董 娜,張君艷,劉偉娜,常 杰

(國(guó)網(wǎng)河北省電力公司電力科學(xué)研究院,石家莊 050021)

電網(wǎng)企業(yè)APT攻擊防御存在的問題及防御措施

董 娜,張君艷,劉偉娜,常 杰

(國(guó)網(wǎng)河北省電力公司電力科學(xué)研究院,石家莊 050021)

介紹電網(wǎng)運(yùn)行易遭黑客APT攻擊的現(xiàn)狀,針對(duì)APT攻擊流程分析了現(xiàn)有的防護(hù)體系存在的問題,從管理手段和技術(shù)手段2個(gè)方面提出防御的安全措施。并對(duì)目前電網(wǎng)企業(yè)如何防范APT攻擊提出建議。

APT攻擊;大數(shù)據(jù);APT防御

1 概述

2015年12月,烏克蘭電網(wǎng)遭受APT攻擊造成大面積停電,這是世界首例因黑客攻擊造成的大規(guī)模停電事故[1]。同時(shí)隨著我國(guó)智能電網(wǎng)的發(fā)展,以及云計(jì)算,大數(shù)據(jù),移動(dòng)互聯(lián)及物聯(lián)網(wǎng)技術(shù)的結(jié)合,信息安全成為電網(wǎng)安全的重要組成部分。電網(wǎng)遭受APT攻擊,不僅會(huì)造成大規(guī)模停電,影響生產(chǎn)生活,還會(huì)造成敏感信息外泄,如電力運(yùn)營(yíng)數(shù)據(jù)、用戶信息等,帶來巨大的經(jīng)濟(jì)損失。

電網(wǎng)運(yùn)行容易遭到黑客發(fā)起的APT攻擊包括以下幾個(gè)方面[2]:供應(yīng)商,電網(wǎng)行業(yè)供應(yīng)商多樣,電網(wǎng)所使用的軟硬件設(shè)備多種多樣,供應(yīng)商可能來自系統(tǒng)內(nèi)外、國(guó)內(nèi)外,除設(shè)備被預(yù)裝后門或惡意軟件外,設(shè)備本身設(shè)計(jì)缺陷或存在的安全漏洞都可以被黑客利用;終端,終端分布廣,分布式電源、用電信息采集、電動(dòng)汽車等終端設(shè)備或系統(tǒng)的運(yùn)營(yíng)主體繁多、應(yīng)用場(chǎng)景復(fù)雜,增加了其被惡意監(jiān)聽、滲透、控制的風(fēng)險(xiǎn),移動(dòng)設(shè)備的攻擊正在逐步成為APT攻擊的新方向,而移動(dòng)設(shè)備的安全技術(shù)保障也不充足,無論是Android系統(tǒng)還是iOS系統(tǒng)均被爆出過不少漏洞,存在安全問題;通信網(wǎng)絡(luò),黑客利用技術(shù)手段通過通信網(wǎng)絡(luò)進(jìn)行假冒終端、違規(guī)接入、網(wǎng)絡(luò)流量劫持、信息竊取等,導(dǎo)致信息泄露或通信網(wǎng)絡(luò)設(shè)備運(yùn)行異常、中斷;應(yīng)用服務(wù),黑客利用安全漏洞或惡意病毒入侵應(yīng)用系統(tǒng),可導(dǎo)致服務(wù)異?；蛑袛?信息泄露,甚至破壞應(yīng)用系統(tǒng)的軟硬件設(shè)備,工控系統(tǒng)正在逐步成為APT攻擊的新目標(biāo),此前,被曝光的NSA武器庫(kù)擁有大量可以攻擊工控隔離網(wǎng)絡(luò)的手段;員工,大多數(shù)員工信息安全意識(shí)仍然不足,而APT攻擊往往會(huì)采用社會(huì)工程利用人性的弱點(diǎn)對(duì)員工進(jìn)行滲透。在這一大背景下,如何防范APT攻擊應(yīng)引起電網(wǎng)行業(yè)的重視。

2 APT攻擊防御存在的問題

目前電網(wǎng)企業(yè)已經(jīng)擁有較全面的信息安全管理體系,對(duì)物理環(huán)境、終端安全、邊界安全、網(wǎng)絡(luò)安全、應(yīng)用平臺(tái)安全及數(shù)據(jù)安全等方面的安全管理采取了相應(yīng)的安全防護(hù)手段,但是在面對(duì)APT攻擊時(shí)仍然存在一些問題[3]。同時(shí)APT攻擊以其

隱蔽性強(qiáng)、潛伏期長(zhǎng)、持續(xù)性強(qiáng)、攻擊渠道多樣等特點(diǎn),降低了傳統(tǒng)安全產(chǎn)品對(duì)其防御的效果。下面將從APT攻擊的一般流程來分析電網(wǎng)企業(yè)面臨的問題[4-5]。

第1步為信息收集,攻擊者有針對(duì)性的通過各種途徑收集網(wǎng)絡(luò)系統(tǒng)和員工的相關(guān)信息,包括從外部利用網(wǎng)絡(luò)隱蔽掃描了解信息以及從內(nèi)部利用社會(huì)工程學(xué)了解相關(guān)員工信息。雖然電網(wǎng)企業(yè)已經(jīng)制定了安全管理制度,但是人員安全意識(shí)依然需要提高,尤其是部分員工存在僥幸心理或是不知情情況下造成信息泄露或被黑客利用。

第2步為單點(diǎn)攻擊,收集足夠信息后,攻擊者通過包括惡意代碼、漏洞攻擊、Web攻擊等各種攻擊手段入侵目標(biāo)系統(tǒng),這個(gè)過程通常是采用低烈度的攻擊模式,以避免被目標(biāo)系統(tǒng)發(fā)現(xiàn),從而控制目標(biāo)系統(tǒng)。攻擊者利用0day漏洞、未及時(shí)修復(fù)的已知漏洞、多態(tài)病毒木馬等來繞過電網(wǎng)企業(yè)已部署安裝的防病毒及其他檢測(cè)工具,導(dǎo)致此類攻擊難以被防范。

第3步為建立控制,攻擊者通過突破內(nèi)部某一臺(tái)終端滲透進(jìn)內(nèi)部網(wǎng)絡(luò),模擬網(wǎng)絡(luò)常見協(xié)議如DNS、HTTP、HTTPS并進(jìn)行加密來構(gòu)建C&C通信(命令與控制)與終端聯(lián)系,讓C&C通信變得難以被電網(wǎng)企業(yè)部署的IDS、防火墻,IPS等安全設(shè)備檢測(cè)。在這個(gè)過程中,攻擊者還會(huì)降低通信頻率及頻繁變更域名和IP地址。由于目前電網(wǎng)企業(yè)缺少對(duì)網(wǎng)絡(luò)異常流量的關(guān)聯(lián)分析工具,使得檢測(cè)出被控終端變得困難。

第4步為橫向、縱向滲透,攻擊者以突破的終端為跳板,逐步了解全網(wǎng)結(jié)構(gòu),在獲取更高權(quán)限后鎖定目標(biāo)。目前電網(wǎng)行業(yè)主要的檢測(cè)方式是對(duì)網(wǎng)絡(luò)邊界和主機(jī)邊界進(jìn)行檢測(cè),在對(duì)內(nèi)部安全防護(hù)上相對(duì)薄弱,雖然部署了堡壘機(jī)和數(shù)據(jù)防護(hù)等手段,但攻擊者可以模擬正常用戶行為進(jìn)行長(zhǎng)期、少量資料收集工作。

第5步為數(shù)據(jù)回傳,攻擊者在內(nèi)部網(wǎng)絡(luò)中長(zhǎng)期潛伏,收集網(wǎng)絡(luò)中各服務(wù)器上的重要數(shù)據(jù)信息后,將這些數(shù)據(jù)進(jìn)行壓縮加密,通過隱蔽通道進(jìn)行回傳,以繞過電網(wǎng)企業(yè)部署的審計(jì)設(shè)備或其他安全設(shè)備。

目前電網(wǎng)企業(yè)的網(wǎng)絡(luò)是內(nèi)外網(wǎng)隔離的,針對(duì)這種網(wǎng)絡(luò)隔離,APT攻擊者在實(shí)施控制與數(shù)據(jù)回傳時(shí),一般使用移動(dòng)介質(zhì)擺渡的方式,進(jìn)行數(shù)據(jù)的傳送。另外一些破壞性的APT攻擊,則不需要進(jìn)行控制和數(shù)據(jù)回傳,如震網(wǎng)攻擊,攻擊者將震網(wǎng)病毒傳遞到工作人員家庭主機(jī),并通過U盤震網(wǎng)病毒被工作人員帶回到隔離的主機(jī)上,最終攻擊核電站系統(tǒng)。

綜上所述,面對(duì)APT攻擊時(shí),無論是電網(wǎng)企業(yè)現(xiàn)有的防御體系還是目前已形成的檢測(cè)思路,諸如惡意代碼檢測(cè)思路、主機(jī)應(yīng)用保護(hù)思路、網(wǎng)絡(luò)入侵檢測(cè)思路等,都存在一定的困難和局限性。而理想的APT安全解決方案應(yīng)該基于大數(shù)據(jù)分析的檢測(cè)、防御方案,目前已有廠商與研究人員推出并提出了相應(yīng)的安全產(chǎn)品和架構(gòu)[6-8]。

3 安全防御措施

電網(wǎng)企業(yè)在防御APT攻擊時(shí)所面臨的上述問題,可以從管理和技術(shù)方面分別進(jìn)行防御[9]。

3.1 管理手段

a.制度管理,落實(shí)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)以及公司的規(guī)章制度,嚴(yán)格執(zhí)行相關(guān)安全管理方面的要求,尤其是對(duì)終端安全、邊界安全、網(wǎng)絡(luò)安全及數(shù)據(jù)安全等方面的要求認(rèn)真落地執(zhí)行,同時(shí)研究現(xiàn)有的安全防護(hù)要求是否全面,查漏補(bǔ)缺,根據(jù)實(shí)際情況及時(shí)更新。

b.人員管理,人往往是信息安全防護(hù)過程中的最不可控因素,攻擊者通常會(huì)使用社會(huì)工程利用人性的弱點(diǎn)針對(duì)人員進(jìn)行滲透,因此提高員工的安全意識(shí)顯得十分重要。定期對(duì)員工進(jìn)行安全培訓(xùn)及安全教育活動(dòng),根據(jù)安全管理制度確定可執(zhí)行的策略,讓每名員工都清楚什么可以做,什么不可以做。安全培訓(xùn)是長(zhǎng)期且重要的工作,因?yàn)槿说陌踩婪兑庾R(shí)非一朝一夕能樹立起來。

c.對(duì)外信息管理,限制公開顯示的信息量,包括電話簿、員工名單、過于具體的人員和領(lǐng)導(dǎo)介紹、項(xiàng)目計(jì)劃、業(yè)務(wù)和渠道合作伙伴以及客戶名單。同時(shí)從制度上禁止企業(yè)員工個(gè)人信息以及與工作相關(guān)的信息被公布到社交網(wǎng)站上。

d.最小權(quán)限原則,把控每個(gè)員工可以接觸到的信息,采用最小權(quán)限原則,切不可越權(quán)訪問、使用資源。同時(shí),對(duì)員工在被限定的權(quán)限下可以進(jìn)行的操作有明確的規(guī)定,避免違規(guī)操作。

e.預(yù)警機(jī)制,安排人員隨時(shí)關(guān)注相關(guān)安全部門和網(wǎng)站發(fā)布的安全公告,建立預(yù)警機(jī)制。針對(duì)社會(huì)上最新發(fā)現(xiàn)的各種安全問題及時(shí)對(duì)企業(yè)內(nèi)部

進(jìn)行驗(yàn)證,查看是否存在,若存在及時(shí)制定整改計(jì)劃消除缺陷。

f.建立應(yīng)急機(jī)制,根據(jù)各種可能發(fā)生的情況制定應(yīng)急方案,當(dāng)發(fā)現(xiàn)疑似APT攻擊時(shí),能及時(shí)啟動(dòng)應(yīng)急機(jī)制,將損失降低到最小。

g.注重終端安全,統(tǒng)一管理終端殺毒軟件,及時(shí)更新,修復(fù)漏洞。采用安全手段檢查并檢測(cè)可疑郵件中的URL鏈接和附件,防范可能的APT攻擊。重視數(shù)據(jù)層安全,對(duì)敏感數(shù)據(jù)一是要作權(quán)限管理,定期更換用戶認(rèn)證;二是要做信息加密,包括存儲(chǔ)加密和傳輸加密等。

h.專業(yè)技術(shù)人員,培養(yǎng)專業(yè)技術(shù)人員或是邀請(qǐng)專家對(duì)歷史數(shù)據(jù)、當(dāng)前記錄進(jìn)行分析并對(duì)定期開滲透測(cè)試,預(yù)估安全趨勢(shì),及時(shí)發(fā)現(xiàn)安全風(fēng)險(xiǎn)。提升企業(yè)內(nèi)部安全人員能力,定期排查和評(píng)估潛在風(fēng)險(xiǎn),不斷增加主動(dòng)發(fā)現(xiàn)風(fēng)險(xiǎn)和排查故障的技術(shù)能力。同時(shí),在有條件的情況下聘請(qǐng)專業(yè)安全機(jī)構(gòu)定期進(jìn)行監(jiān)測(cè),提高風(fēng)險(xiǎn)防范水平。

通過上述的管理手段不斷加強(qiáng)網(wǎng)絡(luò)防御APT攻擊的能力。

3.2 技術(shù)手段

在信息網(wǎng)絡(luò)中部署APT攻擊檢測(cè)防護(hù)產(chǎn)品,對(duì)主機(jī)、邊界、網(wǎng)絡(luò)、應(yīng)用等進(jìn)行全方位防護(hù),防護(hù)技術(shù)手段如下。

a.物理防護(hù)。防范電磁泄漏,信息系統(tǒng)設(shè)備在工作時(shí)通過電源線、信號(hào)線等輻射出去的電磁信號(hào)或諧波,可以經(jīng)過提取處理恢復(fù)為原信息造成信息泄密,所以需要防電磁泄露,可以采用電磁屏蔽或防干擾等措施進(jìn)行安全防護(hù)。

b.惡意代碼檢測(cè)。在互聯(lián)網(wǎng)出口和核心交換機(jī)之間部署引惡意代碼檢測(cè)引擎,實(shí)時(shí)監(jiān)測(cè)有關(guān)惡意代碼的威脅攻擊。APT攻擊發(fā)起者修改已有的惡意代碼來形成新型未知惡意代碼或開發(fā)全新惡意代碼,來繞過基于特征碼的檢測(cè)系統(tǒng)。因此,在防御APT攻擊時(shí),應(yīng)增加動(dòng)態(tài)檢測(cè)技術(shù),如采用沙箱技術(shù)。其原理是在虛擬機(jī)或沙箱中運(yùn)行引入的實(shí)時(shí)流量,通過監(jiān)控沙箱中的文件系統(tǒng)、進(jìn)程、注冊(cè)表、網(wǎng)絡(luò)行為等,來判斷流量中是否包含惡意代碼。

c.終端安全管理。包含但不限于安全準(zhǔn)入、安全加固、病毒防護(hù)、補(bǔ)丁管理、違規(guī)外聯(lián)管理、訪問控制、保密監(jiān)測(cè)、數(shù)據(jù)防護(hù)監(jiān)控、外設(shè)管理、IP地址管理、移動(dòng)存儲(chǔ)介質(zhì)管理、桌面資產(chǎn)管理、軟硬件安裝管理、惡意代碼過濾?？刂平K端是APT攻擊滲透內(nèi)部網(wǎng)絡(luò)的重要環(huán)節(jié),所以終端安全防護(hù)是防范APT攻擊的重要關(guān)卡。

d.漏洞掃描。對(duì)終端、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等定期進(jìn)行漏洞掃描,及時(shí)修復(fù)發(fā)現(xiàn)的漏洞。APT攻擊者通常利用已知漏洞和未知漏洞進(jìn)行單點(diǎn)攻擊入侵目標(biāo)系統(tǒng),在進(jìn)行防御時(shí),可以使用現(xiàn)有的漏洞掃描工具或是手工驗(yàn)證等方式進(jìn)行漏洞發(fā)掘,發(fā)現(xiàn)漏洞及時(shí)修復(fù)。

e.入侵檢測(cè)。通過監(jiān)控整網(wǎng)流量,來監(jiān)控網(wǎng)絡(luò)內(nèi)各種攻擊行為。入侵檢測(cè)系統(tǒng)主要用來檢測(cè)APT攻擊的命令和控制通道。

f.全流量審計(jì)。全流量存儲(chǔ)的條件下,通過回溯分析相關(guān)流量,對(duì)流量進(jìn)行協(xié)議解析和應(yīng)用還原,判斷識(shí)別是否存在攻擊行為。對(duì)于不能被實(shí)時(shí)檢測(cè)出來的攻擊行為,可以回溯分析相關(guān)流量并進(jìn)行多次檢測(cè)。這種采用長(zhǎng)時(shí)間、全流量數(shù)據(jù)進(jìn)行深度分析的防范,主要用于對(duì)抗APT攻擊的可持續(xù)特性特性。

g.大數(shù)據(jù)分析。通過單一的安全設(shè)備告警信息無法判定是否存在APT攻擊,需要對(duì)覆蓋所有檢測(cè)技術(shù)的安全信息進(jìn)行收集分析,形成關(guān)聯(lián)分析,這需要大數(shù)據(jù)分析技術(shù)。包括對(duì)防火墻、入侵檢測(cè)、入侵防御、審計(jì)系統(tǒng)、日志系統(tǒng)、防病毒系統(tǒng)信息進(jìn)行收集分析。大數(shù)據(jù)分析技術(shù)通過關(guān)聯(lián)分析來判斷異常情況,發(fā)現(xiàn)異常后,利用全流量存儲(chǔ),建立告警庫(kù),對(duì)捕捉到的信息進(jìn)行綜合關(guān)聯(lián)分析,將告警信息會(huì)形成規(guī)則。

目前各廠商已經(jīng)發(fā)布了相應(yīng)的APT防御產(chǎn)品,對(duì)APT的檢測(cè)防御各有側(cè)重,電網(wǎng)企業(yè)在進(jìn)行選擇時(shí),可以根據(jù)網(wǎng)絡(luò)實(shí)際情況,選擇一個(gè)或多種組合部署,在技術(shù)手段上加強(qiáng)對(duì)APT攻擊的防御能力。

4 結(jié)束語

綜上所述,在防御APT攻擊上可以采用以上手段,尤其在大數(shù)據(jù)的基礎(chǔ)上多種方式聯(lián)合使用,才能有效的檢測(cè)防御APT攻擊。但仍有很多問題需要進(jìn)一步研究解決,如沙箱技術(shù)占用大量的本地資源和處理時(shí)間,會(huì)拖慢系統(tǒng);入侵檢測(cè)技術(shù)需要解決如何獲取APT攻擊的命令和控制通道特征的問題;全流量審計(jì)需要解決高性能的數(shù)據(jù)捕獲和快速回溯分析能力;大數(shù)據(jù)分析技術(shù)還未完全成熟,需要解決異構(gòu)海量數(shù)據(jù)存儲(chǔ)、分析技術(shù),關(guān)聯(lián)場(chǎng)景的建立等問題。

[1] 童曉陽,王曉茹.烏克蘭停電事件引起的網(wǎng)絡(luò)攻擊與電網(wǎng)信息安全防范思考[J].電力系統(tǒng)自動(dòng)化,2016,40(7):144-147.

[2] bjx-zndx.烏克蘭電網(wǎng)遭遇黑客攻擊,有何警示意義[OL]http://toutiao.com/a6243917163524423938/,2016-01-26.

[3] 張富華,普 鋼,張 睿,等.電力企業(yè)APT安全防護(hù)策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,7:86-87,90.

[4] 佚 名.大數(shù)據(jù)分析APT攻擊防護(hù)下一代演進(jìn)之路[OL].http://sec.chinabyte.com/452/12916952.shtml,2014-04-12.

[5] 張百川.APT:攻擊容易,防御不易,且行且珍惜[OL].http:// www.youxia.org/apt-cnw-zhenxi.html,2014-04-16.

[6] 王麗娜,余榮威,付楠,等.基于大數(shù)據(jù)分析的APT防御方法[J].信息安全研究,2015,1(3):230-237.

[7] 付 鈺,李洪成,吳曉平,等.基于大數(shù)據(jù)分析的APT攻擊檢測(cè)研究綜述[J].通信學(xué)報(bào),2015,36(11):1-14.

[8] 趨勢(shì)科技.演化的APT治理戰(zhàn)略[OL].http://www. trendmicro.com.cn/cloud-content/cn/pdfs/20150624.pdf, 2015-06-24.

[9] 蔣 明,方 圓,丁家田.大數(shù)據(jù)時(shí)代下電網(wǎng)企業(yè)安全防護(hù)策略研究[J].信息安全與技術(shù),2015,(10):11-15,37.

本文責(zé)任編輯:羅曉曉

Problem and Countermeasures on APT Defense in Power Grid Enterprises

Dong Na,Zhang Junyan,Liu Weina,Chang Jie
(State Grid Hebei Electric Power Research Institute,Shijiazhuang 050021,China)

This paper introduces the present situation of the Power Grid operation which is vulnerable to APT attacks.The existing problems of current protection system are analyzed from the process of APT attacks.This paper analyzes the security measures of defense from management means and technical means.For the current Power Grid enterprises how to prevent APT attacks should cause the attention of the power industry.

APT attacks;big data;APT defense

TP311.56

B

1001-9898(2016)04-0025-03

2016-06-13

董 娜(1986-),女,工程師,主要從事電力信息化相關(guān)工作。