一種基于等級保護的高級持續性威脅防護模型研究

江 瀚,郭 威,鄧韻東

（云南電網信息中心，云南昆明, 650217）

一種基于等級保護的高級持續性威脅防護模型研究

江 瀚,郭 威,鄧韻東

（云南電網信息中心，云南昆明, 650217）

隨著信息安全技術的發展，各種網絡攻擊層出不窮，這當中，高級持續性威脅攻擊（俗稱APT攻擊）屬于較為新穎的同時也是危害和防護難度最大的攻擊方式。本次研究針對APT攻擊泛濫的問題，提出了基于等級保護制度的APT攻擊防護模型。首先采用了從分析國內外APT攻擊態勢入手，提出了APT攻擊模型，接著總結了APT攻擊各階段的手法，探討了如何利用國家信息系統安全等級保護基本要求和信息系統等級保護安全設計技術要求去應對APT攻擊模型和各階段的攻擊手法，從而提出了基于等級保護制度的APT防護模型。

高級持續性威脅；APT攻擊模型；信息系統安全等級保護；基于等級保護APT防護模型

1 概述

高級持續性威脅即APT（Adavanced Persistent Threat），是指針對明確目標的持續的、復雜的網絡攻擊，這個概念最早是在2006年左右由美國波音公司（The Boeing Company）提出的，在2010年Google公司承認遭受嚴重黑客攻擊后，APT攻擊成為信息安全行業熱議的話題之一。

高級持續性攻擊的“高級”是指攻擊者有一個基于特定戰略的縝密的計劃，他們使用許多不同攻擊類型來攻擊同一目標，并且不斷來回攻擊。并且，這種攻擊通常是以隱形且低調的方式進行的，APT攻擊者都是隱形專家，他們采取措施來掩蓋他們的蹤跡，避免在日志中留下入侵的證據。

APT攻擊者也使用社會工程技術和/或招募內部人員來獲取有效登錄憑證，APT攻擊者經常利用僵尸網絡，僵尸網絡能夠給他們提供更多資源來發動攻擊，你的網絡也可能在你不知情的情況下被用來作為犯罪工具：作為僵尸網絡的一部分，用來攻擊其他網絡。

2 APT主要特征

2.1 持續性： 攻擊者為了重要的目標長時間持續攻擊直到攻破為止。攻擊成功用上一年到三年，攻擊成功后持續潛伏五年到十年的案例都有。這種持續性攻擊下，讓攻擊完全處于動態發展之中，而當前我們的防護體系都是強調靜態對抗能力很少有防護者有動態對抗能力，因此防護者或許能擋住一時的攻擊，但隨時間的發展，系統不斷有新的漏洞被發現，防御體系也會存在一定的空窗期：比如設備升級、應用需要的兼容性測試環境等等，最終導致系統的失守。

2.2 終端性： 攻擊者雖然針對的是重要的資產目標，但是入手點卻是終端為主。再重要的目標，也是由終端的人來訪問的。而人在一個大型組織里，是難以保證所有人的安全能力與安全意識都處于一個很高水準之上的。而做好每個人的終端防護比服務器端防護要困難很多。通過SQL注射攻擊了WEB服務器，一般也是希望利用他攻擊使用這些WEB服務器的終端用戶作為跳板滲透進內網。

2.3 廣譜信息收集性： 攻擊者會花上很長的時間和資源，依靠互聯網搜集，主動掃描，甚至真實物理訪問方式，收集被攻擊目標的信息，主要包括：組織架構，人際關系，常用軟件，常用防御策略與產品，內部網絡部署等信息。

2.4 針對性： 攻擊者會針對收集到的常用軟件，常用防御策略與產品，內部網絡部署等信息，搭建專門的環境，用于尋找有針對性安全漏洞，測試特定的木馬是否能饒過檢測。

2.5 未知性： 攻擊者依據找到的針對性安全漏洞，特別是0DAY，根據應用本身構造專門的觸發攻擊的代碼。并編寫符合自己攻擊目標，但能饒過現有防護者檢測體系的特種木馬。這些0DAY漏洞和特種木馬，都是防護者或防護體系所不知道的。

2.6 滲透性社工： 攻擊者為了讓被攻擊者目標更容易信任，往往會先從被攻擊者目標容易信任的對象著手，比如攻擊一個被攻擊者目標的電腦小白好友或家人，或者被攻擊者目標使用的內部論壇，通過他們的身份再對組織內的被攻擊者目標發起0DAY攻擊，成功率會高很多。再利用組織內的已被攻擊成功的身份再去滲透攻擊他的上級，逐步拿到對核心資產有訪問權限的目標。

2.7 隱蔽合法性： 攻擊者訪問到重要資產后，往往通過控制的客戶端，分布使用合法加密的數據通道，將信息竊取出來，以饒過我們的審計和異常檢測的防護。

2.8 長期潛伏與控制： 攻擊者長期控制重要目標獲取的利益更大。一般都會長期潛伏下來，控制和竊取重要目標。當然也不排除在關鍵時候破壞型爆發。

3 高級持續性威脅的國內外發展態勢

2013年4月份Verizon發布的《2013年數據破壞調查報告》分析了全球47000多起數據破壞安全事故，621宗確認的數據泄漏案例，以及至少4400萬份失竊的記錄。《報告》指出有高達92%的數據破壞行為來自外部，有19%的數據破壞行為來自國家級別的行為，利用脆弱的或者竊取到的用戶身份訪問憑據進行入侵的行為占到了76%，而各種黑客行為和惡意代碼依然是主要的信息破壞手段。報告將包括APT攻擊在內的信息破壞的敵對方分為了有組織犯罪集團、國家或國家資助的組織、黑客活躍分子三類。FireEye發布的《2012年下半年高級威脅分析報告》詳細分析了APT攻擊的發展態勢。《報告》指出，平均一個組織和單位每三分鐘就會遭受一次惡意代碼攻擊，尤指帶有惡意附件、惡意WEB鏈接、或者C&C通訊的郵件；在所有遭受攻擊的企業和組織中，擁有核心關鍵技術的技術類企業占比最高；在定向釣魚郵件（spear phishingemail）中經常使用通用的商業術語，具有很大的欺騙性；92%的攻擊郵件都使用zip格式的附件。

4 APT安全防護分析

在APT攻擊中，攻擊者會花幾個月甚至更長的時間對"目標"網絡進行踩點，針對性地進行信息收集，目標網絡環境探測，線上服務器分布情況，應用程序的弱點分析，了解業務狀況，員工信息等等。當攻擊者收集到足夠的信息時，就會對目標網絡發起攻擊，這種攻擊具有明確的目的性與針對性。發起攻擊前，攻擊者通常會精心設計攻擊計劃，與此同時，攻擊者會根據收集到的信息對目標網絡進行深入的分析與研究，這種攻擊的成功率高、危害程度大。要預防這類攻擊，首先，應該對這種攻擊進行深入的探討、研究，分析APT攻擊可能會發生的網絡環節或者業務環節等；其次要對我們自己的網絡進行深入的分析，了解網絡環境中存在的安全隱患，從而具有針對性地進行防護。

綜合APT攻擊流程，要預防APT攻擊，從企業角度來考慮，主要需要從技術、運維和管理三個層面來防護。這三個層面的防護本質上講是形成了一個防護技術框架。

4.1 技術防護

從具體的技術層面來說，為了應對APT攻擊，新的技術也是層出不窮。

從監測和檢測的角度，為了識別APT，可以從APT攻擊的各個環節進行突破，任一環節能夠識別即可斷開整個鏈條。

4.1.1 基礎安全防護

APT攻擊歸根結底是由“人”發起的攻擊，相比過去的單一攻擊方式，其更加的智能化、靈活并能主動的去發現系統中存在的各種問題及漏洞。此類攻擊將會使如今的IT系統受到更大的安全挑戰。總結起來，APT攻擊可以分為五個步驟，分別是：情報搜集、進入點、橫向擴展、資料竊取、上傳后門。

基于網絡安全趨勢的變化以及APT攻擊的特點，對于APT攻擊的防護已經不能只是單純的單一防護了，需要多角度的整體配合才能對APT攻擊取得比較好的防護效果。 首先便是加強基礎安全防護，其含義便是對傳統網絡安全防護方案的深化和合理的執行，從而解決現階段所暴露出來的安全問題。

4.1.2 安全漏洞檢測

對于APT攻擊防護，除了加強基本的安全防護措施，還有關鍵的點便是對APT攻擊行為的有效檢測機制。由于APT攻擊的長期性和隱蔽性，而且其一般利用的0day漏洞等都有一定時效性，完全避免及防護0day漏洞的發生和利用是不可能的，一個合理的思路是在做好成體系的基礎防護的基礎上使用創新的APT攻擊檢測機制。

4.1.3 攻擊行為檢測

目前較為成熟的APT攻擊行為檢測方案是首先通過全流量審計設備進行全網流量審計，然后通過沙箱、異常檢測等方式來識別異常APT攻擊，同時由于APT攻擊的時間點跨度較大，往往還需要存儲相關的特征片段以便通過歷史時間窗來發現APT攻擊行為。此種方案雖然較為完整而全面，但需要耗費的資源較大，在大數據時代背景下，網絡數據流量以及需要存儲的數據量都是異常的龐大的，很顯然超大數據吞吐及存儲會成為此類技術方案的遇到的性能瓶頸，且其往往具有一定的滯后性，攻擊者很可能已經入侵了系統，至少已經對在線服務器采取了一定的攻擊行為才可能被監測到。

可采用蜜罐等技術來監測APT攻擊行為，則既不會對現網服務器產生很大的影響，同時又能很好的控制并分析惡意攻擊者的攻擊行為。

蜜罐是一種技術，是通過被攻擊來達到搜集攻擊信息、防護真實服務器的目的。設計蜜罐技術的初衷是為了讓黑客入侵，借此可以收集證據及信息，同時達到防護的功能。

4.2 安全運維防護

在網絡上，綜合起來一般分為三種通信流，既用戶通信流、控制通信流以及管理通信流。用戶通信流主要是網絡用戶之間傳輸的信息流，控制通信流則指各網絡組件、網絡服務或設備之間傳輸的用于建立用戶連接等使用的通信流，管理通信流則是用戶監控網絡狀況，控制網絡設備部署等使用的通信流（如SNMP等協議）。

基礎網絡的穩定性只能由網絡運營商來提供保障，對于網絡基礎防護需要做的首先便是對網絡進出口的安全防護。在網絡進出口中部署防火墻并配置相應的策略，只提供一些必須的對外服務如WEB服務、郵箱服務等給外部網絡。還可部署入侵檢測系統或入侵防御系統等網絡安全設備，做到對基礎網絡進出口的基本安全防護。

首先防火墻對外網和內網進行了隔離，對于企業網絡必須對外提供的服務，如WEB服務，郵件服務等，防止在防火墻設置的DMZ區中，其余企業內部網絡可按照功能或業務劃分成不同的內部網絡，并對外隱藏。

抽象概念上的邊界可范圍物理邊界和邏輯邊界，在APT攻擊防護基礎模型或者框架中講的邊界則是重疊了物理邊界和邏輯邊界的定義。目的是進行邊界防護所以需要首先界定出邊界或者講是防護的范圍，這便是區域邊界的概念。”域“是指單一授權通過專用或物理安全措施所控制的環境。由單一安全策略進行管理并無須考慮其物理位置的本地計算設備。”域“內的網絡設備和其它網絡設備的接入點我們可以理解為”區域邊界“。

理解了”區域邊界“的概念后對其劃分便可通過劃分安全域來實現。信息系統安全防護的目的是在技術可行和管理可行的前提下，將安全風險和隱患降低到一個可以接受的水平，要實現這個目標，只是考慮部署何種安全設備顯示是無法達到目的的，更需要考慮的問題是如何在現有的網絡架構上安裝何種安全設備次啊能發揮最大的作用。這便需要一個結構清晰、可靠實用、擴展靈活的安全域劃分方案來實現了。以下是安全域劃分的一些基本原則：

a應根據設備的工作角色和對安全方面的不同需求進行劃分。對于有相同工作角色和安全需求的設備可劃分為一個安全域。

b安全域劃分個數不應過多，安全策略上也不應過于復雜，否則將給后期的運維和安全管理造成很大的麻煩。

c安全域劃分的目的是發揮整體效能，并不應該對原有網絡架構進行徹底的推翻改造。在進行劃分時應充分保護和利用已有的網絡資產，避免投資浪費。

邊界安全防護需要防止外部攻擊和排除內部不良因素。域和域之間主要采用通過交換設備劃分VLAN和防火墻來彼此策略隔離；在域內主要根據不同被保護對象的安全需求采用部署AAA、IDS和防病毒系統來完成。同時，還可加強邊界的網絡監測，部署入侵檢測設備，由于APT攻擊中很多流量都是加密的，所以對流量的分析、未知流量的識別也顯得非常重要。2011年韓國農協銀行遭遇APT攻擊的案例中，攻擊者通過控制了其外包團隊雇員的計算機，而該企業對于外包人員計算機接入的邊界防護又沒有做好，導致被感染的計算機中的攻擊代碼被激活，刪除了核心服務器中的數據，最終導致了韓國銀行系統的癱瘓。

多級安全實質上是對單一級別邊界安全的一種擴展。不同的安全域，其安全需求會有所不同，根據其資產特點、重要性以及安全需求的不同，可以將安全域劃分成不同的安全級別。如可將安全域分為無秘密級別、秘密級別、絕密級別等。高低級別的安全域之間可以進行有限的數據交換。高級別安全域能夠無限制的收取低級別安全域的數據，但高級別安全域的數據如果要發送到低級別的安全域則數據需要降權處理。可部署類似網閘等安全設備來實現數據隔離，通過使用數據審計設備來實現數據傳輸的監控。2011年EMC公司下屬的RSA公司遭受入侵，最早就是一名級別較低的員工被釣魚，主機隨后被安裝遠控軟件控制，然后一級級向上入侵，正是因為多級安全區分開，最后造成的后果并不是特別嚴重，而是在黑客入侵了相關管理員，準備入侵服務器后立馬被RSA察覺并處理。

計算環境安全是指在組織內或者一定安全域內所有計算設備，包括用戶終端、應用服務器、各種無線網絡接入設備等的信息的可用性、完整性和保密性。值得注意的是，計算環境的安全是惡意內部攻擊者的首道防線，也是外部攻擊者的最后一道防線。目前在APT防護模型或者框架中，將計算環境安全細分為用戶終端安全、系統應用程序安全以及服務器系統安全三大類。

攻擊檢測:

攻擊檢測安全防護是指對惡意用戶攻擊行為的一種監控和檢測。該技術為基本的安全運維工作之一。傳統的檢測方案是使用基于特征的入侵檢測設備或審計設備進行網絡行為監控。在此基礎上，還可使用蜜罐等技術來對APT攻擊者的行為進行深入的研究，在保證不影響系統安全性的前提下分析和監控APT攻擊者的所有操作，從而有效的跟蹤最新的攻擊技術并反過來提升自身的安全防護水平。

網絡支撐：

安全日常運維的一個最重要的作用便是對網絡安全進行一個支撐。在發生信息安全事件時能快速進行響應。

要高效的完成上述運維工作則需要建立信息安全運維體系。

系統運維是整個網絡的權限"集中地"，它的安全關乎整個網絡的安全。建立信息安全運維體系對于一個組織提升整體信息安全水平來說都能起到很大的作用，具體的信息安全運維體系建設過程如下：

（1）建立安全運維監控中心

基于關鍵業務點面向業務系統可用性和業務連續性進行合理布控和監測，以關鍵績效指標指導和考核信息系統運行質量和運維管理工作的實施和執行。具體包括：

a.集中監控：采用開放的、遵循國際標準的、可擴展的架構，整合各類監控管理工具和監控信息，實現對資產進行集中監視、查看和管理智能化，這一般可利用現有的監控平臺實現。

b.綜合展現：合理規劃和布控，整合來自各種不同的監控管理工具和信息源，進行標準化、歸一化的處理。實現集中、綜合展現。

c.快速定位和預警：經過同構和歸并的信息，將依據相應的知識庫、關聯庫等進行快速的預警。

（2）建立安全運維告警中心

基于規則配置和自動關聯，實現對監控采集、同構、歸并的信息的智能關聯判別，并綜合的展現信息系統中發生的預警和告警事件，幫助運維管理人員快速定位、排查問題所在。

（3) 建立安全運維事件響應中心

建立完善的安全運維事件響應中心，減少人工干預，縮短流程周期，減少人工錯誤，并實現對事件、問題處理過程中各個環節的追蹤、監督和審計。建議可引入自動化的軟件工具，以此來監控和跟蹤安全運維事件響應的整個流程。

4.3 安全管理防護

在APT攻擊防護模型或框架中，除了前面提到的技術層面、運維層面的安全防護外，安全管理層面的防護工作也顯得非常的重要。安全管理工作要建立起一個信息安全管理體系還有加強信息安全培訓工作。

信息安全體系的建設是整個企業網絡安全工作中的重中之重，有完整、規范、科學的安全防御體系，才能保證各項信息安全防御工作順利、有序地進行。信息安全防御體系的建設主要有：

（1）信息安全監測系統：能及時的監控系統中存在的信息安全問題，并形成管理制度化的上報這類問題。

（2）信息安全防御系統：能對碰到的信息安全攻擊行為及信息安全事件進行有效的防御，形成管理制度化的防御流程機制。

（3）安全評估體系：對組織系統進行有效而全面的安全評估，并從管理制度上予以支撐。

（4）安全預警體系：對潛在的安全問題及安全事件做到有效跟蹤和進行及時的預警，要從管理制度上予以保證。

（5）相關人員的職責分配：需要明確各個信息資產相關人員的職責分配，一旦該資產發生信息安全問題，則需要有相應的責任人問責機制。

信息安全體系建設的核心應該是建立信息安全保障體系，其應該貫穿在組織系統的整個生命周期中。信息安全風險評估則是整個體系建設的基礎，需要首先對組織系統進行整體的安全風險評估。

對于信息安全管理工作，除了建立信息安全管理體系外，還應加強信息安全的培訓工作。主要加強員工的信息安全技能水平和信息安全風險意識兩方面的培訓。通過搭建網絡攻擊試驗平臺，給員工進行信息攻防技能上的專門培訓，提升該方面的業務水平，還可以通過對網絡攻防案例以及重大信息安全時間的的專門研究學習來加強員工的信息安全意識。

5 結束語

本文首先對APT攻擊的定義進行了介紹并分析了其特點，接著描述了對APT攻擊的研究方法和范圍，提出了APT攻擊模型。最后從技術、運維、管理層面提出了針對APT攻擊的防護模型和防護框架。

[1] Greg Day. 文章名[Advanced persistent threats-time to run for cover].

[2] Ali Lslam.文章名[2013:Attack Trends For The Year Ahead]

[3] Alex Lanstein.文章名[APTs By The Dozen:Dissecting Advanced Attacks]

[4] Eddie Schwartz.文章名[SPO-208-Getting Ahead of Targeted and Zero-Day Malware Using Multiple Concurrent Detection Methodoloies].

[5] Aaron Turner.文章名[MobileAPT:How Rogue Base Stations Can Root Your Devices]

江瀚，男，工程師，通信工程專業，主要從事信息安全工作。

郭成，男，助理工程師，信息技術專業，主要從事信息安全工作。

鄧韻東，男，助理工程師，主要從事軟件開發和信息系統測評工作。

A Study Of Advanced Persistent Threat Protection Model Based On Hierarchy Protection

Jiang Han,Guo Wei,Deng Yundong
（Yunnan State Grid Network Information Center,Yunnan KunMing,650217）

Various kinds of Network Attacks has appeared along with the development of Information Security Technology.Among them,the APT Attack is claimed as the latest and most dangerous one,that was also the most difficult to detect.Targeted at excessive APT Attacks,this research accordingly comes up with APT attack protection model.Starting with an analysis of international and domestic APT Attack situation, the research brings up APT attack protection model,and concludes the ways in which APT attacks, and ends up with providing protection models and solutions.

Advanced Persistent Threat；APT attack model；Information system security level protection；APT protection model based on Hierarchical Protection

云南電網年度科技基金資助項目“高級持續性威脅檢測研究”（K-YN2013-148）