《未知威胁整体解决方案v1.0》由会员分享,可在线阅读,更多相关《未知威胁整体解决方案v1.0(27页珍藏版)》请在金锄头文库上搜索。
1、未知威胁整体解决方案未知威胁整体解决方案 文档编号文档编号 密级密级 版本编号版本编号V1.0 日期日期360360 企业安全集团企业安全集团请输入文档名称2015 360 企业安全集团企业安全集团 密级:内部使用密级:内部使用 版权说明版权说明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外。所有版权均属 360 企业安全集团所有,受到有关产权及版权法保护。任何个人、机构未经 360 企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片段。 适用性说明适用性说明 本模板用于撰写 360 企业安全集团中各种正式文件、包括技术手册、标书、白皮书、会
2、议通知、公司制度等文档使用。请输入文档名称2015 360 企业安全集团企业安全集团 密级:内部使用密级:内部使用目录目录 1.背景12.存在问题32.1.传统防护手段面临失效 .32.1.1. 多变的攻击手段.42.1.2. 攻击隐蔽性强.62.1.3. 攻击目标明确.82.2.免杀木马无法检测 .82.3.大量内网数据无法有效利用 .93.方案思路103.1.未知威胁检测思路 .103.2.未知威胁响应拦截思路 .123.3.未知威胁溯源思路 .133.4.整体思路 .134.方案设计144.1.方案架构 .144.1.1. 云端威胁情报.154.1.2. 本地网络信息采集.164.1.3
3、. 本地文件威胁检测.174.1.4. 本地大数据威胁分析平台.174.1.5. 终端联动响应.174.1.6. 网关联动响应.184.1.7. 专业安全服务.194.2.详细设计 .204.2.1. 部署拓扑图.20请输入文档名称2015 360 企业安全集团企业安全集团 密级:内部使用密级:内部使用4.2.2. 解决的问题.204.2.3. 方案清单.215.方案优势与特点22未知威胁整体解决方案2015 360 企业安全集团企业安全集团 - 1 - 密级:内部使用密级:内部使用1. 背景背景近年来,具备国家和组织背景的 APT 攻击日益增多,例如:2010 年攻击伊朗核电站的“震网病毒”
4、、针对 Google 邮件服务器的“极光攻击”、2013 年韩国金融和电视媒体网络被大面积入侵而瘫痪等等,2014 年 APT 攻击的主要目标行业是金融和政府,分别高达 84%和 77%。中国是 APT(Advanced Persistent Threats,高级持续性威胁)攻击的受害国,国内多个省、市受到不同程度的影响,其中北京、广东是重灾区,行业上教育科研、政府机构是 APT 攻击的重点关注领域。截至 2015 年 11 月底,360 威胁情报中心监测到的针对中国境内科研教育、政府机构等组织机构发动 APT 攻击的境内外黑客组织累计 29 个,其中 15 个 APT 组织曾经被国外安全厂商
5、披露过,另外 14 个为 360 独立发现并监测到的 APT 组织。在这 29 个APT 组织中,针对中国境内目标的攻击最早可以追溯到 2007 年,而 2015 年 9 月以后仍然处于活跃状态的 APT 组织至少有 9 个。统计显示,仅仅在 2015 年这 12 个月中,这些 APT 组织发动的攻击行动,至少影响了中国境内超过万台电脑,攻击范围遍布国内 31 个省级行政区。以下是 360 威胁情报中心监控到的针对中国攻击的部分 APT 组织列表,其中OceanLotus(APT-C-00) 、APT-C-05、APT-C-06、APT-C-12 是 360 截获的 APT 组织及行动。排序A
6、PT组织APT行动首先报告厂商已知最早活动时间监测最近活动时间1APT28APT28、Operation RussianDollFireEye2007年2014年7月2DarkhotelDarkhotelKaspersky2007年2015年11月3APT-C-05APT-C-053602007年2015年11月4APT-C-12APT-C-123602011年2015年11月5OceanLotus(APT-C-00)OceanLotus3602011年2015年11月6APT-C-06APT-C-063602011年2015年11月7Operation Arid ViperOperation
7、 Arid ViperTrend Micro2012年2014年12月8Desert FalconDesert FalconKaspersky2013年2014年11月9CarberpAnunakFOX IT2013年2015年6月10ScanBoxScanBoxAlienVault2014年2015年5月表 1 针对中国攻击的部分 APT 组织列表未知威胁整体解决方案2015 360 企业安全集团企业安全集团 - 2 - 密级:内部使用密级:内部使用从 2015 年的统计来看,针对科研教育机构发起的攻击次数最多,占到了所有 APT攻击总量的 37.4%;其次是政府机构,占 27.8%;能源企
8、业排第三,占 9.1%。其他被攻击的重要领域还包括军事系统、工业系统、商业系统、航天系统和交通系统等。图 1 APT 组织主要攻击行业分布2012 年 4 月起至今,某境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。该组织主要通过鱼叉攻击和水坑攻击等方法,配合多种社会工程学手段进行渗透,向境内特定目标人群传播免杀木马程序,秘密控制部分政府人员、外包商和行业专家的电脑系统,窃取系统中相关领域的机密资料。根据该组织的某些攻击特点,360 公司将其命名为 OceanLotus(海莲花) 。在安全形势不断恶化的今天,中国重要
9、企业和政府用户所处的特殊位置,经常会面临来自 APT 攻击的威胁,虽然企业的安全管理人员已经在网络中的各个位置部署了大量的安全设备, 但仍然会有部分威胁绕过所有防护直达企业内部,对重要数据资产造成泄漏、损坏或篡改等严重损失。未知威胁整体解决方案2015 360 企业安全集团企业安全集团 - 3 - 密级:内部使用密级:内部使用2. 存在问题存在问题2.1. 传统防护手段面临失效传统防护手段面临失效高级持续性威胁(Advanced Persistent Threat,简称 APT)是一种可以绕过各种传统安全检测防护措施,通过精心伪装、定点攻击、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资
10、料和各类情报的攻击方式。事实证明,传统安全设备已经无法抵御复杂、隐蔽的 APT 攻击。针对伊朗核设施的“震网攻击” 、针对跨过能源公司的“夜龙攻击” 、针对 Google邮件服务器的“极光攻击” 、针对 RSA SecureID 的攻击、针对美国政府和国际组织的“暗鼠行动” 、美国国家航空航天局(NASA)喷气推动实验室核心资料被窃取、韩国金融和电视媒体网络被大面积入侵而瘫痪,几乎所有的被曝光的 APT 攻击无一例外都是以入侵者的全面成功而结束,在这些已公开的 APT 攻击中,依靠传统安全设备的防御体系均被轻易绕过而失去防御能力。在某些 APT 攻击的案例(如震网攻击、夜龙攻击)中,传统安全防
11、御设备甚至在长达数年的持续攻击中毫无察觉。无需过多讨论,APT 攻击在事关各国民生命脉的能源、电力、金融、政治、军事、核设施等关键领域造成的史无前例,难以评估的严重损失的事实已经清楚告诉我们:传统安全设备无法抵御网络攻击的核武器:APT。传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证 Token 等。从传统安全防御体系的设备和产品可以看到,这些产品遍布网络 2 7 层的数据分析,其中,与 APT 攻击相关的 7 层设备主要是 IDS、IPS、审计,而负
12、责 7 层检测IDS、IPS 采用经典的 CIDF 检测模型,该模型最核心的思想就是依靠攻击特征库的模式匹配完成对攻击行为的检测。反观 APT 攻击,其采用的攻击手法和技术都是未知漏洞(0day) 、未知恶意代码等未知行为,在这种情况下,依靠已知特征、已知行为模式进行检测的 IDS、IPS 在无法预知攻击特征、攻击行为模式的情况下,理论上就已无法检测 APT 攻击。未知威胁整体解决方案2015 360 企业安全集团企业安全集团 - 4 - 密级:内部使用密级:内部使用2.1.1. 多变的攻击手段多变的攻击手段一次 APT 攻击就像军事上针对特定目标的定点打击或间谍渗透,其中很关键的步骤就是入侵
13、过程,其中分为所谓的载荷投递与突防利用。从下图内容看,鱼叉式钓鱼邮件攻击和水坑式攻击属于载荷投递的过程,而漏洞利用就是突防利用的过程。图 2 APT 攻击组织的主要入侵方式(一) 载荷投递的成本从上图最顶端是鱼叉邮件攻击,是 APT 攻击中使用最为频繁的投递载体,攻击者无论是发动一次精良的鱼叉邮件攻击,还是普通的刺探邮件,成本是上图这四项中最低的。攻击者只需知道目标邮箱地址即可发动一次攻击,当然携带的攻击程序有可能是 PE 二进制可执行程序,也可能是漏洞文档,也可能是一个被作为水坑攻击的网站URL。而针对中国的攻击中大多数都是直接携带 PE 二进制可执行程序,这不仅与APT 组织发动攻击的成本
14、有关系,而且与被攻击目标本身的强弱有直接关系。一次APT 攻击的成功与否主要取决于 APT 组织针对目标的意图(Intent)和达到相关意图的能力(Capability) ,而不取决于目标本身的强与弱,目标本身的强弱只是决定了APT 组织采用的攻击方式。针对中国的鱼叉邮件攻击主要是携带 PE 二进制可执行程序,这一现象也从侧面反应出中国相关目标领域的安全防御措施、以及人员的安全意识比较欠缺。上图的第二层是水坑式攻击,发动水坑攻击较鱼叉攻击,其成本主要高在需要一个目标用户经常关注的网站的权限。水坑攻击中的网站我们也可以理解为一个载体,未知威胁整体解决方案2015 360 企业安全集团企业安全集团 - 5 - 密级:内部使用密级:内部使用上面可以放置 PE 二进制木马(即需要用户交互下载安装执行) ,也可以放置漏洞文件(即不需要用户交互直接下载安装执行) 。(二) 突防利用的成本上图最底端的两层:已知漏洞和 0day 漏洞,漏洞在 APT 组织中是最为耗费成本的,尤其是 0day 漏洞。只有当具备高价值的目标且已知漏洞攻击在目标环境无效,攻击者才会启用 0day 漏洞。而在针对中国的攻击中,我们更多看到的是 APT 组织选择如 1day 或 Nday 的已知漏洞,但这并不代表 APT 组织不具备持有 0day 漏洞的能力。在 APT-C-00 和 APT-C-05
