網絡世界裡的態勢感知,聽上去有些玄幻。有人覺得這是一種俯視世界的上帝視角;有人覺得這是一種禪定參悟的境界。
而在真正的網絡安全從業者眼裡,態勢感知遠不是這麼浪漫。甚至它可以被概括為:誰特麼在搞我,他究竟怎麼搞了我。不過正是因為這種務實的態度,讓中國的態勢感知技術正在一步一個腳印地進步。
那麼,究竟態勢感知系統怎樣發揮作用?雷鋒網宅客頻道專訪了360企業安全副總裁張翀斌。常年指揮一線作戰的他,經歷過很多血雨腥風的故事。
【360企業安全副總裁張翀斌】
不知道你是否玩過那個坑爹的遊戲:一個飛機場上空有無數架飛機等待降落,你的任務就是在有限的時間內,合理調度眾多飛機的飛行路線,讓他們不至於相撞。
這需要遊戲者保持一種對於全局的警醒狀態,一旦局部出現危險,就要馬上感知並且處理。
這就是態勢感知。
公認的態勢感知概念是:在特定時空下,對動態環境中各元素或對象的覺察、理解以及對未來狀態的預測。「態勢感知」這個詞最早源於軍事。美國研發的各類飛彈預警系統,就是這個概念最初的應用。被我們抵制的美國薩德飛彈系統,配備了高功率的探測雷達,可以對中國北部大部分地區進行監控,這正屬於態勢感知系統。
張翀斌說,感知是採取下一步行動的基礎。從防禦者的角度看,要想防得住,首先要感受到。
這種認識在各國都在競爭的網絡空間表現得更為明顯。那麼在賽博世界裡,我們中國的感知能力又如何呢?
先來說說伊朗的故事,歷史上一個著名的態勢感知戰例就是「震網病毒」。
2010年,美國利用一個U盤中的病毒,層層突破伊朗核設施相關的專家電腦、辦公網絡、管理網絡,最後直達核設施離心機控制設備。美國黑客利用巧妙的技術層層突破,這個過程持續了一年以上。伊朗方面對美國黑客的態勢感知就是:沒有任何感知。
一張時任伊朗總統內賈德參觀核設施的照片上,清晰地顯示出了當時在「震網病毒」的作用下,兩個離心機發生未知故障,而這張照片裡的所有人,當時都被蒙在鼓裡。
【時任伊朗總統內賈德視察核電站,紅圈內的紅點表示有兩臺離心機已經無故損壞,後證實為震網病毒所為】
。
。
。
別急著笑話內賈德。在中國,我們的情況並沒有好太多。
我們剛剛知道自己裸奔對我們來說,在斯諾登揭露美國入侵手法之前,我們對美國攻擊入侵的手法知之甚少。個人觀點,我們和美國在網絡空間安全方面有十到十五年的技術差距。
張翀斌說。
他為雷鋒網宅客頻道列舉了一個實際發生的案例。
去年在為某個部委服務的時候,我們發現了一個線索。
這個線索只是日常巡檢分析的時候出現的小小告警——提示我們有一個漏洞被利用。我們根據這個線索進行查詢,發現通過這一個漏洞,有人做了一件「大案」。
黑客通過這個通道,下載了一個壓縮文件。經過部委同事檢查,這是一個非常敏感的文件。其中包括了應用系統的原始碼,還有下屬單位三年的財務數據。
我們繼續追查,找到了之前四年的日誌數據,發現在這段時間內,這個文件已經被下載了四次。
經過相關部門授權,張翀斌和團隊對嫌疑人進行了追查,詳細描述了黑客的「畫像」,交給相關部門處理。
像這樣的案例,張翀斌經歷了無數個。
這些黑客組織有的來自境內,有的來自境外,所盜取的信息都非常核心。實際上,基於我們整體的網絡安全水平,我知道一定還存在我們沒有發現的入侵。
作為一個資深的網絡安全專家,他並沒有粉飾,而是描述了自己眼中的事實。正是因為落後,才讓張翀斌有了奮起直追的鬥志。
真實世界裡,究竟誰在搞我們?張翀斌說,360的態勢感知產品,主要服務於黨政軍和大型企事業單位,所以他看到的是一片血雨腥風的攻防場面。
業內按照攻擊能力把威脅分為四級。
第一級是國家安全層面的入侵。
這類黑客的能力最強。美國、日本、歐盟都在重金投入發展自己的網絡安全能力,連我們的友好鄰邦朝鮮的網軍,實力都不容小覷。
在之前被維基解密曝光的 CIA(美國中央情報局)黑客工具,可謂無堅不摧。這些工具可以用25種方法入侵 Android,用14種方法入侵 iOS,還可以把三星電視變成竊聽器,攻擊智能汽車,什麼路由器、智能硬體都不在話下。而最近著名的黑客組織 Shadow broker 更是爆出來 NSA(美國國家安全局)可以用多種方法入侵幾乎所有版本的 Windows。
【NSA 掌握著幾乎所有 Windows 版本的致命漏洞,隨時可以無感知地攻擊網絡上的任意電腦】
對於中國來說,斯諾登曝光的稜鏡計劃顯示,美國曾經在中國的骨幹網路由器節點截獲流量進行分析。2016年,360曾經發布了一份報告,曝光了36個針對中國的黑客組織,它們攻擊的主要目標,是我們的政府、基礎設施、教育科研機構和大型企業。
第二級是恐怖組織。
這類黑客的水平次之,但是有很強的組織性。
一旦成功,會造成巨大的損失。傳統的恐怖襲擊可能是在地鐵中放置毒氣彈,但未來的恐怖襲擊很可能通過網絡攻擊讓地鐵撞車。在恐怖分子眼裡,一根網線就能做到的事情,比攜帶炸彈看上去牛多了。
第三級是有組織的犯罪。
例如通過黑入銀行系統,獲得用戶的存款帳戶信息和轉帳記錄,然後進行有針對性的詐騙和進一步黑客攻擊。例如得知某人為大企業負責人,黑客就可能會利用掌握的銀行帳戶信息對他的企業進行進一步的滲透。
第四級是獨立的黑客和個人。
這些黑客往往目的不十分明確,技術能力也參差不齊。
張翀斌說,最近幾年第一級第二級這類高級別的黑客攻擊在大幅增加,「黑產+公司」的有組織進攻也在增加,而以前流行的個人英雄主義的黑客活動反倒減少了。
中國安全研究員的使命,就是盡力發現各種姿勢的入侵,也就是「態勢感知」。你可能會好奇,安全研究員是如何感知到系統被入侵呢?
和黑客的戰爭,態勢怎麼被感知?由於經常領導一線的黑客攻防戰爭,張翀斌非常熟悉態勢感知的全流程。
他告訴雷鋒網,一般情況下,為一個機構做態勢感知服務,需要五個崗位。分別是:
安全監控(這位童鞋需要每天在現場,實時監控系統有沒有報警)
漏洞驗證(對發現的漏洞利用線索進行追查,確定背後是否有黑客的蛛絲馬跡)
數據分析(需要在大量的流量和日誌數據中發現攻擊線索並進行分析,如果碰到病毒樣本,現場一般沒有條件分析,需要扔給雲端環境來做,最後才能綜合做出判斷)
信息通報(把威脅態勢匯總成為制式文件,向相關部門通報)
事件處置(對於系統漏洞進行打補丁,升級 WAF防火牆,根據情況對黑客進行追蹤等等)
這其中,最核心技術的就是數據分析。簡單來說就是找到是誰,怎麼搞了我。
【態勢感知的崗位分工】
為了搞清楚這個問題,需要幾個重要的東西:人和數據和平臺。
例如在文章開始舉的例子,通過系統過去四年的日誌,才推測出了敏感文件被下載的次數和去向。這就是歷史數據的重要性。
而僅僅有這些數據,還是不夠的。要從浩如煙海的數據裡,快速檢索出可能有問題的操作,需要一個態勢感知專用的計算平臺,通過安全研究員設置的規則和條件,智能篩選出可疑的數據供研究員查看。
而所有的一切,背後都是安全研究員的智慧。在整個態勢感知的過程中,安全研究員的經驗和判斷起到了重要的作用。
一旦確定了某個黑客組織,在相關部門的授權下,張翀斌的團隊會對黑客進行溯源和「畫像」,包括攻擊者常用的工具,平時喜歡登陸那些論壇,他的攻擊技能有什麼,喜歡攻擊什麼目標。這種情況下就可以把黑客的信息作為威脅情報,如果同類企業再次探測到同一批人的訪問請求,就可以直接根據情報把這個特徵的訪問拒之門外。
正如伊朗核設施被美國攻擊一樣,黑客進攻往往是從外圍的薄弱系統進入,一步步滲透到核心系統。在黑客步步為營的過程中,越早感知到黑客的存在,就越能把損失降到最小。張翀斌舉了幾個真實的態勢感知案例:
某能源企業,被變種蠕蟲入侵,進而所有電腦終端的用戶名和密碼都被黑客獲得,最終連無人值守站的密碼都被黑客獲得。如果黑客的目的是破壞生產的話,他幾乎已經成功了。幸虧發現及時,才在破壞的最後一環力挽狂瀾。
某國有銀行,使用了態勢感知服務。安全研究員很快就發現某分行存在一個口令爆破攻擊行為。可怕的是,從這個線索追查發現,全國十幾家分行都存在這個問題。黑客利用漏洞,正在快速感染更多的銀行系統。安全研究員緊急制定了修復策略,才使得損失沒有進一步擴大。
在這個銀行的例子中,如果提前部署態勢感知系統,在黑客剛剛感染一個分行的時候就可以被感知,其產生的影響會比現在更小。
【態勢感知內部界面示意】
很不幸,這是一場永無止境的戰爭我們的做法是,根據人的經驗,每次發現新的攻擊方試,就可以固化到平臺裡,在以後的檢測中平臺就能夠降低對人的依賴。
但攻擊者也在升級,如果他們知道我們已經掌握了攻擊手段,他們就會換一個。
張翀斌列舉了幾個態勢感知的坑。
1、未知攻擊在很多高端的攻擊中,對方使用了未知的攻擊手段,那麼作為防守方,檢測出來的可能性會大大降低。面對這種情況他們會採用行為分析的方法來檢測。他為雷鋒網(公眾號:雷鋒網)宅客頻道舉了一個例子:
正常網際網路世界裡的一個IP,會訪問很多不特定的IP,但如果一個IP只持續訪問兩個IP,那麼這種行為就是很可疑的。
從伺服器角度來看,普通的訪問數據是有規律的,如果突然某個電腦的DNS突然變化異常,也是一個有問題的細節。
一般系統的研發人員都是死宅,如果系統檢測到了它的 ID 連續幾天都在異地登錄,那麼這也是明顯的問題。
當然這只是一些簡單的例子。我們會利用機器學習和人工智慧的方法對諸多行為之間的關聯進行計算,利用這些結果往往可以探查到黑客的蛛絲馬跡。針對這些蛛絲馬跡進行研究,就會大大提高「破案」的成功率。
他說。
2、大隱隱於世雖然針對每一次攻擊,態勢感知系統都要做響應。但是如果安全研究員不能認識到這次進攻背後的真實意圖,就往往會低估對手。
一些通用系統有時會爆出全球性的漏洞,就在各家企業修復自身漏洞的時間差裡,全世界的黑客都會利用這個漏洞對系統進行掃描和入侵。但是大多黑客都是腳本小子,他們可能僅僅利用這個漏洞收集一些信息,或者進行簡單的攻擊。但是在他們中間,有一些真正的高手,混在大量的攻擊中,用很 low 的方法進攻,一旦初步得手就會迅速轉移和隱蔽自身,讓安全研究員低估了處理的難度。
張翀斌說。
這就像一個絕世高手隱藏在市井之中,避人耳目,伺機而動。
面對這種情況,張翀斌保持了謹慎的態度。他覺得和頂尖黑客的對抗,一定是人與人的對抗,在這種情況下,依靠的一定是安全研究員的經驗。同樣是處理同樣的進攻,經驗豐富的安全人員就會更大機率揪出藏身的高手。
3、數據的斷舍離數據,是安全人員判斷系統是否被進攻的唯一憑證。
張翀斌主張對流量數據進行「全數據存儲」。只有數據充分的情況下,才能更準確地還原攻擊的細節。但是他所謂的全數據存儲並不是全包存儲,而是把流量數據進行歸納之後,把各個維度的關鍵信息全部存下來。對於其他內容,例如一些附件,會有選擇性地留存。這種方式的最大優點是能夠對海量數據支持快速檢索,從而進行威脅統計分析,從中發現攻擊行為的蛛絲馬跡。
這些全流量數據,加上系統的日誌,還有外部導入的威脅情報,就成為了黑客入侵的鐵證。
後記對於門將來說,球門被攻破或多或少是他的宿命。
這正像我們的安全研究員,他們負責感知這個國家重要關隘的態勢動向,雖然禦敵無數,卻也一定會犯錯。
對於這種宿命,張翀斌說他並不感覺失落:
這些年來,我們從裸奔到現在已經有粗布麻衣。每一次我們發現了頂尖黑客的新的進攻手段,都是非常興奮的。我們用技術不斷完善自己的系統,把以前忽略的證據和數據一點點串聯起來,讓更多的真相一個個浮出水面。
作為中國的安全人員,我們感覺很興奮。
憑心而論,一個國家的安全水平正如它的國防能力,這種能力是無法乞求別人的憐憫而獲得。終有一天我們會從態勢感知,到擁有網絡空間的反制能力,到對威脅的預判和防禦。
張翀斌和他的團隊所做的一切,都是為了迎接這一天的到來。
雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知。