電網(wǎng)企業(yè)APT攻擊防御存在的問題及防御措施

董 娜,張君艷,劉偉娜,常 杰

(國網(wǎng)河北省電力公司電力科學(xué)研究院,石家莊 050021)

電網(wǎng)企業(yè)APT攻擊防御存在的問題及防御措施

董 娜,張君艷,劉偉娜,常 杰

(國網(wǎng)河北省電力公司電力科學(xué)研究院,石家莊 050021)

介紹電網(wǎng)運行易遭黑客APT攻擊的現(xiàn)狀,針對APT攻擊流程分析了現(xiàn)有的防護體系存在的問題,從管理手段和技術(shù)手段2個方面提出防御的安全措施。并對目前電網(wǎng)企業(yè)如何防范APT攻擊提出建議。

APT攻擊;大數(shù)據(jù);APT防御

1 概述

2015年12月,烏克蘭電網(wǎng)遭受APT攻擊造成大面積停電,這是世界首例因黑客攻擊造成的大規(guī)模停電事故[1]。同時隨著我國智能電網(wǎng)的發(fā)展,以及云計算,大數(shù)據(jù),移動互聯(lián)及物聯(lián)網(wǎng)技術(shù)的結(jié)合,信息安全成為電網(wǎng)安全的重要組成部分。電網(wǎng)遭受APT攻擊,不僅會造成大規(guī)模停電,影響生產(chǎn)生活,還會造成敏感信息外泄,如電力運營數(shù)據(jù)、用戶信息等,帶來巨大的經(jīng)濟損失。

電網(wǎng)運行容易遭到黑客發(fā)起的APT攻擊包括以下幾個方面[2]:供應(yīng)商,電網(wǎng)行業(yè)供應(yīng)商多樣,電網(wǎng)所使用的軟硬件設(shè)備多種多樣,供應(yīng)商可能來自系統(tǒng)內(nèi)外、國內(nèi)外,除設(shè)備被預(yù)裝后門或惡意軟件外,設(shè)備本身設(shè)計缺陷或存在的安全漏洞都可以被黑客利用;終端,終端分布廣,分布式電源、用電信息采集、電動汽車等終端設(shè)備或系統(tǒng)的運營主體繁多、應(yīng)用場景復(fù)雜,增加了其被惡意監(jiān)聽、滲透、控制的風(fēng)險,移動設(shè)備的攻擊正在逐步成為APT攻擊的新方向,而移動設(shè)備的安全技術(shù)保障也不充足,無論是Android系統(tǒng)還是iOS系統(tǒng)均被爆出過不少漏洞,存在安全問題;通信網(wǎng)絡(luò),黑客利用技術(shù)手段通過通信網(wǎng)絡(luò)進行假冒終端、違規(guī)接入、網(wǎng)絡(luò)流量劫持、信息竊取等,導(dǎo)致信息泄露或通信網(wǎng)絡(luò)設(shè)備運行異常、中斷;應(yīng)用服務(wù),黑客利用安全漏洞或惡意病毒入侵應(yīng)用系統(tǒng),可導(dǎo)致服務(wù)異常或中斷,信息泄露,甚至破壞應(yīng)用系統(tǒng)的軟硬件設(shè)備,工控系統(tǒng)正在逐步成為APT攻擊的新目標,此前,被曝光的NSA武器庫擁有大量可以攻擊工控隔離網(wǎng)絡(luò)的手段;員工,大多數(shù)員工信息安全意識仍然不足,而APT攻擊往往會采用社會工程利用人性的弱點對員工進行滲透。在這一大背景下,如何防范APT攻擊應(yīng)引起電網(wǎng)行業(yè)的重視。

2 APT攻擊防御存在的問題

目前電網(wǎng)企業(yè)已經(jīng)擁有較全面的信息安全管理體系,對物理環(huán)境、終端安全、邊界安全、網(wǎng)絡(luò)安全、應(yīng)用平臺安全及數(shù)據(jù)安全等方面的安全管理采取了相應(yīng)的安全防護手段,但是在面對APT攻擊時仍然存在一些問題[3]。同時APT攻擊以其

隱蔽性強、潛伏期長、持續(xù)性強、攻擊渠道多樣等特點,降低了傳統(tǒng)安全產(chǎn)品對其防御的效果。下面將從APT攻擊的一般流程來分析電網(wǎng)企業(yè)面臨的問題[4-5]。

第1步為信息收集,攻擊者有針對性的通過各種途徑收集網(wǎng)絡(luò)系統(tǒng)和員工的相關(guān)信息,包括從外部利用網(wǎng)絡(luò)隱蔽掃描了解信息以及從內(nèi)部利用社會工程學(xué)了解相關(guān)員工信息。雖然電網(wǎng)企業(yè)已經(jīng)制定了安全管理制度,但是人員安全意識依然需要提高,尤其是部分員工存在僥幸心理或是不知情情況下造成信息泄露或被黑客利用。

第2步為單點攻擊,收集足夠信息后,攻擊者通過包括惡意代碼、漏洞攻擊、Web攻擊等各種攻擊手段入侵目標系統(tǒng),這個過程通常是采用低烈度的攻擊模式,以避免被目標系統(tǒng)發(fā)現(xiàn),從而控制目標系統(tǒng)。攻擊者利用0day漏洞、未及時修復(fù)的已知漏洞、多態(tài)病毒木馬等來繞過電網(wǎng)企業(yè)已部署安裝的防病毒及其他檢測工具,導(dǎo)致此類攻擊難以被防范。

第3步為建立控制,攻擊者通過突破內(nèi)部某一臺終端滲透進內(nèi)部網(wǎng)絡(luò),模擬網(wǎng)絡(luò)常見協(xié)議如DNS、HTTP、HTTPS并進行加密來構(gòu)建C&C通信(命令與控制)與終端聯(lián)系,讓C&C通信變得難以被電網(wǎng)企業(yè)部署的IDS、防火墻,IPS等安全設(shè)備檢測。在這個過程中,攻擊者還會降低通信頻率及頻繁變更域名和IP地址。由于目前電網(wǎng)企業(yè)缺少對網(wǎng)絡(luò)異常流量的關(guān)聯(lián)分析工具,使得檢測出被控終端變得困難。

第4步為橫向、縱向滲透,攻擊者以突破的終端為跳板,逐步了解全網(wǎng)結(jié)構(gòu),在獲取更高權(quán)限后鎖定目標。目前電網(wǎng)行業(yè)主要的檢測方式是對網(wǎng)絡(luò)邊界和主機邊界進行檢測,在對內(nèi)部安全防護上相對薄弱,雖然部署了堡壘機和數(shù)據(jù)防護等手段,但攻擊者可以模擬正常用戶行為進行長期、少量資料收集工作。

第5步為數(shù)據(jù)回傳,攻擊者在內(nèi)部網(wǎng)絡(luò)中長期潛伏,收集網(wǎng)絡(luò)中各服務(wù)器上的重要數(shù)據(jù)信息后,將這些數(shù)據(jù)進行壓縮加密,通過隱蔽通道進行回傳,以繞過電網(wǎng)企業(yè)部署的審計設(shè)備或其他安全設(shè)備。

目前電網(wǎng)企業(yè)的網(wǎng)絡(luò)是內(nèi)外網(wǎng)隔離的,針對這種網(wǎng)絡(luò)隔離,APT攻擊者在實施控制與數(shù)據(jù)回傳時,一般使用移動介質(zhì)擺渡的方式,進行數(shù)據(jù)的傳送。另外一些破壞性的APT攻擊,則不需要進行控制和數(shù)據(jù)回傳,如震網(wǎng)攻擊,攻擊者將震網(wǎng)病毒傳遞到工作人員家庭主機,并通過U盤震網(wǎng)病毒被工作人員帶回到隔離的主機上,最終攻擊核電站系統(tǒng)。

綜上所述,面對APT攻擊時,無論是電網(wǎng)企業(yè)現(xiàn)有的防御體系還是目前已形成的檢測思路,諸如惡意代碼檢測思路、主機應(yīng)用保護思路、網(wǎng)絡(luò)入侵檢測思路等,都存在一定的困難和局限性。而理想的APT安全解決方案應(yīng)該基于大數(shù)據(jù)分析的檢測、防御方案,目前已有廠商與研究人員推出并提出了相應(yīng)的安全產(chǎn)品和架構(gòu)[6-8]。

3 安全防御措施

電網(wǎng)企業(yè)在防御APT攻擊時所面臨的上述問題,可以從管理和技術(shù)方面分別進行防御[9]。

3.1 管理手段

a.制度管理,落實國家標準、行業(yè)標準以及公司的規(guī)章制度,嚴格執(zhí)行相關(guān)安全管理方面的要求,尤其是對終端安全、邊界安全、網(wǎng)絡(luò)安全及數(shù)據(jù)安全等方面的要求認真落地執(zhí)行,同時研究現(xiàn)有的安全防護要求是否全面,查漏補缺,根據(jù)實際情況及時更新。

b.人員管理,人往往是信息安全防護過程中的最不可控因素,攻擊者通常會使用社會工程利用人性的弱點針對人員進行滲透,因此提高員工的安全意識顯得十分重要。定期對員工進行安全培訓(xùn)及安全教育活動,根據(jù)安全管理制度確定可執(zhí)行的策略,讓每名員工都清楚什么可以做,什么不可以做。安全培訓(xùn)是長期且重要的工作,因為人的安全防范意識非一朝一夕能樹立起來。

c.對外信息管理,限制公開顯示的信息量,包括電話簿、員工名單、過于具體的人員和領(lǐng)導(dǎo)介紹、項目計劃、業(yè)務(wù)和渠道合作伙伴以及客戶名單。同時從制度上禁止企業(yè)員工個人信息以及與工作相關(guān)的信息被公布到社交網(wǎng)站上。

d.最小權(quán)限原則,把控每個員工可以接觸到的信息,采用最小權(quán)限原則,切不可越權(quán)訪問、使用資源。同時,對員工在被限定的權(quán)限下可以進行的操作有明確的規(guī)定,避免違規(guī)操作。

e.預(yù)警機制,安排人員隨時關(guān)注相關(guān)安全部門和網(wǎng)站發(fā)布的安全公告,建立預(yù)警機制。針對社會上最新發(fā)現(xiàn)的各種安全問題及時對企業(yè)內(nèi)部

進行驗證,查看是否存在,若存在及時制定整改計劃消除缺陷。

f.建立應(yīng)急機制,根據(jù)各種可能發(fā)生的情況制定應(yīng)急方案,當發(fā)現(xiàn)疑似APT攻擊時,能及時啟動應(yīng)急機制,將損失降低到最小。

g.注重終端安全,統(tǒng)一管理終端殺毒軟件,及時更新,修復(fù)漏洞。采用安全手段檢查并檢測可疑郵件中的URL鏈接和附件,防范可能的APT攻擊。重視數(shù)據(jù)層安全,對敏感數(shù)據(jù)一是要作權(quán)限管理,定期更換用戶認證;二是要做信息加密,包括存儲加密和傳輸加密等。

h.專業(yè)技術(shù)人員,培養(yǎng)專業(yè)技術(shù)人員或是邀請專家對歷史數(shù)據(jù)、當前記錄進行分析并對定期開滲透測試,預(yù)估安全趨勢,及時發(fā)現(xiàn)安全風(fēng)險。提升企業(yè)內(nèi)部安全人員能力,定期排查和評估潛在風(fēng)險,不斷增加主動發(fā)現(xiàn)風(fēng)險和排查故障的技術(shù)能力。同時,在有條件的情況下聘請專業(yè)安全機構(gòu)定期進行監(jiān)測,提高風(fēng)險防范水平。

通過上述的管理手段不斷加強網(wǎng)絡(luò)防御APT攻擊的能力。

3.2 技術(shù)手段

在信息網(wǎng)絡(luò)中部署APT攻擊檢測防護產(chǎn)品,對主機、邊界、網(wǎng)絡(luò)、應(yīng)用等進行全方位防護,防護技術(shù)手段如下。

a.物理防護。防范電磁泄漏,信息系統(tǒng)設(shè)備在工作時通過電源線、信號線等輻射出去的電磁信號或諧波,可以經(jīng)過提取處理恢復(fù)為原信息造成信息泄密,所以需要防電磁泄露,可以采用電磁屏蔽或防干擾等措施進行安全防護。

b.惡意代碼檢測。在互聯(lián)網(wǎng)出口和核心交換機之間部署引惡意代碼檢測引擎,實時監(jiān)測有關(guān)惡意代碼的威脅攻擊。APT攻擊發(fā)起者修改已有的惡意代碼來形成新型未知惡意代碼或開發(fā)全新惡意代碼,來繞過基于特征碼的檢測系統(tǒng)。因此,在防御APT攻擊時,應(yīng)增加動態(tài)檢測技術(shù),如采用沙箱技術(shù)。其原理是在虛擬機或沙箱中運行引入的實時流量,通過監(jiān)控沙箱中的文件系統(tǒng)、進程、注冊表、網(wǎng)絡(luò)行為等,來判斷流量中是否包含惡意代碼。

c.終端安全管理。包含但不限于安全準入、安全加固、病毒防護、補丁管理、違規(guī)外聯(lián)管理、訪問控制、保密監(jiān)測、數(shù)據(jù)防護監(jiān)控、外設(shè)管理、IP地址管理、移動存儲介質(zhì)管理、桌面資產(chǎn)管理、軟硬件安裝管理、惡意代碼過濾。控制終端是APT攻擊滲透內(nèi)部網(wǎng)絡(luò)的重要環(huán)節(jié),所以終端安全防護是防范APT攻擊的重要關(guān)卡。

d.漏洞掃描。對終端、應(yīng)用系統(tǒng)、數(shù)據(jù)庫、操作系統(tǒng)、網(wǎng)絡(luò)設(shè)備等定期進行漏洞掃描,及時修復(fù)發(fā)現(xiàn)的漏洞。APT攻擊者通常利用已知漏洞和未知漏洞進行單點攻擊入侵目標系統(tǒng),在進行防御時,可以使用現(xiàn)有的漏洞掃描工具或是手工驗證等方式進行漏洞發(fā)掘,發(fā)現(xiàn)漏洞及時修復(fù)。

e.入侵檢測。通過監(jiān)控整網(wǎng)流量,來監(jiān)控網(wǎng)絡(luò)內(nèi)各種攻擊行為。入侵檢測系統(tǒng)主要用來檢測APT攻擊的命令和控制通道。

f.全流量審計。全流量存儲的條件下,通過回溯分析相關(guān)流量,對流量進行協(xié)議解析和應(yīng)用還原,判斷識別是否存在攻擊行為。對于不能被實時檢測出來的攻擊行為,可以回溯分析相關(guān)流量并進行多次檢測。這種采用長時間、全流量數(shù)據(jù)進行深度分析的防范,主要用于對抗APT攻擊的可持續(xù)特性特性。

g.大數(shù)據(jù)分析。通過單一的安全設(shè)備告警信息無法判定是否存在APT攻擊,需要對覆蓋所有檢測技術(shù)的安全信息進行收集分析,形成關(guān)聯(lián)分析,這需要大數(shù)據(jù)分析技術(shù)。包括對防火墻、入侵檢測、入侵防御、審計系統(tǒng)、日志系統(tǒng)、防病毒系統(tǒng)信息進行收集分析。大數(shù)據(jù)分析技術(shù)通過關(guān)聯(lián)分析來判斷異常情況,發(fā)現(xiàn)異常后,利用全流量存儲,建立告警庫,對捕捉到的信息進行綜合關(guān)聯(lián)分析,將告警信息會形成規(guī)則。

目前各廠商已經(jīng)發(fā)布了相應(yīng)的APT防御產(chǎn)品,對APT的檢測防御各有側(cè)重,電網(wǎng)企業(yè)在進行選擇時,可以根據(jù)網(wǎng)絡(luò)實際情況,選擇一個或多種組合部署,在技術(shù)手段上加強對APT攻擊的防御能力。

4 結(jié)束語

綜上所述,在防御APT攻擊上可以采用以上手段,尤其在大數(shù)據(jù)的基礎(chǔ)上多種方式聯(lián)合使用,才能有效的檢測防御APT攻擊。但仍有很多問題需要進一步研究解決,如沙箱技術(shù)占用大量的本地資源和處理時間,會拖慢系統(tǒng);入侵檢測技術(shù)需要解決如何獲取APT攻擊的命令和控制通道特征的問題;全流量審計需要解決高性能的數(shù)據(jù)捕獲和快速回溯分析能力;大數(shù)據(jù)分析技術(shù)還未完全成熟,需要解決異構(gòu)海量數(shù)據(jù)存儲、分析技術(shù),關(guān)聯(lián)場景的建立等問題。

[1] 童曉陽,王曉茹.烏克蘭停電事件引起的網(wǎng)絡(luò)攻擊與電網(wǎng)信息安全防范思考[J].電力系統(tǒng)自動化,2016,40(7):144-147.

[2] bjx-zndx.烏克蘭電網(wǎng)遭遇黑客攻擊,有何警示意義[OL]http://toutiao.com/a6243917163524423938/,2016-01-26.

[3] 張富華,普 鋼,張 睿,等.電力企業(yè)APT安全防護策略研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015,7:86-87,90.

[4] 佚 名.大數(shù)據(jù)分析APT攻擊防護下一代演進之路[OL].http://sec.chinabyte.com/452/12916952.shtml,2014-04-12.

[5] 張百川.APT:攻擊容易,防御不易,且行且珍惜[OL].http:// www.youxia.org/apt-cnw-zhenxi.html,2014-04-16.

[6] 王麗娜,余榮威,付楠,等.基于大數(shù)據(jù)分析的APT防御方法[J].信息安全研究,2015,1(3):230-237.

[7] 付 鈺,李洪成,吳曉平,等.基于大數(shù)據(jù)分析的APT攻擊檢測研究綜述[J].通信學(xué)報,2015,36(11):1-14.

[8] 趨勢科技.演化的APT治理戰(zhàn)略[OL].http://www. trendmicro.com.cn/cloud-content/cn/pdfs/20150624.pdf, 2015-06-24.

[9] 蔣 明,方 圓,丁家田.大數(shù)據(jù)時代下電網(wǎng)企業(yè)安全防護策略研究[J].信息安全與技術(shù),2015,(10):11-15,37.

本文責(zé)任編輯:羅曉曉

Problem and Countermeasures on APT Defense in Power Grid Enterprises

Dong Na,Zhang Junyan,Liu Weina,Chang Jie
(State Grid Hebei Electric Power Research Institute,Shijiazhuang 050021,China)

This paper introduces the present situation of the Power Grid operation which is vulnerable to APT attacks.The existing problems of current protection system are analyzed from the process of APT attacks.This paper analyzes the security measures of defense from management means and technical means.For the current Power Grid enterprises how to prevent APT attacks should cause the attention of the power industry.

APT attacks;big data;APT defense

TP311.56

B

1001-9898(2016)04-0025-03

2016-06-13

董 娜(1986-),女,工程師,主要從事電力信息化相關(guān)工作。