360企業(yè)安全天眼產(chǎn)品事業(yè)部 黃 海

APT檢測(cè)技術(shù)的發(fā)展

360企業(yè)安全天眼產(chǎn)品事業(yè)部 黃 海

目前針對(duì)APT攻擊的檢測(cè)技術(shù)比較多樣，這是由攻擊本身所具有的復(fù)雜性導(dǎo)致。Gartner在2013年將APT檢測(cè)技術(shù)主要分為5種，如圖1所示。

圖1 5種高級(jí)威脅檢測(cè)手段【1】

其分類并不能完整呈現(xiàn)針對(duì)APT攻擊的檢測(cè)手段，但是對(duì)幾個(gè)主要檢測(cè)技術(shù)方向做了較好的闡述，本章將逐項(xiàng)分析各類技術(shù)發(fā)展現(xiàn)狀：

1 網(wǎng)絡(luò)流量分析

該技術(shù)包含了多種傳統(tǒng)的網(wǎng)絡(luò)檢測(cè)分析思路，比如依靠DNS或Netflow的流量規(guī)律進(jìn)行基線學(xué)習(xí)和分析。此類技術(shù)發(fā)展歷史悠久，但在APT檢測(cè)方面，一直難以有直接的效果，一方面因?yàn)橥ㄟ^(guò)流量能夠捕捉到的攻擊行為較為有限，更多針對(duì)遠(yuǎn)程控制部分，而且很難捕捉到樣本運(yùn)行過(guò)程；另一方面，此類技術(shù)多使用統(tǒng)計(jì)并配合一部分規(guī)則匹配的檢測(cè)方式為主，往往難以保證準(zhǔn)確度。

2 網(wǎng)絡(luò)取證

該技術(shù)強(qiáng)調(diào)全量的抓取流量報(bào)文或日志，通過(guò)結(jié)合全流量分析技術(shù)提取流量中的異常信息來(lái)發(fā)現(xiàn)APT攻擊。這種方式在檢測(cè)上依然面臨網(wǎng)絡(luò)流量分析的同樣問(wèn)題，不過(guò)由于其所留存的網(wǎng)絡(luò)流量和日志可以更好的還原樣本和攻擊過(guò)程，在回溯及應(yīng)急響應(yīng)方面體現(xiàn)出的價(jià)值較高。該技術(shù)也正在逐漸被新型的安全管理系統(tǒng)或安全日志分析系統(tǒng)所使用，但面臨的技術(shù)挑戰(zhàn)與終端取證類似，即如何快速的處理分析海量的網(wǎng)絡(luò)流量信息。

3 負(fù)載分析（沙箱）

負(fù)載分析主要指針對(duì)樣本進(jìn)行更深層次的分析以發(fā)現(xiàn)依靠簡(jiǎn)單特征無(wú)法發(fā)現(xiàn)的高級(jí)威脅。目前國(guó)內(nèi)市場(chǎng)上的主流的負(fù)載分析手段為沙箱，通過(guò)將文件還原后在虛擬環(huán)境中的執(zhí)行并監(jiān)控執(zhí)行過(guò)程中的各種進(jìn)程、文件、注冊(cè)表等行為來(lái)發(fā)現(xiàn)其中的惡意行為。這也是國(guó)際著名廠家Fireeye的基礎(chǔ)功能。但沙箱技術(shù)并不是新技術(shù)，實(shí)際在2003年開(kāi)始，沙箱技術(shù)便已經(jīng)出現(xiàn)，發(fā)展至目前有大量的開(kāi)源沙箱檢測(cè)技術(shù)，較為著名的如cuckoo。沙箱的出現(xiàn)使得研究人員和安全管理人員能夠快速發(fā)現(xiàn)樣本的惡意行為，但隨著技術(shù)的發(fā)展和開(kāi)放，沙箱在APT攻擊的實(shí)際檢出情況上未必如眾多廠家的宣傳一致。主要因?yàn)槟壳按罅扛呒?jí)樣本中都會(huì)集成沙箱逃逸功能，基礎(chǔ)的沙箱逃逸手段包括虛擬機(jī)環(huán)境檢測(cè)、分析軟件檢測(cè)、檢測(cè)hooks、檢測(cè)時(shí)間加速、檢測(cè)交互行為等，而且存在開(kāi)源的沙箱逃逸項(xiàng)目可供攻擊工具開(kāi)發(fā)者使用。這對(duì)沙箱檢測(cè)提出了很強(qiáng)的攻防挑戰(zhàn)，對(duì)于缺乏樣本行為運(yùn)營(yíng)能力的公司來(lái)說(shuō)，將意味著其沙箱效果會(huì)大打折扣。而且，沙箱檢測(cè)需要對(duì)環(huán)境的模擬盡可能真實(shí)，但是實(shí)際情況下，一臺(tái)檢測(cè)設(shè)備很難提供足夠的計(jì)算和內(nèi)存資源用于模擬大量主機(jī)上不同的操作系統(tǒng)和應(yīng)用軟件版本，這也客觀上制約了惡意樣本在沙箱中順利執(zhí)行的比例。

目前沙箱的發(fā)展遇到了一些困難，但并不意味著這種技術(shù)的消亡。為了應(yīng)對(duì)一些針對(duì)虛擬機(jī)檢測(cè)的沙箱逃逸手段，有廠家使用基于虛擬機(jī)hypervisor層的分析技術(shù)。這可以一定程度上的提升樣本執(zhí)行的成功率，但對(duì)于真正的提升檢測(cè)效果幫助仍然有限。大量廠家也開(kāi)始使用云端沙箱集群來(lái)模擬更多樣的環(huán)境以提升樣本執(zhí)行成功率，雖然這種技術(shù)受限于目前國(guó)內(nèi)大量企業(yè)無(wú)法上傳樣本這種客觀現(xiàn)實(shí)而難以商用，但對(duì)于廠商自身研究和運(yùn)營(yíng)效率的提升仍然有相當(dāng)大的幫助。

4 基于終端的行為分析

該技術(shù)也可稱之為主機(jī)沙箱，可以將應(yīng)用和文件通過(guò)虛擬容器進(jìn)行隔離，并對(duì)其隔離環(huán)境中的內(nèi)存、進(jìn)程情況進(jìn)行監(jiān)控，技術(shù)本身也經(jīng)歷了長(zhǎng)時(shí)間的發(fā)展。其可以依靠隔離的手段對(duì)高級(jí)攻擊進(jìn)行更好防護(hù)，但同時(shí)也帶來(lái)了更多的系統(tǒng)資源消耗，限制了技術(shù)本身的應(yīng)用。目前主流殺毒檢測(cè)廠家如360，已經(jīng)在終端殺毒中支持主機(jī)沙箱技術(shù)，但應(yīng)用并不廣泛。

5 基于終端的取證

通過(guò)在主機(jī)上安裝監(jiān)控軟件，可以截取各種樣本文件在主機(jī)上的行為記錄，結(jié)合序列化的行為規(guī)則，或威脅情報(bào)可以有效發(fā)現(xiàn)傳統(tǒng)特征匹配無(wú)法發(fā)現(xiàn)的威脅。同時(shí)留存的終端行為數(shù)據(jù)可以作為取證、回溯的重要支撐。目前fireeye、cybereason等廠家已經(jīng)將該技術(shù)成功應(yīng)用于APT檢測(cè)中。該技術(shù)方式實(shí)際上是將主機(jī)視為一個(gè)沙箱的虛擬環(huán)境，所有樣本的行為都應(yīng)該可監(jiān)控，結(jié)合類似沙箱的行為規(guī)則就應(yīng)該能夠發(fā)現(xiàn)主機(jī)上正在發(fā)生或已經(jīng)發(fā)生的攻擊行為。這種方式很好的解決了沙箱虛擬環(huán)境難以足夠真實(shí)的問(wèn)題，但檢出率同樣依賴于規(guī)則運(yùn)營(yíng)，對(duì)廠商的規(guī)模和能力要求較高。而且大量的終端部署以及海量的日志回傳對(duì)傳統(tǒng)的安全日志分析或安全管理系統(tǒng)都造成了沖擊。

6 其他正在發(fā)展中的技術(shù)

APT攻擊組織與安全廠商將處于持續(xù)的攻防對(duì)抗中，目前除了傳統(tǒng)的技術(shù)以外，還有部分新興技術(shù)正在這種對(duì)抗中脫穎而出：

6.1 威脅情報(bào)

傳統(tǒng)檢測(cè)技術(shù)往往僅關(guān)注發(fā)現(xiàn)攻擊告警，告警中僅體現(xiàn)觸發(fā)告警的原因，以及樣本的大致分類。但這種檢測(cè)結(jié)果往往無(wú)法反映APT攻擊的真實(shí)意圖和嚴(yán)重程度，這也導(dǎo)致大量APT檢測(cè)結(jié)果輸出與傳統(tǒng)IPS或殺毒設(shè)備并無(wú)太大區(qū)別。而依賴于良好運(yùn)營(yíng)的威脅情報(bào)正在逐漸改善這種局面。依靠安全廠商對(duì)互聯(lián)網(wǎng)網(wǎng)絡(luò)行為、網(wǎng)絡(luò)基礎(chǔ)設(shè)施數(shù)據(jù)、樣本數(shù)據(jù)、黑產(chǎn)及攻擊組織等信息的長(zhǎng)期監(jiān)控和整合分析，完全能夠有針對(duì)性的輸出APT攻擊組織相關(guān)的威脅情報(bào)，威脅情報(bào)將涵蓋攻擊組織、攻擊意圖、攻擊手段、攻擊指標(biāo)器、攻擊目標(biāo)等一系列信息，這些信息將極大的提升本地設(shè)備的檢測(cè)發(fā)現(xiàn)能力以及后續(xù)的告警定性能力。

6.2 機(jī)器學(xué)習(xí)

傳統(tǒng)的樣本檢測(cè)、行為分析、流量分析都在面臨著不斷變化的攻防局勢(shì)，而傳統(tǒng)方式的檢測(cè)率極大的依賴于人工規(guī)則運(yùn)營(yíng)，這也制約了檢測(cè)率的提升。為了解決相關(guān)問(wèn)題，機(jī)器學(xué)習(xí)依靠其更低的運(yùn)營(yíng)工作量需求、更好的檢出率進(jìn)入了安全領(lǐng)域。目前應(yīng)用機(jī)器學(xué)習(xí)較多的領(lǐng)域?yàn)闃颖緳z測(cè)，國(guó)內(nèi)360的QVM引擎作為國(guó)際上第一個(gè)機(jī)器學(xué)習(xí)引擎早已成功商用多年，并能夠?qū)ξ粗{有一定的提前檢測(cè)能力。在樣本檢測(cè)以外，在諸如域名分類、DGA域名分析等領(lǐng)域，機(jī)器學(xué)習(xí)也都有不做的表現(xiàn)。不過(guò)雖然機(jī)器學(xué)習(xí)正在不斷的應(yīng)用到安全的各個(gè)領(lǐng)域，但其使用仍然有其局限性，比如可能出現(xiàn)的高誤報(bào)、模型設(shè)計(jì)上困難、訓(xùn)練集處理等問(wèn)題都是廠商需要不斷摸索跨越的門(mén)檻。

6.3 新型的SIEM或SOC

目前基于終端和網(wǎng)絡(luò)的取證分析都面臨海量日志如何處理的難題。針對(duì)此類問(wèn)題，新興的以大數(shù)據(jù)技術(shù)為基礎(chǔ)的SIEM或SOC產(chǎn)品是一種較好的解決方案。依靠Hadoop、Storm、ElasticSearch等大數(shù)據(jù)技術(shù)，新一代的SOC產(chǎn)品可以輕松突破傳統(tǒng)設(shè)備的性能上限，為廣泛的日志采集和分析提供強(qiáng)有力的支撐，同時(shí)為機(jī)器學(xué)習(xí)在網(wǎng)絡(luò)流量分析和終端行為分析方面的應(yīng)用提供基礎(chǔ)平臺(tái)。再結(jié)合威脅情報(bào)等外部數(shù)據(jù)支撐，新一代SOC可能成為APT檢測(cè)的核心節(jié)點(diǎn)。但新一代SOC依然面臨諸多市場(chǎng)挑戰(zhàn)，諸如如何保證平臺(tái)更加輕量化以節(jié)省投資，如何提供便捷的管理系統(tǒng)以幫助用戶擺脫平臺(tái)運(yùn)維的困擾，如何讓數(shù)據(jù)的安全價(jià)值充分體現(xiàn)等。

7 發(fā)展中遇到的非技術(shù)性困難

APT檢測(cè)技術(shù)在發(fā)展中并不只遭遇過(guò)技術(shù)上的挑戰(zhàn)，還面臨著大量來(lái)源于市場(chǎng)、用戶方面的阻力。這也客觀上制約了國(guó)內(nèi)APT市場(chǎng)的擴(kuò)展。

7.1 行業(yè)認(rèn)識(shí)不統(tǒng)一

目前安全從業(yè)人員對(duì)于APT攻擊的認(rèn)識(shí)不統(tǒng)一，大部分廠家仍然聚焦于攻防對(duì)抗本身，但忽略了APT攻擊的性質(zhì)判定，這造成APT檢測(cè)設(shè)備的大量告警看起來(lái)與IPS、傳統(tǒng)殺毒設(shè)備的告警并無(wú)特別區(qū)別，僅僅是多了很多用戶無(wú)法有效理解的行為數(shù)據(jù)。在這種情況下，APT檢測(cè)市場(chǎng)長(zhǎng)期難以與傳統(tǒng)的殺毒市場(chǎng)和IPS市場(chǎng)有效區(qū)分。這制約了整個(gè)市場(chǎng)的發(fā)展，也導(dǎo)致廠商的投入和動(dòng)力不足。而可有效解決相關(guān)問(wèn)題的威脅情報(bào)技術(shù)在國(guó)內(nèi)尚處于起步階段，各個(gè)廠商對(duì)其認(rèn)識(shí)均不相同，目前還難以形成足夠的行業(yè)推動(dòng)力。

7.2 對(duì)于安全防護(hù)的訴求過(guò)高

長(zhǎng)期以來(lái)，大量企業(yè)及單位的安全人員已經(jīng)十分熟悉防火墻+IPS的一套防護(hù)體系，對(duì)于高級(jí)威脅也希望能夠一勞永逸的使用單一系統(tǒng)進(jìn)行事前防御，但在目前的攻防態(tài)勢(shì)下，這種想法會(huì)稍顯不切實(shí)際，制約了整個(gè)APT檢測(cè)市場(chǎng)的發(fā)展。原因在于世上并沒(méi)有完美的防護(hù)體系，從攻擊角度來(lái)講，只要攻擊者有足夠的投入，基本上都能夠繞過(guò)所有的防御。在這種情況下，安全體系的建設(shè)應(yīng)該從單純強(qiáng)調(diào)防護(hù)轉(zhuǎn)移到以提升攻擊成本和風(fēng)險(xiǎn)為核心。而提升攻擊成本和風(fēng)險(xiǎn)的手段包含：存儲(chǔ)必要的日志信息、使用更高級(jí)的檢測(cè)手段、引入精準(zhǔn)的威脅情報(bào)以及快速的應(yīng)急響應(yīng)服務(wù)。通過(guò)這些手段，企業(yè)可以保留攻擊事后的回溯能力、線索追查能力，以及最終訴諸法律的起訴證據(jù)。

7.3 發(fā)生APT攻擊事件后的責(zé)任認(rèn)定不清晰

中國(guó)是APT攻擊的主要受害國(guó)，來(lái)自360的報(bào)告顯示截止至2015年11月，中國(guó)境內(nèi)共遭受來(lái)自29個(gè)APT組織的千余次攻擊。但是形成鮮明對(duì)比的是，國(guó)內(nèi)的大量單位對(duì)APT攻擊的損害仍然認(rèn)識(shí)不足，對(duì)于攻擊的責(zé)任確定不清晰。很多單位將APT攻擊的檢測(cè)與處置寄希望于國(guó)家力量，并在管理層面將其與基礎(chǔ)的安全問(wèn)題區(qū)分開(kāi)來(lái)，甚至在知曉APT攻擊已經(jīng)發(fā)生的情況下仍然缺乏必要的處置動(dòng)作，往往采取先封堵消息控制影響再內(nèi)部消化的處理方式。這導(dǎo)致國(guó)家單位逐漸形成針對(duì)APT攻擊下級(jí)單位不重視，上級(jí)單位不了解這樣一種尷尬情形。

但近幾年，隨著中央網(wǎng)信辦的成立，國(guó)家開(kāi)始逐漸重視網(wǎng)絡(luò)安全建設(shè)問(wèn)題，同時(shí)大量針對(duì)中國(guó)的APT攻擊組織被有關(guān)單位及安全公司挖掘出來(lái)，也起到了很好的行業(yè)教育的作用。相信不久的將來(lái)，各個(gè)單位在國(guó)家力量的驅(qū)動(dòng)下將逐步的提升APT檢測(cè)技術(shù)的使用比例。

7.4 人才與服務(wù)的缺失

APT攻擊并不是一成不變的，安全方案提供商對(duì)其進(jìn)行檢測(cè)需要不斷的輸入攻防知識(shí)并進(jìn)行長(zhǎng)時(shí)間的運(yùn)營(yíng)（包含行為規(guī)則、樣本家族、威脅情報(bào)等各種方面內(nèi)容）。但國(guó)內(nèi)總體上仍然處于安全人才匱乏的狀態(tài)，尤其是有逆向能力、會(huì)樣本分析或懂漏洞挖掘的人才。人才的匱乏又導(dǎo)致真正高水平的人才難以有充足的動(dòng)力和時(shí)間投入到基礎(chǔ)的安全運(yùn)營(yíng)工作中，這導(dǎo)致大部分安全公司難以對(duì)APT攻擊進(jìn)行有效檢測(cè)。

而在企業(yè)側(cè)，人才的狀況更加不容樂(lè)觀，能力和數(shù)量都成為了制約，往往出現(xiàn)重要的告警沒(méi)人能分析，簡(jiǎn)單的告警沒(méi)有足夠的人來(lái)分析的情況。而通過(guò)采購(gòu)第三方安全服務(wù)的方式可以很好的解決此類問(wèn)題，但又會(huì)面臨中國(guó)當(dāng)前服務(wù)采購(gòu)的各種困局。

慶幸的是，目前國(guó)家正在推動(dòng)政府采購(gòu)服務(wù)的相關(guān)改革，希望這會(huì)從一定程度上解決各個(gè)企事業(yè)單位所面臨的人才問(wèn)題。

8 小結(jié)

APT做為一種新的概念和名詞已經(jīng)存在于市場(chǎng)上多年，但相信APT攻擊實(shí)際上早已在網(wǎng)絡(luò)世界里橫行，僅僅是之前的我們毫不知情。當(dāng)下，隨著多種檢測(cè)技術(shù)的發(fā)展以及更加靈活的組合使用，APT攻擊的檢出率也在提升，海蓮花、洋蔥狗、美人魚(yú)、人面獅、白象等一系列APT攻擊都被先后發(fā)現(xiàn)。這也證明：在安全的道路上，我們可以走的更遠(yuǎn)，走的更好。