陳 清

(江西省圖書館，江西 南昌 330046)

1 引言

近幾年，安全威脅的性質(zhì)已經(jīng)發(fā)生了根本性的變化，專業(yè)的黑客攻擊從以前惡作劇形式或者技術(shù)炫耀性質(zhì)，已經(jīng)逐步轉(zhuǎn)變到為了商業(yè)、利益、政治、宗教等具有明確目的性的惡意行為。為了攻陷傳統(tǒng)的安全檢測及防御措施，黑客們變得比以前更具耐性，而且層出不窮的0-Day、“未知”惡意軟件及APT(advanced persistent threat,高級持續(xù)性威脅)等攻擊的迅速發(fā)展給整個網(wǎng)絡(luò)現(xiàn)有的網(wǎng)絡(luò)安全防御體系提出了一個巨大的難題。

面對日益升級的安全風險問題，如何在現(xiàn)有的安全保護下應(yīng)對越來越先進的攻擊手段，保護讀者信息不被泄露，是公共圖書館信息主管部門的主要任務(wù)之一。

2 未知威脅的主要攻擊方式和階段

現(xiàn)在很多公共圖書館都意識到內(nèi)部數(shù)據(jù)及讀者信息的重要性，但是仍然只是做到邊界的安全及從物理上隔離了網(wǎng)絡(luò)層的數(shù)據(jù)傳輸，在邏輯上數(shù)據(jù)流是不能阻止的。也就是說重要數(shù)據(jù)信息與外部環(huán)境在真正意義上沒有隔絕，惡意盜竊者通過邏輯上就能盜取到想要的內(nèi)部數(shù)據(jù)及讀者信息。RSA就是利用了FLASH 0DAY漏洞被APT攻擊，攻入RSA內(nèi)網(wǎng)安全保護后，SECURID令牌種子被惡意盜竊者竊取，某國核設(shè)施級別相當高的物理隔離網(wǎng)絡(luò)，惡意盜竊者利用技術(shù)擺渡和7個0DAY攻擊，并成功地滲透到網(wǎng)絡(luò)當中，這些攻擊案例都是真實存在的。RSA遭受SecurID竊取攻擊流程如圖1所示。

圖1 RSA遭受SecurID竊取攻擊流程

傳統(tǒng)攻擊手段與APT攻擊相比有很大不同。首先，惡意盜竊者基本上是從各類終端或者工作人員尋找突破口，當公共圖書館的內(nèi)網(wǎng)用戶及接入單位越來越多時，作為信息安全的管理部門就無法保證接入用戶及單位的個人終端(筆記本、PAD、手機)完全安全。其次，APT攻擊滲透方式是采用了工程學(xué)并結(jié)合惡意軟件(木馬、釣魚軟件、病毒等)來進行攻擊，相關(guān)邊界安全設(shè)備或其他安全工具的檢測被透碼的方式輕易繞過，使得惡意盜竊者通過安全的加密通道獲取公共圖書館的重要資產(chǎn)及讀者信息數(shù)據(jù)，同時還能做到很強的隱匿性，數(shù)據(jù)竊取者自身的身份、攻擊位置和盜取行為都得到很好地隱藏。

APT攻擊具有多階段滲透的顯著特征，攻擊持續(xù)時間較長。根據(jù)其特征可以分為四個階段：前期的嗅探、中期的干擾、后期的竊聽和結(jié)尾的疏散。這四個階段一般都是逐步進行的，但并不排除一些有針對性的攻擊，只是為了實現(xiàn)某個特定目標，而進行的某一階段或多個階段的重復(fù)。

2.1 嗅探

嗅探是攻擊者為發(fā)動攻擊時，針對攻擊目標提前收集各方面數(shù)據(jù)的階段。大量關(guān)鍵信息通過各種社會工程學(xué)技術(shù)被攻擊者輕易地收集，比如公共圖書館內(nèi)部員工信息、圖書館業(yè)務(wù)流程信息、讀者數(shù)據(jù)以及圖書館內(nèi)部和外部網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)。同時結(jié)合傳統(tǒng)的滲透攻擊手段收集設(shè)備信息、網(wǎng)絡(luò)流量流向、系統(tǒng)版本、應(yīng)用系統(tǒng)、業(yè)務(wù)開放端口、員工信息、管理措施等信息，然后對收集到的信息進行多維度的分類和策略分析，從而分析出被攻擊的重要數(shù)據(jù)信息，并針對目標數(shù)據(jù)可能存在的缺陷漏洞來進行攻擊。

同時，攻擊者還會實時地收集各種各樣的0day數(shù)據(jù)，編寫竊取數(shù)據(jù)的代碼和程序，從而選擇合理有效的成功率高的攻擊計劃。

2.2 入侵

在收集到大量數(shù)據(jù)的前提下，黑客的攻擊手段更加多樣并且更具有針對性，例如定時定點的查看被攻擊者的文件、圖片、音頻、視頻等各種類型數(shù)據(jù)，從而獲得黑客所需數(shù)據(jù)，另外也可以冒充運維管理員、內(nèi)部工作人員等可靠身份，從而以遠程協(xié)助的方式在用戶后臺運行惡意程序(木馬軟件、病毒軟件)或者開啟部分安全漏洞，在被攻陷用戶毫不知情的情況下，將用戶的服務(wù)請求按照黑客自定義頻率和內(nèi)容重定向到指定任意的惡意地址，被攻擊者將收到無用或惡意的電子信息，同時通過修改網(wǎng)站頁面及后臺的鏈接地址等方式，從而打亂圖書館信息管理部門的工作節(jié)奏和防范措施。

雖然攻擊手段和攻擊工具不斷變化升級，但它們的目的是滲透到目標對象的網(wǎng)絡(luò)環(huán)境中。普通員工、運維人員、管理人員等角色都是他們滲透目標。所有的攻擊行為都偽裝成正常行為，整個過程嚴格且準確，所有的入侵都是正常的業(yè)務(wù)數(shù)據(jù)的形式，使目標不易察覺，無法做到提前預(yù)防。

2.3 潛伏

有經(jīng)驗的入侵者在成功入侵到目標對象的網(wǎng)絡(luò)中后，一般都不會急于獲取數(shù)據(jù)信息，而是先隱藏自己，這樣做的目的是為了避免以前的入侵行為和數(shù)據(jù)被盜之間存在的真實關(guān)聯(lián)，同時，還在尋找進行下一次竊取數(shù)據(jù)的最佳時機。

在通常情況下，當潛伏在目標對象網(wǎng)絡(luò)中的惡意軟件檢測到內(nèi)部環(huán)境符合要求并具備攻擊條件時，提前設(shè)定好的惡意嵌入式程序開始執(zhí)行，必要的情況下攻擊者進行遠程的手動操作。根據(jù)攻擊者的不同目的，輕者通過VPN等加密通道或者建立一條比較安全的連接進行傳輸數(shù)據(jù)，嚴重者直接修改或者銷毀關(guān)鍵數(shù)據(jù)，這對用戶來說是滅頂之災(zāi)。

2.4 撤離

大多數(shù)攻擊者在達成目的后，為了隱藏真實的攻擊過程，不留下任何犯罪蹤跡，會對登錄修改日志信息、設(shè)備的策略配置參數(shù)、應(yīng)用狀態(tài)信息、全網(wǎng)監(jiān)控數(shù)據(jù)進行刪除及銷毀，從而做到保護攻擊者的自身安全。再根據(jù)之前嗅探和入侵時所收集的數(shù)據(jù)作為判斷依據(jù)，使各方面日志、參數(shù)配置等數(shù)據(jù)恢復(fù)成正常狀態(tài)，而且不會影響到被攻擊者正在使用的網(wǎng)絡(luò)及業(yè)務(wù)環(huán)境，這樣，被攻擊者就不會在日常的維護與監(jiān)管中發(fā)現(xiàn)業(yè)務(wù)存在異常，攻擊者在竊取到想要的數(shù)據(jù)同時，也保護了自己的安全。

圖2 安全防護服務(wù)模型

3 未知威脅的可行防護措施

目前針對傳統(tǒng)的安全防護體系(如圖2所示)存在以下問題：安全檢測基本上是靠安全規(guī)則和已知的威脅特征庫(入侵、病毒)；安全問題的處理能力滯后,對潛在的未知威脅缺乏感知能力,對模塊之間缺乏關(guān)聯(lián)分析能力。

通過加強安全管理能力和提高安全措施，并且使用根據(jù)信息數(shù)據(jù)安全思維研發(fā)的產(chǎn)品和系統(tǒng)，可以實現(xiàn)業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)的安全可控。但是，在絕大多數(shù)的公共圖書館網(wǎng)絡(luò)系統(tǒng)中，運維人員或業(yè)務(wù)發(fā)展都不具備相對應(yīng)的安全能力。例如，有時由于他們受限于開發(fā)能力、管理技巧、運維保障，需要使用第三方服務(wù)或產(chǎn)品。這些對于信息主管部門都是不可控的安全內(nèi)容。因此，圖書館要對使用的產(chǎn)品供應(yīng)鏈的安全性與保修范圍以及外包駐場人員訪問權(quán)限、監(jiān)管力度、問責方式等進行管理。除此之外，提高對無特征未知威脅的認識可能更為重要。

在目前現(xiàn)有的網(wǎng)絡(luò)環(huán)境與安全防范技術(shù)條件下，如遇到未知威脅的攻擊時，如何能夠具備更多的防御思維及治理手段，筆者根據(jù)長期從事安全信息管理的經(jīng)驗，對安全攻擊事件中的事前和事中分別提出部分建議，以供參考。

首先，目前圖書館業(yè)內(nèi)大多數(shù)安全設(shè)備基本上根據(jù)已知威脅特癥庫進行比對來發(fā)現(xiàn)攻擊，或者等攻擊已經(jīng)完成后，發(fā)現(xiàn)業(yè)務(wù)與網(wǎng)絡(luò)的異常、數(shù)據(jù)的丟失或者日志的查看，才發(fā)現(xiàn)自己單位的網(wǎng)絡(luò)被攻擊、數(shù)據(jù)被竊取，之后再采取一些補救措施，總體來說都是非常被動的。事實上，現(xiàn)有安全防御產(chǎn)品都無法從源頭上進行安全防護。

針對公共圖書館的業(yè)務(wù)自動化系統(tǒng)及網(wǎng)絡(luò)運行環(huán)境進行監(jiān)測和評估，建立一套能提前預(yù)防系統(tǒng)，首先要分析哪些重要的業(yè)務(wù)數(shù)據(jù)需要保護，它與其他數(shù)據(jù)有何關(guān)聯(lián)，因此，可以制定一個初步的安全防護標準，接著對數(shù)據(jù)之間的關(guān)聯(lián)進行進一步分析，從而分析出哪些數(shù)據(jù)存在威脅。具體可以對微觀層面的數(shù)據(jù)權(quán)限關(guān)系進行分析，把可能存在的潛在威脅模擬成安全漏洞，再根據(jù)漏洞形式分析出在系統(tǒng)中的表現(xiàn)，通過在系統(tǒng)中表現(xiàn)出來的形式實施對應(yīng)的安全手段?？梢酝ㄟ^這種方式獲得系統(tǒng)安全策略，完成安全要求，然后對安全策略、安全功能和安全實施驗證，最終可以形成一套高覆蓋率、流程完整的安全測試方法。

其次，及時發(fā)現(xiàn)已經(jīng)出現(xiàn)的安全事件中的問題。對正在進行中的漏洞、惡意攻擊等行為可通過技術(shù)手段及時發(fā)現(xiàn)，從應(yīng)用層面分析。漏洞包括內(nèi)存層面的漏洞、腳本層面的漏洞二大類?；诼┒磳用娴姆治?，主要是通過站點分析技術(shù)、0day攻擊檢測技術(shù)、惡意鏈路分析技術(shù)，惡意代碼分析技術(shù)以及網(wǎng)絡(luò)邊界和終端聯(lián)動的等技術(shù)，沙箱檢測技術(shù)之所以能夠比較準確地檢測到各類型應(yīng)用層上的攻擊，就是上述技術(shù)組合應(yīng)用的體現(xiàn)?？梢哉f，對縱深創(chuàng)建一套防御體系，就是APT安全防御的核心技術(shù)，其中包括0-day木馬對抗與檢測、0-day漏洞觸發(fā)與檢測、識別加密隧道以及威脅事件關(guān)聯(lián)與分析。

對于0-day木馬檢測技術(shù)，引擎采用沙箱檢測技術(shù)，判斷難點是難以識別惡意攻擊點，因而只能作為0-day漏洞的一個補充技術(shù)。0-day可以立刻判斷出對方的惡意行為，然后準確無誤地分析出漏洞行為特征，通過智能分析將攻擊特征、攻擊行為，迅速加入到智能學(xué)習(xí)中，并關(guān)聯(lián)到其他特征庫。

針對加密數(shù)據(jù)的可靠識別可以分為兩類[1]：一是加密的協(xié)議隧道，加密協(xié)議隧道的數(shù)據(jù)更為安全，受保護的層面更高更加復(fù)雜一些；二是未加密的協(xié)議隧道，未加密協(xié)議通道是對通過的異常流量和行為進行分析進而發(fā)現(xiàn)潛在威脅。未知威脅的APT攻擊這種手法早就普遍使用，因此要不斷充實外部分析內(nèi)容，在對外部關(guān)聯(lián)數(shù)據(jù)進行判斷同時，還需對站點的信息進行分析，從而對遠程連接對象進行有效識別并判斷其行為的可信度，這一點要真正實現(xiàn)有一定難度。

針對APT這種無特征多變化的攻擊方式，我們可以憑借收集的海量數(shù)據(jù)，并對其進行分析，配合已部署的安全防護模塊進行聯(lián)合防護。通過分析APT攻擊手段，我們也能采用此方法來進行安全保護，許多安全事件看似獨立，其實它與各方面都是有著密切的關(guān)聯(lián)。通過分析平時的一些不尋常的流量特征，網(wǎng)絡(luò)服務(wù)、業(yè)務(wù)流向、數(shù)據(jù)外傳的微小變動，有價值的安全信息有可能被挖掘出來。安全隱患的集中數(shù)據(jù)挖掘如圖3所示。

圖3 安全隱患的集中數(shù)據(jù)挖掘

我們所需要做的就是把相關(guān)的一些數(shù)據(jù)相結(jié)合并關(guān)聯(lián)在一起，包括流量特征與屬性、審計日志、數(shù)據(jù)通信設(shè)備、安全設(shè)備、安全事件、終端信息、人員信息等，只要有足夠的數(shù)據(jù)量和覆蓋范圍，一些潛在的安全隱患或被隱藏的未知威脅就能夠被及時發(fā)現(xiàn)，無論攻擊者使用什么攻擊方法或者使用什么攻擊工具，基本上都是有跡可循，最終能被發(fā)現(xiàn)的。

4 結(jié)束語

正所謂道高一尺，魔高一丈。由于高級威脅和0-day攻擊極其隱蔽，能高度地繞開或規(guī)避檢測，導(dǎo)致目前很多傳統(tǒng)的基于特征庫比對的安全防范設(shè)備與方法都無法查出和防御類似于未知威脅或0-day攻擊的攻擊行為，所以現(xiàn)在的信息安全防范模型正在從基于威脅的保護轉(zhuǎn)變到面向風險的保護。

因此，形成一個具有深層次的且有關(guān)聯(lián)性分析的防御體系，對防御未知威脅，特別是APT檢測識別體系上具有重要意義。完善的滲透檢測識別技術(shù)，對異常流量和行為進行分析，并對結(jié)果加以識別與判斷，能夠防御各種攻擊0-day漏洞以及木馬病毒等惡意程序。以上就是針對未知威脅并結(jié)合當前現(xiàn)有技術(shù)提出的檢測體系。

[參考文獻]

[1]黃達理,薛質(zhì).進階持續(xù)性滲透攻擊的特征分析研究[J].信息安全與通信保密,2012(5):87-89.