随着数字经济的不断发展,5G、物联网、云计算、大数据、人工智能等新兴技术突飞猛进,数字化产业化和产业数字化使得虚拟空间与物理空间深度交融,网络攻击、数据泄露、安全漏洞等安全问题呈现新的变化,单纯的网络安全逐步扩展到全社会的所有空间,安全能力将成为关系社会安定、经济平稳运行的关键基础性能力。
在此背景下,8月13日-16日,第八届互联网安全大会(ISC 2020)技术日正式拉开帷幕,推出网络空间测绘论坛、漏洞管理与研究论坛、移动安全论坛、电子取证与司法实践论坛、XDR分析检测、安全开发与测试论坛、威胁情报驱动的安全能力建设论坛、全分析技术论坛、ATT&CK安全能力衡量论坛、靶场与实网攻防对抗论坛等在内的多场论坛研讨,多位专家智囊、技术大牛分享网络安全前沿技术干货,助推安全产业发展创新之道。
随着全球数字化转型的加速,网络战已成为国与国对抗的核心战场,其中APT攻击的目标领域涉及政治、经济、情报等多个重要板块。譬如疫情期间境外APT组织对我国医疗行业等目标攻击持续增加,“白象”及“海莲花”等APT组织通过伪装疫情热点的恶意文件,对医疗行业及相关人员发起定向攻击,运行恶意程序,窃取敏感数据,对疫情防控相关工作造成影响。
应对不断演变的网络攻击,威胁情报成为狩猎APT攻击的重要武器。
在“威胁情报驱动的安全能力建设论坛” 上,资深网络安全专家、360高级威胁研究院副院长宋申雷结合360基于高级威胁情报能力狩猎APT组织案例,分享了360威胁情报金字塔建设的经验和思考。
资深网络安全专家、360高级威胁研究院副院长宋申雷
宋申雷谈到,网络世界中的安全威胁无时无刻都在变化,而高级持续性威胁(APT)目前已经成为政府和企业不可忽视的重要威胁。
由于APT具有定向性、长期持续、隐蔽潜伏的攻击特点,使得安全人员运用传统的检测手段无法辨别和发现APT攻击。
而借助海量的安全数据、先进的机器学习技术和经验丰富的专家团队产生的高级威胁情报进行威胁狩猎,已经成为安全人员发现APT攻击真正有效方法。
360威胁狩猎的核心流程即是在最大的程序文件样本库、最全的域名信息库、最大存活网址库、最全的程序行为日志库组成的海量数据基础上,基于包含人工智能引擎和高级威胁沙箱的人工智能分析及专家团队产出高级威胁情报。
这套流程让360成功狙击数次0day漏洞攻击,并捕获6次在野攻击,包括“噩梦公式二代”漏洞(微软2018年修复的首个在野0day漏洞)、“毒针”行动(针对俄罗斯的Flash 0day在野攻击)、“双星”漏洞(首例同时利用IE浏览器、火狐浏览器的双0day APT攻击)等。
在谈到威胁情报金字塔的奥秘时候,宋申雷以六层金字塔演示,自下而上分别是文件哈希、IP地址、域名、网络和主机工件、武器工具、技战术过程。
其中最底层的威胁情报是由样本文件构成;上两层是在样本基础上通过分析得到直接关联的IP地址和域名信息;再上一层的是采集安全数据,使用网络流量和终端行为特征进行威胁狩猎;继续上一层是了解对手的工具和武器;顶层是理解对手的技术、战术和攻击过程。
“可以说失陷指标是基础的参照数(Indicators of Compromise),技战术过程是难得的攻防知识(Tactics, Techniques and Procedures),因此TTPS和IOCS形成映射就是真正的威胁情报。”宋申雷说道。
无疑,传统被动式的防御手段以及针对单点的攻击取证与溯源技术已经无力应对高级持续性威胁(APT)和新型高危漏洞等复杂的安全威胁。
未来,威胁情报的作用会进一步被放大。结合关联威胁情报,可以对攻击方进行组织画像和溯源,利用威胁情报构建攻击知识库,能够实现对APT攻击的智能化攻击意图推理及样本变种自动化跟踪。在信息共享和事件应急场景下,根据威胁情报反映的互联网安全态势,有助于预判后续可能的安全风险,使得响应网络威胁的速度更快。
近年,网络空间漏洞数量持续增长,漏洞类型日趋多样化。众多事件型漏洞及高危零日漏洞已成为具备强大威慑力的新型网络武器装备。随着万物互联的数字化时代到来,未知漏洞被利用可能愈来愈高,其后果往往颠覆认知。想要从根源铲除不安全因素,必须持续性研究漏洞,想办法给漏洞打上补丁。
在“漏洞管理与研究论坛”上,360 VulcanTeam漏洞挖掘与利用高级专家,虚拟化安全研究员肖伟分享了Qemu-kvm和ESXi虚拟机逃逸实例。
360 VulcanTeam漏洞挖掘与利用高级专家、虚拟化安全研究员肖伟
云计算的广泛应用,在推动虚拟机、云主机、容器等技术相继落地的同时,也让安全问题日益突出。云时代对数据和运算的依赖性,创生了无数虚拟机。这些虚拟机里,可能奔流着银行交易数据、政府系统信息、企业重要财报等。
但也衍生了最严重的安全问题——虚拟机逃逸。虚拟机逃逸指的是突破虚拟机的限制,实现与宿主机操作系统交互的一个过程,攻击者可以通过虚拟机逃逸感染宿主机或者在宿主机上运行恶意软件。
肖伟现场介绍两个漏洞及利用方法。其中一个是qemu-kvm的越界读写漏洞,据肖伟介绍,Qemu是一款开源的虚拟化软件,用代码模拟了许多常用的硬件设备,如网卡、显卡、声卡等。
另一个是Vmware Vsphere产品的hypervisor组件——ESXi的堆溢出漏洞。和qemu不同的是ESXi是一个类似linux的系统,直接安装在裸机上,ESXi里面默认运行着很多个服务,例如web服务、slpd服务。Slpd服务是Open SLP(Service Location Protocol)协议的具体实现,默认在427端口监听,在虚拟机里可以访问到。此次论坛上,肖伟就主要介绍了在Slpd服务里面的漏洞cve-2019-5544。
漏洞是网络世界的武器,而挖掘漏洞和防御漏洞的能力自然就成为了对安全技术水平最真实的评价和证明。肖伟所属的360 VulcanTeam团队多次屠榜微软MSRC 年度、季度榜单,摘得多个漏洞大满贯奖励,其代表着对研究员们安全能力最高级别的认可,象征着登榜的研究员们在漏洞研究这一专业领域中掌握了最顶尖的技术水平。
随着网络空间和现实物理空间的边界再进一步消融,网络安全已经上升到“牵一发而动全身”的重要地位,但传统的渗透测试和虚拟演习已经无法应对国家级网络攻击对手。
网络安全的本质是人与人的对抗,实战攻防对抗能精准挖掘潜在的脆弱性及威胁,有效验证安全体系是否健壮,促进安全体系的敏捷改进,快速提升人员的安全能力。面对的是对方的安全专家乃至国家级背景的黑客团队,对方会不断改变技术与战术,只有经过实战才能筑牢新的防御防线。
在“靶场与实网攻防对抗论坛”上,360政企安全集团诺亚实验室总经理洪宇带来了“攻方视角下的实网攻防-未知攻焉知防”议题,深度讨论了实网攻防在大安全背景下的必要性,并为行业同伴和客户站在对手视角下提供了新的视野。
在谈到实网攻防与渗透测试、风险评估的区别时,洪宇以目标、人员、方式、侧重四个角度横向对比。
其中,对渗透测试来说,目标是发现指定目标(一般是应用系统)是否存在安全漏洞,由渗透工程师独立完成,其方式是提前已开好vpn内部权限,最为侧重的是客户指定的目标系统是否安全。
对风险评估来说,其目标是对业务系统安全风险评估,由监管测评机构按照一定规则检查进行风险评估,最为侧重的是客户业务系统安全性评估。
对实网攻防而言,则以不限制攻击路径、攻击手法,以提权、控制业务、获取数据为最终目的,通过团队合作,各有所长,其采用方式更是没有内部权限,不限手段,最为侧重的是防守单位整体的防护能力、应急响应能力等。
因此,“总得来说,实网攻防是逆向思维,更注重验证结果,从结论逆推方案,从发现问题切入,研究分析问题,给出解决方案,持续能力提升,在此过程中持续提高企业安全建设能力。” 洪宇说道。
面对攻防不对等的现状,是否需要攻方视角下的实网攻防?
答案是肯定的,以攻方视角执行的实网攻防,能够找到企业防御能力的缺陷、找到防守视角的缺失,进而全方位的提升企业网络安全能力。
洪宇进一步分析了攻击的本质以及完整攻击链,其中攻击的本质是由攻击者、受害者、能力、基础设施构成的钻石模型,攻击链包含侦查、武器构建、载荷投递、漏洞利用、驻留、命令控制、采取行动7个阶段。
对应到高阶攻防思路的实战中,攻击方要进行靶标分析、信息收集、关键突破。防守方就要从攻击者的角度出发,限制所有可能的攻击路径。譬如信息收集对应加强信息系统关键信息保护,关键突破对应渗透测试、漏洞扫描,横向渗透对应渗透测试、漏洞扫描、密码管理、权限管理等环节。
最终洪宇提炼出了一套攻方视角下的实网攻防思路,即:
事前有效防御:通过各种技术手段建立一种安全可控的渗透通道,通过渗透测试发现问题;
事中快速响应:建立交火的前沿阵地,降低损失的同时充分了解对手,积累知识经验
事后备份恢复:总结发现问题,总结实施的应急响应流程,包括捕获行为、回溯。
只有如此,在真正遭受网络攻击时候,企业才可以快速发现问题、解决问题,还可以通过蜜罐的方式赢得溯源时间。
面对全面数字化时代下的新威胁和已然拉开帷幕的网络战,网络安全产业作为防守方必须持续加强在漏洞安全研究方面的投入和锻造,提前洞悉网络安全威胁,不断提升产业整体安全能力,为国家安全打造铜墙铁壁。
承载着这一使命,第八届互联网安全大会(ISC 2020)除了开设技术日,还设置了新基建日、战略日、信创日、产业日、人才日等多个主题日,围绕新基建、战略、信创、技术、产业等领域进行全方位探讨与交流,洞察数字孪生时代下的安全趋势,共同探索助推安全产业发展的新机遇。
这是一场先锋创新的技术之宴,更是一场永不闭幕的安全盛会!
评论