劉東鑫，劉國(guó)榮，王 帥，沈 軍，金華敏

（中國(guó)電信股份有限公司廣東研究院 廣州 510630）

1 引言

APT（advanced persistent threat，高級(jí)持續(xù)性威脅）中的“advanced”可理解為突破了現(xiàn)有的網(wǎng)絡(luò)安全縱深防御體系；“persistent”可理解為在攻擊目標(biāo)組織內(nèi)長(zhǎng)期潛伏，不被發(fā)現(xiàn)；“threat”可理解為有目的、有組織的惡意攻擊行為。近年來(lái)，APT攻擊成為信息安全業(yè)界的熱點(diǎn)話(huà)題，眾多大公司如 Google、RSA、Sony等都先后公開(kāi)承認(rèn)遭受 APT攻擊，造成機(jī)密數(shù)據(jù)泄露等一系列嚴(yán)重后果，如圖1所示。一系列APT攻擊事件震驚業(yè)界，越來(lái)越多的大型企業(yè)開(kāi)始對(duì)其給予高度關(guān)注[1]。

實(shí)踐證明，傳統(tǒng)的安全防御手段難以有效應(yīng)對(duì)APT攻擊，亟需新的安全防御思路和技術(shù)。因此，本文將從幾個(gè)著名的APT攻擊案例出發(fā)，分析其典型特征、與傳統(tǒng)網(wǎng)絡(luò)攻擊方法的差異對(duì)比；然后在分析傳統(tǒng)網(wǎng)絡(luò)安全防御手段失效原因的基礎(chǔ)上，提出APT攻擊防御方案，并對(duì)實(shí)施流程和關(guān)鍵技術(shù)作了說(shuō)明和分析；最后分析APT攻擊給業(yè)界帶來(lái)的長(zhǎng)遠(yuǎn)影響。

2 APT攻擊特征及傳統(tǒng)網(wǎng)絡(luò)安全防御體系失效原因

2.1 全球著名APT攻擊的案例分析

（1）Google遭受 Aurora攻擊

圖1 近年來(lái)APT攻擊重大事件

2010年，互聯(lián)網(wǎng)的明星企業(yè)Google公開(kāi)承認(rèn)遭受APT攻擊，造成關(guān)鍵數(shù)據(jù)泄露。這一事件后來(lái)被命名為Aurora攻擊。事件過(guò)程是：一位員工點(diǎn)擊了來(lái)自社交網(wǎng)絡(luò)好友所發(fā)送即時(shí)消息中的一條惡意鏈接，隨后造成IE瀏覽器溢出、自動(dòng)下載惡意程序；隨后，攻擊者使用SSL安全隧道間歇性地控制該員工的主機(jī)，最終偵聽(tīng)到該員工訪問(wèn)Gmail服務(wù)器的賬號(hào)信息。此次攻擊造成包括系統(tǒng)管理員賬號(hào)、Gmail用戶(hù)信息等一系列關(guān)鍵數(shù)據(jù)泄露，整個(gè)過(guò)程持續(xù)數(shù)月之久。這次攻擊過(guò)程如圖2所示。

（2）RSA遭受SecurID竊取攻擊

2011年3月，信息安全業(yè)界的領(lǐng)軍企業(yè)——RSA公司遭受APT攻擊，導(dǎo)致部分SecurID技術(shù)及客戶(hù)資料泄漏。隨后，很多使用RSA的SecurID作為認(rèn)證憑據(jù)建立VPN的企業(yè)受到攻擊，導(dǎo)致企業(yè)的重要資料文件被竊取。事件的過(guò)程是：攻擊者直接寄送電子郵件給RSA公司的眾多內(nèi)部員工，并在Excel文件附件中利用最新的0day漏洞隱藏了惡意程序；某位內(nèi)部員工在打開(kāi)文件附件后，惡意程序在其主機(jī)自動(dòng)運(yùn)行，并被植入Poison Ivy遠(yuǎn)端控制工具；后續(xù)過(guò)程與Aurora攻擊類(lèi)似,其攻擊過(guò)程如圖3所示。

2.2 APT攻擊的特征總結(jié)

基于以上全球著名APT攻擊案例分析，結(jié)合與傳統(tǒng)網(wǎng)絡(luò)攻擊方法的對(duì)比，對(duì)其攻擊特征進(jìn)行進(jìn)一步的分析總結(jié)。首先，從攻擊目標(biāo)來(lái)看，APT攻擊不以破壞目標(biāo)系統(tǒng)的可用性、可靠性為主要目的，旨在竊取高價(jià)值的數(shù)據(jù)、資料、文件；其次，從攻擊方法來(lái)看，APT攻擊者通常不計(jì)成本地挖掘、購(gòu)買(mǎi)0day漏洞，甚至自行開(kāi)發(fā)惡意軟件以繞過(guò)現(xiàn)有的IDS/IPS、反病毒軟件系統(tǒng)，在此基礎(chǔ)上進(jìn)一步采用社會(huì)工程學(xué)方法在目標(biāo)企業(yè)內(nèi)部員工的電腦主機(jī)中建立攻擊支點(diǎn)；最后，從防護(hù)技術(shù)來(lái)看，相較于傳統(tǒng)網(wǎng)絡(luò)攻擊易于被現(xiàn)有安全防御設(shè)備檢測(cè)、防范，APT攻擊的潛伏時(shí)間長(zhǎng)，難以被已有的安全防御系統(tǒng)所檢測(cè)，甚至在攻擊后，也難以被溯源。更惡劣的是，如果攻擊者所利用的脆弱性沒(méi)有被及時(shí)修復(fù)，APT攻擊隨時(shí)可能卷土重來(lái)，對(duì)企業(yè)網(wǎng)絡(luò)的安全防御體系形成嚴(yán)峻的挑戰(zhàn)。因此，面對(duì)APT攻擊，企業(yè)的網(wǎng)絡(luò)安全防御亟需新的思路和手段。

2.3 傳統(tǒng)網(wǎng)絡(luò)安全防御體系失效原因

圖2 Google遭受Aurora攻擊流程

圖3 RSA遭受SecurID竊取攻擊流程

時(shí)至今日，APT攻擊在全球成為信息安全業(yè)界揮之不去的陰霾，成為懸在眾多著名IT企業(yè)甚至政府機(jī)構(gòu)頭頂?shù)摹斑_(dá)摩克利斯之劍”。從APT攻擊的工具、手段和過(guò)程來(lái)看，目前傳統(tǒng)網(wǎng)絡(luò)安全防御體系的失效，在技術(shù)方面主要包含以下原因。

· 反病毒軟件難以檢測(cè)攻擊者“獨(dú)門(mén)”開(kāi)發(fā)的惡意程序。理想狀態(tài)下，反病毒軟件應(yīng)能實(shí)時(shí)檢測(cè)出任何惡意代碼，并阻止其運(yùn)行。但是現(xiàn)有大部分反病毒軟件仍然以特征碼技術(shù)作為主要的病毒檢測(cè)手段，一旦用戶(hù)的計(jì)算機(jī)遇到最新病毒，在廠商發(fā)布針對(duì)該病毒的特征碼之前，反病毒軟件將難以檢測(cè)出來(lái)。而APT攻擊者往往利用常用軟件的0day漏洞，針對(duì)目標(biāo)對(duì)象開(kāi)發(fā)特有的惡意程序，致使市場(chǎng)上的反病毒軟件無(wú)法對(duì)其進(jìn)行有效檢測(cè)。

· 防火墻設(shè)備難以檢測(cè)應(yīng)用層加密的網(wǎng)絡(luò)流量。理想狀態(tài)下，防火墻應(yīng)能阻止或者限制任何未授權(quán)的網(wǎng)絡(luò)連接，其判斷的依據(jù)包括IP分組的五元組、應(yīng)用層內(nèi)容等信息。而APT攻擊者往往使用常見(jiàn)的應(yīng)用層協(xié)議端口建立從企業(yè)內(nèi)部到遠(yuǎn)程主機(jī)的SSL加密隧道，逃避防火墻的檢測(cè)分析。

·IDS/IPS設(shè)備難以檢測(cè)采用端口跳變等躲避方法的惡意流量。IDS/IPS設(shè)備根據(jù)已公布的惡意流量特征碼來(lái)檢測(cè)并阻斷惡意流量，惡意流量特征碼的定義主要依據(jù)應(yīng)用層協(xié)議識(shí)別、流量傳輸特征等。在實(shí)際場(chǎng)景中，APT攻擊中往往采用周期性的端口跳變等方法，更進(jìn)一步地將其數(shù)據(jù)傳輸流量模擬成常見(jiàn)的應(yīng)用層流量，例如采用TCP 80端口的突發(fā)式傳輸，采用TCP 23端口的間歇性慢速傳輸，隱藏其流量特征，最終規(guī)避IDS/IPS設(shè)備。

·傳統(tǒng)的日常安全審計(jì)難以應(yīng)對(duì)0day漏洞。目前現(xiàn)有的安全審計(jì)方法，著重于事前預(yù)防、事后漏洞修復(fù)緩解，不具備事中控制、識(shí)別能力。APT攻擊者所使用的0day漏洞突破了事前預(yù)防，甚至讓事后響應(yīng)沒(méi)有有效的解決辦法。

3 APT攻擊的防御思路與方案設(shè)計(jì)

在IATF（信息安全保障體系）中，一個(gè)系統(tǒng)的信息安全保障被劃分為4個(gè)部分：保護(hù)、檢測(cè)、響應(yīng)和恢復(fù)（即PDRR框架），其防御思想包含被動(dòng)防御和主動(dòng)防御：被動(dòng)防御包括反病毒軟件、防火墻部署等基礎(chǔ)安全手段；而主動(dòng)防御是在被動(dòng)防御的基礎(chǔ)上，進(jìn)一步實(shí)現(xiàn)攻擊檢測(cè)、攻擊誘騙和溯源。在APT攻擊面前，正是由于傳統(tǒng)網(wǎng)絡(luò)安全防御體系在保護(hù)和檢測(cè)環(huán)節(jié)的不足，導(dǎo)致后續(xù) “響應(yīng)”和“恢復(fù)”的無(wú)從下手。因此，總體上依然可以將APT攻擊的防御過(guò)程納入PDRR模型框架。本文從APT攻擊的行為特征出發(fā)，采用主動(dòng)控制思想力求實(shí)現(xiàn)對(duì)APT攻擊的可檢測(cè)性，并進(jìn)一步構(gòu)建符合PDRR模型框架的APT攻擊防御方案，具體如圖4所示。在方案中，包含基礎(chǔ)安全防御和動(dòng)態(tài)防御兩大部分。

3.1 基礎(chǔ)安全防御

一個(gè)設(shè)計(jì)并運(yùn)行良好的基礎(chǔ)安全防御體系是防范APT攻擊的前提，可以大大增加APT攻擊的難度。因?yàn)橐粋€(gè)企業(yè)網(wǎng)絡(luò)若沒(méi)有基本的安全防御，那么攻擊者根本無(wú)需采用APT攻擊這樣代價(jià)高昂的技術(shù)手段進(jìn)行信息竊取。對(duì)于APT攻擊的防御而言，基礎(chǔ)網(wǎng)絡(luò)安全防御需特別關(guān)注以下安全模塊的能力建設(shè)。

·安全基線控制。通過(guò)安全基線控制可以將明文密碼、SQL注入漏洞等常見(jiàn)的高頻漏洞清除[2]，提高APT攻擊者的攻擊門(mén)檻，延緩其在企業(yè)網(wǎng)絡(luò)的滲透速度。

· 身份認(rèn)證和訪問(wèn)控制。APT攻擊者以信息竊取為目的，其入侵行為往往伴隨著關(guān)鍵文件復(fù)制等操作，而可靠有效地訪問(wèn)控制是文件操作審計(jì)的前提。由于APT攻擊者常在“夜深人靜”的時(shí)候利用竊取的內(nèi)部員工賬號(hào)進(jìn)行活動(dòng)，建議部署基于智能卡的身份認(rèn)證（雙因子身份認(rèn)證）技術(shù)和強(qiáng)制訪問(wèn)控制技術(shù)。借助智能卡的物理安全性和密鑰定期更新機(jī)制[3]，有效防止員工賬號(hào)被惡意盜用，將大部分員工賬號(hào)的使用情況與其工作時(shí)間相關(guān)聯(lián)，一旦發(fā)現(xiàn)異常賬號(hào)活動(dòng)，可以快速、及時(shí)地確認(rèn)處理。

· 內(nèi)部流量隔離、漏洞管理和數(shù)據(jù)加密。由于APT攻擊的長(zhǎng)期潛伏性，建議采用等級(jí)保護(hù)的思想將重要網(wǎng)絡(luò)流量與普通流量進(jìn)行隔離保護(hù)，增加APT攻擊者通過(guò)偵聽(tīng)竊取數(shù)據(jù)的難度；同時(shí)，為了阻斷APT攻擊在企業(yè)內(nèi)網(wǎng)的滲透，應(yīng)進(jìn)行及時(shí)的漏洞補(bǔ)丁管理；最后，作為抵御APT攻擊最后的防線，應(yīng)做好對(duì)關(guān)鍵數(shù)據(jù)的加密，而實(shí)施的關(guān)鍵是良好的密鑰管理體系[3]。

3.2 APT攻擊的動(dòng)態(tài)防御

APT攻擊者在企業(yè)內(nèi)部網(wǎng)絡(luò)建立攻擊支點(diǎn)的早期階段，沒(méi)有明顯的異常征兆（或者說(shuō)難以被察覺(jué)）；隨后，其在企業(yè)內(nèi)網(wǎng)逐步滲透，收集高價(jià)值數(shù)據(jù)資料、文件時(shí)，將帶來(lái)文件操作、用戶(hù)訪問(wèn)等行為異常，并伴隨間歇性的遠(yuǎn)程加密傳輸；最后，當(dāng)攻擊者準(zhǔn)備撤離時(shí)，需要把已竊取的高價(jià)值文件傳輸?shù)竭h(yuǎn)程主機(jī)。整個(gè)過(guò)程中，后兩個(gè)階段是檢測(cè)APT攻擊的最佳時(shí)機(jī)，及早檢測(cè)出APT攻擊行為并做出響應(yīng)，才能盡可能避免損失，甚至可通過(guò)部署蜜罐系統(tǒng)最終實(shí)現(xiàn)攻擊溯源。因此，實(shí)現(xiàn)對(duì)APT攻擊的可檢測(cè)能力，關(guān)鍵在于從日常的賬號(hào)審計(jì)、網(wǎng)絡(luò)流量監(jiān)控、文件操作監(jiān)控中發(fā)現(xiàn)異常。以下將按PDRR模型框架中的4個(gè)部分，分別進(jìn)行說(shuō)明。

·保護(hù)。由于APT攻擊的檢測(cè)基于對(duì)異常數(shù)據(jù)的分析，如果不對(duì)網(wǎng)絡(luò)流量作合理的規(guī)則劃分，監(jiān)控人員將難以應(yīng)對(duì)日常的海量數(shù)據(jù)。因此，為了增強(qiáng)對(duì)APT攻擊的防御能力，更重要的是，為降低日常監(jiān)控海量數(shù)據(jù)的信息熵，給后續(xù)的審計(jì)、異常分析降低難度，同時(shí)方便統(tǒng)一漏洞管理，必須對(duì)終端、網(wǎng)絡(luò)和服務(wù)器設(shè)備實(shí)施基于白名單思想的策略控制，具體包括應(yīng)用程序控制、可信端口控制、郵件內(nèi)容審計(jì)與附件操作控制。實(shí)施辦法為：只允許白名單內(nèi)的應(yīng)用程序安裝、運(yùn)行，禁止如Skype、P2P等存在網(wǎng)絡(luò)端口、目的IP地址跳變的應(yīng)用程序；只允許白名單指定端口范圍內(nèi)的流量發(fā)送，例如TCP 10～5 000，UDP 10～5 000等；采用基于內(nèi)容過(guò)濾技術(shù)的郵件網(wǎng)關(guān)，屏蔽垃圾郵件中的URL鏈接、附件文件，當(dāng)員工要特別查看某垃圾郵件的完整內(nèi)容，須向管理員申請(qǐng)，并備案。

圖4 APT攻擊防御方案

· 檢測(cè)。檢測(cè)對(duì)象主要包括賬號(hào)登錄審計(jì)、網(wǎng)絡(luò)流量監(jiān)控和文件操作審計(jì)。實(shí)施辦法為：由于APT攻擊一般不會(huì)對(duì)系統(tǒng)的安全防御系統(tǒng)進(jìn)行暴力破解，而使用已竊取的內(nèi)部員工賬號(hào)認(rèn)證信息，常在“夜深人靜”的非工作時(shí)間進(jìn)行嗅探、滲透活動(dòng)，故賬號(hào)登錄的時(shí)間、IP地址等信息是重要的審計(jì)對(duì)象；由于APT攻擊常使用端口跳變、應(yīng)用層加密等手段隱藏惡意流量特征，只有通過(guò)一系列的數(shù)據(jù)聚類(lèi)才能發(fā)現(xiàn)異常，故應(yīng)在多種查詢(xún)條件下對(duì)流量數(shù)據(jù)進(jìn)行可視化分析，例如目的IP地址流量統(tǒng)計(jì)排序、目的端口流量統(tǒng)計(jì)排序等；對(duì)重要文件的操作（例如復(fù)制、移動(dòng)等）及對(duì)應(yīng)的發(fā)生時(shí)間進(jìn)行審計(jì)。

· 響應(yīng)。在7×24 h的連續(xù)監(jiān)控中，一旦發(fā)現(xiàn)異常，須立即核實(shí)被疑似盜用的賬號(hào)、已感染的主機(jī)或服務(wù)器，評(píng)估已泄露的資料情況，并作隔離。在已識(shí)別控制APT攻擊所使用的惡意程序進(jìn)程的基礎(chǔ)上，可部署蜜罐系統(tǒng)，誘使攻擊者進(jìn)入蜜罐，拖延其入侵時(shí)間，并進(jìn)一步分析其行為特征、惡意流量特征，最終實(shí)現(xiàn)溯源。

· 恢復(fù)。在阻斷APT攻擊后，應(yīng)立即請(qǐng)求廠商修補(bǔ)相關(guān)漏洞，將攻擊者所植入的惡意代碼提交給反病毒廠商，更新病毒庫(kù)。最后應(yīng)在全局做身份認(rèn)證、文件加密、設(shè)備管理等方面的密鑰更新、安全策略更新（例如在公司內(nèi)網(wǎng)屏蔽社交網(wǎng)絡(luò)等），防止APT攻擊用同樣的方法重來(lái)。

此外，APT攻擊的主動(dòng)防御還需要關(guān)注人員因素，包括安全人員和普通員工：由于缺乏經(jīng)驗(yàn)，企業(yè)的安全人員往往容易低估APT攻擊者的能力及其手段的復(fù)雜性，而普通員工的安全意識(shí)仍需提高，須防范APT攻擊者所發(fā)送的惡意消息。

4 典型案例

以基礎(chǔ)安全防御為基礎(chǔ)，結(jié)合用戶(hù)終端的管理、存儲(chǔ)系統(tǒng)的文件操作審計(jì)和網(wǎng)絡(luò)流量監(jiān)控等技術(shù)手段，可對(duì)APT攻擊實(shí)現(xiàn)PDRR框架的動(dòng)態(tài)防御，部署如圖5所示。

在本示例中，通過(guò)劃分安全域做好流量隔離、重要數(shù)據(jù)、文件加密存儲(chǔ)、網(wǎng)絡(luò)設(shè)備安全基線配置等基礎(chǔ)安全防御工作。其中，在內(nèi)外網(wǎng)的流量隔離中，采取如下策略：對(duì)于無(wú)線網(wǎng)絡(luò)接入域，禁止其訪問(wèn)企業(yè)內(nèi)網(wǎng)，并只開(kāi)啟常用的應(yīng)用協(xié)議網(wǎng)絡(luò)端口；對(duì)于核心數(shù)據(jù)存儲(chǔ)域，禁止外部流量對(duì)其的直接訪問(wèn)。在這種安全策略中，系統(tǒng)的安全弱點(diǎn)在于以固定網(wǎng)絡(luò)接入域的主機(jī)、業(yè)務(wù)系統(tǒng)運(yùn)行域的服務(wù)主機(jī)為跳板，可實(shí)現(xiàn)對(duì)企業(yè)核心數(shù)據(jù)的間接訪問(wèn)，這也是APT攻擊的重要行為特征。故對(duì)APT攻擊的可檢測(cè)，關(guān)鍵在于實(shí)施應(yīng)用程序、IP/port白名單等控制手段后，將安全審計(jì)的對(duì)象集中于固定網(wǎng)絡(luò)接入域主機(jī)、重要系統(tǒng)的員工賬號(hào)，具體可采用基于異常檢測(cè)的網(wǎng)絡(luò)流量、員工賬號(hào)訪問(wèn)審計(jì)方法。對(duì)于固定網(wǎng)絡(luò)接入域的主機(jī)，通過(guò)從登錄IP地址、協(xié)議端口、基于各時(shí)間窗口的流量統(tǒng)計(jì)等特征的統(tǒng)計(jì)得到該主機(jī)的內(nèi)、外網(wǎng)正常流量模型。通過(guò)對(duì)該主機(jī)流量進(jìn)行特征抽取，與其正常的流量模型比較，可得到其流量異常情況的概率值。對(duì)于被識(shí)別為“異?！备怕手荡蟮牧髁啃畔?，將被推送到安全審計(jì)人員作進(jìn)一步分析。類(lèi)似地，對(duì)于員工賬號(hào)訪問(wèn)審計(jì)，通過(guò)從賬號(hào)登錄的IP地址、時(shí)間、行為操作序列等特征的統(tǒng)計(jì)可得到該賬號(hào)的正常操作行為模型，并進(jìn)一步用于員工賬號(hào)訪問(wèn)異常檢測(cè)。對(duì)于異常告警，安全審計(jì)人員需及時(shí)確認(rèn)原因；對(duì)于未能確認(rèn)原因的異常告警信息，尤其是異常流量告警信息，需及時(shí)聯(lián)系安全廠商技術(shù)支持人員進(jìn)行進(jìn)一步分析。

5 結(jié)束語(yǔ)

APT攻擊所采用的各種方法手段已超出信息安全的技術(shù)范疇，其本質(zhì)是高級(jí)黑客和安全專(zhuān)家的信息對(duì)抗。APT攻擊在企業(yè)網(wǎng)絡(luò)的泛濫給業(yè)界帶來(lái)了深遠(yuǎn)的影響，它提升了安全服務(wù)的產(chǎn)業(yè)價(jià)值，對(duì)安全人員的從業(yè)素質(zhì)提出了更高要求；同時(shí)，APT攻擊的檢測(cè)方法，建立在對(duì)日常數(shù)據(jù)的審計(jì)挖掘基礎(chǔ)上，對(duì)數(shù)據(jù)的可視化、快速檢索提出了更高的要求，而完全異于傳統(tǒng)網(wǎng)絡(luò)攻擊的檢測(cè)方法。整體來(lái)看，APT攻擊使得信息安全的防御邊界將逐步變得模糊，對(duì)它的安全防御仍有待在實(shí)踐中檢驗(yàn)和完善。

1 張帥.對(duì)APT攻擊的檢測(cè)與防御.技術(shù)應(yīng)用,2011(9)

2 華汪明,張新躍,黃禮蓮等.電信IT安全保障能力評(píng)價(jià)模型與基線達(dá)標(biāo)體系研究.電信科學(xué),2012(4)

3 中國(guó)電信網(wǎng)絡(luò)安全實(shí)驗(yàn)室.云計(jì)算安全:技術(shù)與應(yīng)用.北京：電子工業(yè)出版社,2012

圖5 APT攻擊動(dòng)態(tài)防御的部署示例