网络世界里的态势感知,听上去有些玄幻。有人觉得这是一种俯视世界的上帝视角;有人觉得这是一种禅定参悟的境界。
而在真正的网络安全从业者眼里,态势感知远不是这么浪漫。甚至它可以被概括为:谁特么在搞我,他究竟怎么搞了我。不过正是因为这种务实的态度,让中国的态势感知技术正在一步一个脚印地进步。
那么,究竟态势感知系统怎样发挥作用?雷锋网宅客频道专访了360企业安全副总裁张翀斌。常年指挥一线作战的他,经历过很多血雨腥风的故事。
【360企业安全副总裁张翀斌】
不知道你是否玩过那个坑爹的游戏:一个飞机场上空有无数架飞机等待降落,你的任务就是在有限的时间内,合理调度众多飞机的飞行路线,让他们不至于相撞。
这需要游戏者保持一种对于全局的警醒状态,一旦局部出现危险,就要马上感知并且处理。
这就是态势感知。
公认的态势感知概念是:在特定时空下,对动态环境中各元素或对象的觉察、理解以及对未来状态的预测。“态势感知”这个词最早源于军事。美国研发的各类导弹预警系统,就是这个概念最初的应用。被我们抵制的美国萨德导弹系统,配备了高功率的探测雷达,可以对中国北部大部分地区进行监控,这正属于态势感知系统。
张翀斌说,感知是采取下一步行动的基础。从防御者的角度看,要想防得住,首先要感受到。
这种认识在各国都在竞争的网络空间表现得更为明显。那么在赛博世界里,我们中国的感知能力又如何呢?
先来说说伊朗的故事,历史上一个著名的态势感知战例就是“震网病毒”。
2010年,美国利用一个U盘中的病毒,层层突破伊朗核设施相关的专家电脑、办公网络、管理网络,最后直达核设施离心机控制设备。美国黑客利用巧妙的技术层层突破,这个过程持续了一年以上。伊朗方面对美国黑客的态势感知就是:没有任何感知。
一张时任伊朗总统内贾德参观核设施的照片上,清晰地显示出了当时在“震网病毒”的作用下,两个离心机发生未知故障,而这张照片里的所有人,当时都被蒙在鼓里。
【时任伊朗总统内贾德视察核电站,红圈内的红点表示有两台离心机已经无故损坏,后证实为震网病毒所为】
。
。
。
别急着笑话内贾德。在中国,我们的情况并没有好太多。
对我们来说,在斯诺登揭露美国入侵手法之前,我们对美国攻击入侵的手法知之甚少。个人观点,我们和美国在网络空间安全方面有十到十五年的技术差距。
张翀斌说。
他为雷锋网宅客频道列举了一个实际发生的案例。
去年在为某个部委服务的时候,我们发现了一个线索。
这个线索只是日常巡检分析的时候出现的小小告警——提示我们有一个漏洞被利用。我们根据这个线索进行查询,发现通过这一个漏洞,有人做了一件“大案”。
黑客通过这个通道,下载了一个压缩文件。经过部委同事检查,这是一个非常敏感的文件。其中包括了应用系统的源代码,还有下属单位三年的财务数据。
我们继续追查,找到了之前四年的日志数据,发现在这段时间内,这个文件已经被下载了四次。
经过相关部门授权,张翀斌和团队对嫌疑人进行了追查,详细描述了黑客的“画像”,交给相关部门处理。
像这样的案例,张翀斌经历了无数个。
这些黑客组织有的来自境内,有的来自境外,所盗取的信息都非常核心。实际上,基于我们整体的网络安全水平,我知道一定还存在我们没有发现的入侵。
作为一个资深的网络安全专家,他并没有粉饰,而是描述了自己眼中的事实。正是因为落后,才让张翀斌有了奋起直追的斗志。
张翀斌说,360的态势感知产品,主要服务于党政军和大型企事业单位,所以他看到的是一片血雨腥风的攻防场面。
业内按照攻击能力把威胁分为四级。
第一级是国家安全层面的入侵。
这类黑客的能力最强。美国、日本、欧盟都在重金投入发展自己的网络安全能力,连我们的友好邻邦朝鲜的网军,实力都不容小觑。
在之前被维基解密曝光的 CIA(美国中央情报局)黑客工具,可谓无坚不摧。这些工具可以用25种方法入侵 Android,用14种方法入侵 iOS,还可以把三星电视变成窃听器,攻击智能汽车,什么路由器、智能硬件都不在话下。而最近著名的黑客组织 Shadow broker 更是爆出来 NSA(美国国家安全局)可以用多种方法入侵几乎所有版本的 Windows。
【NSA 掌握着几乎所有 Windows 版本的致命漏洞,随时可以无感知地攻击网络上的任意电脑】
对于中国来说,斯诺登曝光的棱镜计划显示,美国曾经在中国的骨干网路由器节点截获流量进行分析。2016年,360曾经发布了一份报告,曝光了36个针对中国的黑客组织,它们攻击的主要目标,是我们的政府、基础设施、教育科研机构和大型企业。
第二级是恐怖组织。
这类黑客的水平次之,但是有很强的组织性。
一旦成功,会造成巨大的损失。传统的恐怖袭击可能是在地铁中放置毒气弹,但未来的恐怖袭击很可能通过网络攻击让地铁撞车。在恐怖分子眼里,一根网线就能做到的事情,比携带炸弹看上去牛多了。
第三级是有组织的犯罪。
例如通过黑入银行系统,获得用户的存款账户信息和转账记录,然后进行有针对性的诈骗和进一步黑客攻击。例如得知某人为大企业负责人,黑客就可能会利用掌握的银行账户信息对他的企业进行进一步的渗透。
第四级是独立的黑客和个人。
这些黑客往往目的不十分明确,技术能力也参差不齐。
张翀斌说,最近几年第一级第二级这类高级别的黑客攻击在大幅增加,“黑产+公司”的有组织进攻也在增加,而以前流行的个人英雄主义的黑客活动反倒减少了。
中国安全研究员的使命,就是尽力发现各种姿势的入侵,也就是“态势感知”。你可能会好奇,安全研究员是如何感知到系统被入侵呢?
由于经常领导一线的黑客攻防战争,张翀斌非常熟悉态势感知的全流程。
他告诉雷锋网,一般情况下,为一个机构做态势感知服务,需要五个岗位。分别是:
安全监控(这位童鞋需要每天在现场,实时监控系统有没有报警)
漏洞验证(对发现的漏洞利用线索进行追查,确定背后是否有黑客的蛛丝马迹)
数据分析(需要在大量的流量和日志数据中发现攻击线索并进行分析,如果碰到病毒样本,现场一般没有条件分析,需要扔给云端环境来做,最后才能综合做出判断)
信息通报(把威胁态势汇总成为制式文件,向相关部门通报)
事件处置(对于系统漏洞进行打补丁,升级 WAF防火墙,根据情况对黑客进行追踪等等)
这其中,最核心技术的就是数据分析。简单来说就是找到是谁,怎么搞了我。
【态势感知的岗位分工】
为了搞清楚这个问题,需要几个重要的东西:人和数据和平台。
例如在文章开始举的例子,通过系统过去四年的日志,才推测出了敏感文件被下载的次数和去向。这就是历史数据的重要性。
而仅仅有这些数据,还是不够的。要从浩如烟海的数据里,快速检索出可能有问题的操作,需要一个态势感知专用的计算平台,通过安全研究员设置的规则和条件,智能筛选出可疑的数据供研究员查看。
而所有的一切,背后都是安全研究员的智慧。在整个态势感知的过程中,安全研究员的经验和判断起到了重要的作用。
一旦确定了某个黑客组织,在相关部门的授权下,张翀斌的团队会对黑客进行溯源和“画像”,包括攻击者常用的工具,平时喜欢登陆那些论坛,他的攻击技能有什么,喜欢攻击什么目标。这种情况下就可以把黑客的信息作为威胁情报,如果同类企业再次探测到同一批人的访问请求,就可以直接根据情报把这个特征的访问拒之门外。
正如伊朗核设施被美国攻击一样,黑客进攻往往是从外围的薄弱系统进入,一步步渗透到核心系统。在黑客步步为营的过程中,越早感知到黑客的存在,就越能把损失降到最小。张翀斌举了几个真实的态势感知案例:
某能源企业,被变种蠕虫入侵,进而所有电脑终端的用户名和密码都被黑客获得,最终连无人值守站的密码都被黑客获得。如果黑客的目的是破坏生产的话,他几乎已经成功了。幸亏发现及时,才在破坏的最后一环力挽狂澜。
某国有银行,使用了态势感知服务。安全研究员很快就发现某分行存在一个口令爆破攻击行为。可怕的是,从这个线索追查发现,全国十几家分行都存在这个问题。黑客利用漏洞,正在快速感染更多的银行系统。安全研究员紧急制定了修复策略,才使得损失没有进一步扩大。
在这个银行的例子中,如果提前部署态势感知系统,在黑客刚刚感染一个分行的时候就可以被感知,其产生的影响会比现在更小。
【态势感知内部界面示意】
我们的做法是,根据人的经验,每次发现新的攻击方试,就可以固化到平台里,在以后的检测中平台就能够降低对人的依赖。
但攻击者也在升级,如果他们知道我们已经掌握了攻击手段,他们就会换一个。
张翀斌列举了几个态势感知的坑。
在很多高端的攻击中,对方使用了未知的攻击手段,那么作为防守方,检测出来的可能性会大大降低。面对这种情况他们会采用行为分析的方法来检测。他为雷锋网宅客频道举了一个例子:
正常互联网世界里的一个IP,会访问很多不特定的IP,但如果一个IP只持续访问两个IP,那么这种行为就是很可疑的。
从服务器角度来看,普通的访问数据是有规律的,如果突然某个电脑的DNS突然变化异常,也是一个有问题的细节。
一般系统的研发人员都是死宅,如果系统检测到了它的 ID 连续几天都在异地登录,那么这也是明显的问题。
当然这只是一些简单的例子。我们会利用机器学习和人工智能的方法对诸多行为之间的关联进行计算,利用这些结果往往可以探查到黑客的蛛丝马迹。针对这些蛛丝马迹进行研究,就会大大提高“破案”的成功率。
他说。
虽然针对每一次攻击,态势感知系统都要做响应。但是如果安全研究员不能认识到这次进攻背后的真实意图,就往往会低估对手。
一些通用系统有时会爆出全球性的漏洞,就在各家企业修复自身漏洞的时间差里,全世界的黑客都会利用这个漏洞对系统进行扫描和入侵。但是大多黑客都是脚本小子,他们可能仅仅利用这个漏洞收集一些信息,或者进行简单的攻击。但是在他们中间,有一些真正的高手,混在大量的攻击中,用很 low 的方法进攻,一旦初步得手就会迅速转移和隐蔽自身,让安全研究员低估了处理的难度。
张翀斌说。
这就像一个绝世高手隐藏在市井之中,避人耳目,伺机而动。
面对这种情况,张翀斌保持了谨慎的态度。他觉得和顶尖黑客的对抗,一定是人与人的对抗,在这种情况下,依靠的一定是安全研究员的经验。同样是处理同样的进攻,经验丰富的安全人员就会更大几率揪出藏身的高手。
数据,是安全人员判断系统是否被进攻的唯一凭证。
张翀斌主张对流量数据进行“全数据存储”。只有数据充分的情况下,才能更准确地还原攻击的细节。但是他所谓的全数据存储并不是全包存储,而是把流量数据进行归纳之后,把各个维度的关键信息全部存下来。对于其他内容,例如一些附件,会有选择性地留存。这种方式的最大优点是能够对海量数据支持快速检索,从而进行威胁统计分析,从中发现攻击行为的蛛丝马迹。
这些全流量数据,加上系统的日志,还有外部导入的威胁情报,就成为了黑客入侵的铁证。
对于门将来说,球门被攻破或多或少是他的宿命。
这正像我们的安全研究员,他们负责感知这个国家重要关隘的态势动向,虽然御敌无数,却也一定会犯错。
对于这种宿命,张翀斌说他并不感觉失落:
这些年来,我们从裸奔到现在已经有粗布麻衣。每一次我们发现了顶尖黑客的新的进攻手段,都是非常兴奋的。我们用技术不断完善自己的系统,把以前忽略的证据和数据一点点串联起来,让更多的真相一个个浮出水面。
作为中国的安全人员,我们感觉很兴奋。
凭心而论,一个国家的安全水平正如它的国防能力,这种能力是无法乞求别人的怜悯而获得。终有一天我们会从态势感知,到拥有网络空间的反制能力,到对威胁的预判和防御。
张翀斌和他的团队所做的一切,都是为了迎接这一天的到来。