技術。

除此之外未知惡意代碼檢測防護系統還可集成其他多種已知威脅檢測技術幫助系統更為全面的檢測已知、未知惡意軟件。這些已知威脅檢測技術包括she11code的智能識別、AV檢測和基于漏洞的靜態(tài)檢測。

2.3.2 終端安全防護策略

對于 APT攻擊來說，攻擊控制終端是攻擊的最終落地環(huán)節(jié)，之后的所有攻擊步驟，包括內部網絡擴散、資料竊取和回傳都依賴于該環(huán)節(jié)的成功與否。因此通過部署使用終端安全防護軟件是APT攻擊防護的一個關鍵手段和步驟。

2.3.3 開展網絡異常行為分析

由于APT攻擊多利用0Day漏洞，未知惡意代碼，因此在實際中未知惡意代碼檢測防護系統和終端安全防護軟件很難做到百分之百的安全檢測和實時清除。一旦由于未知惡意代碼檢測防護系統以及終端安全防護軟件未能識別和清除惡意代碼，導致惡意代碼已攻入電網網絡內部，那么網絡異常行為分析系統將是發(fā)現和阻斷APT攻擊行為的另一個關鍵技術手段。

網絡異常行為檢查系統需具備擴寬的檢測時間域，對網絡中的全流量數據進行存儲分析。這樣在檢測到可疑行為時，可以回溯與攻擊行為相關的歷史流量數據進行關聯分析。之前已發(fā)生過、未能引起分析人員注意的報警，有可能隱藏著蓄意攻擊意圖，通過這種回溯關聯分析就有可能進行有效識別。有了全流量的存儲，就有可能回溯到任意歷史時刻，采用新的檢測特征和檢測技術，對已發(fā)生的流量進行任意粒度的分析。對流量數據進行細粒度協議解析和應用還原，通過大數據挖掘技術建立業(yè)務應用場景、攻擊場景和關聯知識庫，精確識別異常行為以及偽裝成正常業(yè)務的攻擊行為。

此外，該系統應具備和 SIEM（安全信息事件管理系統）或SOC（安全運維中心）進行方便集成的功能，從而完善網絡數據的收集范圍。系統應具備文件類型、內容的分析識別以及Sand-Boxing（沙箱）模擬運行監(jiān)測技術提高網絡行為的安全甄別能力。

2.3.4 部署網絡蜜罐系統

APT攻擊是一種綜合攻擊方式，因此對其實施的安全防護場景應從整個攻擊鏈來的角度進行綜合考慮。在APT的資料收集/竊取階段中，攻擊者需要操縱客戶端對網絡內部資源進行手工或自動化的搜索、探尋及嘗試登陸控制等一系列行為。如何在海量的網絡信息背景中有效偵測此類探測活動，準確捕獲攻擊的源頭、使用的手段，攻擊的目標就顯得尤為重要。盡管日志類網絡安全審計系統可以審計到一些登錄訪問的日志，但是一個專門設置的蜜罐系統（誘捕系統），因為其是企業(yè)內部已知的系統，在正常情況下內部人員或終端不會對其進行訪問，而只有惡意攻擊者才會去嘗試對其進行訪問并展開攻擊行為。因此其工作效率和準確性與日志類安全審計系統相比則效率更高、準確性更佳?？傮w而言，蜜罐系統對于網絡審計系統來說是一種有益和有效的補充，且本質上，蜜罐系統也屬于網絡審計系統的一類。

2.3.5 定期開展?jié)B透測試

盡管滲透測試是一項嚴重依賴于滲透測試人員技巧的安全技術措施，但是滲透測試由于是人工行為，因此更能真實的反映黑客的攻擊行為。通過滲透測試可以幫助安全運維人員發(fā)現一些疏漏的安全環(huán)節(jié)，幫助安全運維人員更好的理解黑客攻擊路徑、攻擊方式和攻擊工具。因此滲透測試在某些場合中是一種有效的安全手段。

一些 APT攻擊行為在攻擊過程中也并非全部采用完全未知的安全漏洞和惡意代碼，相反是一些廠家早已公布和驗證的漏洞及惡意代碼。只不過因為攻擊者做足了前期的信息收集，因此攻擊仍然具備針對性和有效性。

定期開展?jié)B透測試在應對APT攻擊的過程中仍然是一個值得投入的安全舉措。當然在開展?jié)B透測試的過程中應具備針對性，以模擬APT攻擊為主要測試方式，這樣的滲透測試才更有效果。

3 結束語

上述安全策略盡管做了較全面的考慮，但仍然存在一些技術難題尚未解決，例如檢測效率不高、效果不好等，需要針對性的開展相關研究。

（1）工業(yè)控制系統安全防護技術研究；

（2）隱蔽信道檢測。

[1]翟立東,李躍,賈召鵬等.融合網絡空間的APT威脅檢測與防護[J].信息網絡安全.2013.

[2]吳迪,連一峰,陳愷等.一種基于攻擊圖的安全威脅識別和分析方法[J].計算機學報.2012.

[3]張之碩.郵箱服務器 APT攻擊檢測與防御工具的設計及實現[D].南京大學.2013.

[4]郎夙.基于威脅分析的電力信息網風險態(tài)勢評估和預測[D].華北電力大學.2012.

[5]程葉霞,姜文,薛質等.基于攻擊圖模型的多目標網絡安全評估研究[J].計算機研究與發(fā)展.2012.

[6]章翔凌,王歡.基于白名單技術構建主動防御體系[J].信息網絡安全.2013.

[7]杜偉奇,王平,王浩.工業(yè)控制系統中安全威脅分析與策略[J].重慶郵電大學學報：自然科學版.2005.

[8]陳劍鋒,王強,伍淼.網絡 APT 攻擊及防范策略[J].信息安全與通信保密.2012.