新型威胁分析和防范研究.pdfVIP

新型威胁分析与防范研究 【摘要】 本文通过对以APT 为代表的新型威胁的实例研究，分析了新型威胁的攻击过程、 技术特点、当前国内外的发展现状，给出了新型威胁的基本定义和描述，以及应 对新型威胁的总体思路和具体手段。最后，本文还简要叙述了新型威胁自身的技 术发展动向。 1 什么是新型威胁？ 网络安全，尤其是Internet 互联网安全正在面临前所未有的挑战，这主要就是来自于有组织、 有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为 APT （Advanced Persistent Threat ，高级持续性威胁）攻击，或者称之为“针对特定目标的攻击”。这些攻击统称为新型 威胁。 2011 年美国 NIST 发布了《SP800-39 管理信息安全风险》。其中，对 APT 进行了定义：拥有 高级专家和丰富资源的敌对方使用多种攻击技术（包括网络的、物理的、欺骗性的）为达成其一 系列目标而实施的一类威胁。通过在目标组织的 IT 基础设施中建立并扩展落脚点，这些目标通 常包括窃取信息，破坏或抵制某项使命或任务，或者潜伏起来以便在未来的某个时候达成这些目 标。APT 为了达成其目标会持续较长的一段时间，会想方设法隐匿自己，会与外界保持一定程 度的交互以执行其任务。 一般认为，APT 攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对 性地进行的一系列攻击行为的整个过程。APT 攻击利用了多种攻击手段，包括各种最先进的手 段和社会工程学方法，一步一步的获取进入组织内部的权限。APT 往往利用组织内部的人员作 为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击 代码。 此外，APT 攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段， 以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、 电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。 对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威 胁的安全设备，也包括了将各种单一安全设备整合起来的管理平台，而防御体系也可能已经涵盖 了事前、事中和事后等各个阶段。但是 ，这样的防御体系仍然难以有效防止来自互联网的入侵和 攻击，以及信息窃取等新型威胁（例如 APT 攻击，以及各类利用 0day 漏洞的攻击）。 2 新型威胁的国内外发展态势 2.1 国际 2013 年 4 月份Verizon 发布的《2013 年数据破坏调查报告》分析了全球 47000 多起数据破坏 安全事故，621 宗确认的数据泄漏案例，以及至少 4400 万份失窃的记录。《报告》指出有高达 92%的数据破坏行为来自外部，有 19%的数据破坏行为来自国家级别的行为，利用脆弱的或者 窃取到的用户身份访问凭据进行入侵的行为占到了 76% ，而各种黑客行为和恶意代码依然是主 要的信息破坏手段。报告将包括 APT 攻击在内的信息破坏的敌对方分为了有组织犯罪集团、国 家或国家资助的组织、黑客活跃分子三类。 根据 FireEye 发布的《2012 年下半年高级威胁分析报告》，详细分析了 APT 攻击的发展态势。 《报告》指出，平均一个组织和单位每三分钟就会遭受一次恶意代码攻击，特指带有恶意附件、 或者恶意 WEB 链接、或者 CnC 通讯的邮件；在所有遭受攻击的企业和组织中，拥有核心关键 技术的技术类企业占比最高；在定向钓鱼邮件（spear phishing email ）中经常使用通用的商业 术语，具有很大的欺骗性；92%的攻击邮件都使用zip 格式的附件，剩下的格式还有 pdf 等。 此外，国际上，尤其是美国着重炒作来自中国的 APT 攻击。最典型的是 Mandiant 公司发布的 《对APT1 组织的攻击行动的情报分析报告》，将APT1 攻击行动的发起者直接定位到中国军方。 在美国旧金山举办的 RSA2013 大会上，直接以中国 APT 攻击为主题的报告就有 6 个之多。其 中有一个研讨会题为《中美的网络冲突和中国网络战研究》。演讲者是《二十一世纪的中国网络 战》一书的作者。这个曾经在美国研读过中文的美国人从西方的视角来分析了中国的网络战战略、 战术。 以防范APT 攻击为引子，各国纷纷加强国家级的网络空间安全研究、相关政策制定与发布。美 国、加拿大、日本、欧盟各国、北约等国家和组织纷纷强化其网络空间安全的国家战略，其中就 包括应对包括 APT 在内的国家级的敌对方的攻击。ENISA （欧洲网络与信息安