有一种对抗,“杀人”不见“血”,却更可怕;
它的主战场在网络,有时针对一个人或者企业悄然攻击,有时是国与国之间厮杀战斗;
攻方,狡诈无比,守方,斗智斗勇。
这就是网络安全领域的攻防对抗,外人看上去惊心动魄,守者,却视为常态,处变不惊。
但这是每一个身处赛博世界的人无法逃离的战场,有时被波及,有时是主要受害人,我们,无法置身事外。
绿盟科技的高级副总裁叶晓虎已经置身这种战斗 15 年,2002 年,他初加入绿盟科技时,就卷入了与 DDoS 的对抗。时刻警惕与抵抗赛博世界的攻方来袭,揪出背后的始作俑者,这是他 15 年来最重要的工作。
15 年来,让这个经验丰富的守方老将印象深刻的攻守战斗有两场。
2005 年,一名“唐山黑客”的案子震惊了全国,甚至惊动了国家公安部。
事情是这样的:从 2004 年 10 月份开始,原本并不火爆的北京境内的某音乐网站,却突然“热闹”起来,在某些时段,要想登录这家网站非常困难,后经该网站技术人员确认造成这一问题的原因在于有人恶意实施攻击。
为了摆脱困境,网站的经营者曾专门请来专家“会诊”,试图“死里逃生”,但事与愿违,面对这种攻击手法,似乎无计可施,期间专家在试图抵御攻击时,结果是你一动,攻击者下手更狠。无奈,为了躲避攻占,网站经营者将网站服务器转移到了我国台湾境内,但攻击者仍然一路穷追猛打,网站依然频频告急,网站经营者又生一计,越跑越远,干脆将服务器转移到美国境内,结果再次失败,攻击者如影相随,跑到哪儿打到哪儿,大有致其于死地而后快之势。疲于“奔命”的网站经营者无奈之下最后向国家信息产业部上报了这一情况,接着国家信息产业部向公安部紧急报案。
叶晓虎和团队配合有关部门,对该网站进行防护和调查了好几个月,没有线索。直到有一天,他们发现了系统的一条毫不起眼的攻击日志,从而定位了位于某部门内部的一台机器,在机器上捕获了攻击样本,最后定位到背后的这位“唐山黑客”。
叶晓虎告诉雷锋网宅客频道(微信ID:letshome),“唐山黑客”案的攻击手法不断变化,且频率非常高,而 2016 年报道的“证券幽灵”案攻击者潜伏时间之长实属罕见。
这是一起典型的 APT 攻击,在一些证券商报告发现账户异动后,邀请绿盟科技专家排查,发现一名操作人员的电脑“被搞了”,内部的服务器都被攻陷,再一查,吓人一跳!
这场“潜伏”与“信息盗窃”已经持续了 10 年。让人不可思议的是,中途入侵行为还曾被发现和处理过,但诡异的是,看上去已经打扫干净的战场却仍有敌人潜伏,而且此后的入侵手段还发生了变化和升级。
叶晓虎说:
“我们调查分析发现,几乎所有漏洞都已经修复,但是,唯一一台对外的服务器端口被开了,这就导致了攻击还能持续进行,我们在其他地方也发现了类似情况,做了很多取证,前一段时间攻击者已经被判刑。”
事实上,在攻防对抗的“金字塔”中,这种造大案的对手只占据顶尖的 20 %,剩下的 80 %都是“小毛贼”。
叶晓虎告诉雷锋网,“小毛贼”虽然单个收益少,但有时社会影响大;而塔尖的人会用高精尖的技术,比如,花血本进行“零日攻击”、“组合攻击”和 APT攻击。
叶晓虎说:
“现在,很多企业一个基础的问题还解决得不太好,认识不到网络资产的价值、脆弱性、暴露面,甚至连连资产都不清楚,防护就更难了。IT技术发展非常快,企业管理的资产和暴露面呈现几何级地增长,大点公司安全防护人员也就是几个人,小的公司更难说了。在有的公司,安全团队和IT 团队是分开的,安全团队不了解业务,这也是安全管理的困难。”
顶尖的金字塔上的攻击者如果发动 APT攻击,长时间攻击一个企业,成功率非常高。“在某一个时刻保持安全不难,但要一直不犯错误很难,在网络安全上保持很高的水平,投入会要很大,不是每个企业都能负担得了。”
不怕贼偷,“最怕贼惦记”。
这位攻防领域的老将还在长时间的对抗中意识到,攻防对抗的形势越来越严峻。
叶晓虎在早期做攻防对抗时,其实相当清楚一场庞大的 DDoS 的幕后黑手是谁。那些黑手在国内都掌握了很多资源,甚至对抗双方还电话沟通。对方都能猖狂地承认,但是攻击者“背后的资源”让人动不了他。
这种“看破却不能说破”的境地还不是最艰难的。现在,有人明目张胆,却还行踪隐秘。
还是以 DDoS 为例,现在它已形成了比较完整的产业链,由背后的人提供基础设施,把攻击作为一种服务进行售卖。
发起一场 DDoS 攻击,只要简单填写一个需求,成本非常低,一个“肉鸡”甚至只要几分钱,搞一场“万把块钱”都算贵的。
“电话诈骗的一个窝点在我的老家福建龙岩,一些人拿柴油机躲到山里发电,这样就很难监控,而且这些地区的人只是马仔,真正老板在台湾。”叶晓虎说。
被攻击方和防守方都很难找到敌人在哪里——这让守方很难受,攻击者的行踪越来越隐蔽。
从 RSA 大会回来后,叶晓虎对攻防对抗的新形势感受更深刻了。他和同事们甚至因此做了一份“攻防对抗的军备竞赛”清单:
如何攻
攻1:各种攻击元素出租,灰色市场居然可以这样搞?
灰色市场已进入更为精细化的“专业分工”,漏洞、利用、工具开发、 僵尸出租、社工库等成了“各种专门服务”。
某勒索软件要求受害者在一个星期内支付赎金或查找两个新的受害者。如果事件中另外两名“下线”受害者支付了赎金要求,原始的受害者可以免费获得解密密钥。不管这种类“传销模式“最终是否会带来更大的杀伤力,但灰产挖掘人性弱点并在运作模式中区充分利用的尝试得以充分展现。
另外,臭名昭著的 DDoS 攻击者在直接敲诈和烟幕服务等之外,提供非常低廉 DDoS as a Service(DDoS即服务),5 美元起卖和分销。
攻2:守方使劲搞的机器学习,攻方也在盯着
各种机器学习和人工智能算法和工具被引入安全产品和系统。但是,机器学习只是一个数学工具,攻守双方都可以使用。
通过对抗性图像攻击可以欺骗机器学习模型,在一个图像识别的例子中,识别引擎给出了公共汽车车窗的误判。以此类推,如果攻击者面对机器学习的安全产品及系统,同样有可能利用这样的误判,发起致命的攻击。
机器学习作为一种数学工具,其输出的“智能”并不是真正的“智能”,而是由其设计和运作过程中所使用的攻防模型、机器学习算法以及训练样本所决定的“计算”。这样,如果攻击者通过某种手段可以获取这些信息,并进行针对性模仿、甚至“注入”,就可以达到“免杀”和“误导”的效果。
但是现在,攻击方的技术真的可以达到这么高的境界了?
叶晓虎告诉雷锋网,攻守双方都能利用机器学习的技术,目前攻方利用技巧干扰机器学习的公开案例较少,但不代表以后不会大规模流行。
“机器学习作为自动化工具让安全管理人员解放双手。一个研究员手工分析一个样本,至少需要2-3个小时,一天几十万个样本怎么办?只能靠机器学习。攻击者也能利用机器学习来干坏事,比如,把防守方的机器学习规则和参数摸清楚后,稍微进行调整,就能绕过防守方建起来的墙。”
攻3:从广撒网到“24小时”定向“盯梢”
定向攻击(TA)和高级持续威胁(APT)通常被认为是高级的技术对抗,而广谱的、也就是非定向的攻击被认为是一般的技术对抗。
广谱攻击不区分行业和目标属性,单次收益低,强调海量重复和自动化。定向攻击者针对防护目标进行“免杀”校准,此时防守方所采用的已被攻击者掌握的一般商业化防护措施已经失效。这时,防守成功要求攻方所不掌握的“独特性“。这种“独特性”对于攻方来说意味着成本和“风险”。
“广谱攻击,我攻击你,收益就一点点,最暴力、重复,而定向攻击中,手段技术高不可怕,最可怕的还是持续性一不小心就会中招。尤其一个企业有那么多员工,如果其中一个中招,可能会对整个公司带来可怕的后果。”叶晓虎说。
攻4:物联网的各种低防护目标被盯上
2016年美国东部地区大断网事件是这一观点的最佳佐证。物联网被利用来发起大规模拒绝服务攻击是 2016 年的热点事件,尤其 Mirai 和 DYN 攻击事件中大众传播达到一个新的高度。
一个相对保守的预计是在 2020 年将会有 200 亿以上的物联网设备上网。
大量低防护水平的目标涌入互联网,如同原来院子里玩耍的孩子们突然跑到车水马龙的大街上,必然对灰色产业和攻防态势产生深刻的影响。
如何守
叶晓虎告诉雷锋网,要应对这四种可怕的攻击趋势,需要从这些方面来考虑:
1.跟踪云物大移时代信息系统的所有环节的漏洞和攻防细节、并实时做出准确的判断,对于数十人规模的专业安全团队都是极度困难的。依托威胁情报系统和“生态伙伴”成为一种必然的选择。
雷锋网了解到,现在,北美地区的情报共享和分析中心比较成熟,在国内,出于各方面的原因,还没有形成很好的合作机制。
叶晓虎分析,从企业角度看,现在有些人会考虑分享对KPI 有没有影响,是否会产生负面影响。从安全公司角度看,他们会考虑是否会损害企业的技术竞争力。
因此,这确实是摆在眼前需要解决的一道题。
“但是,建立生态伙伴却是一个不可逆转的趋势,企业、安全公司和主管机构都会涉身其中,这样才可能把安全形势变得更可控。”
2.威胁方将会利用机器学习等先进技术来优化“攻击”,并不意味着机器学习之于网络安全没有用处,恰恰相反,不掌握机器学习技术的安全防御方将会处于类似冷兵器对热兵器的“劣势”局面。
洞察网络系统中的各种用户和设备行为,寻找源自合法用户、合法供应链组件等的可能攻击和滥用,针对安全事件的溯源和追踪,对全局安全态势的感知和研判等等,需要大量的安全数据分析、可见性、威胁情报等能力的联合运用,都需要机器学习为代表的新一代计算工具的支撑。
叶晓虎对机器学习的期待是,希望能够构建一个系统,具备对攻击手段自演化的功能。
3.在动态纵深防御模型下,局部的“失败”并不可怕,但需要防守方能够及时的检查到“失败”并调整防护手段,保证掌控或重新夺回战场优势。
以前,大家观点是,要把自己的网络守得死死的,把危险、入侵都挡在门外。都挡住了,你连攻击者进化的手段都不会了解。不如,在一台服务器故意放一些表面上很重要的信息,吸引黑客访问数据,就可以锁定这个行为用来定位。利用这种手段跟踪攻击方的行为,放长线、钓大鱼。虽然挡住了,但不知道黑客想要干什么,知道发生了什么事情更重要。
为此,叶晓虎也曾做过实验,为一个客户模拟一个交易系统,做业务型的蜜罐,故意放了一些漏洞,前端发现了可疑,就把流量引到蜜罐上来,追溯攻击者,让守方有所准备。
但是,每个公司的业务系统不一,再造一个模拟系统,在技术上要求很高,成本也高。这就需要企业权衡和选择不同的防守策略和方式。
4.防护无死角,S(社交)M(移动)T(物联网)都需要考虑。
这一点要求守方要预先准备对应方案,适时预判。但比较麻烦的是,大部分安全公司做传统 IT,在物联网领域了解不多,尤其是工控领域,对安全理解不太多,这是一大挑战。
叶晓虎最后总结了最重要的秘籍:
1.整个安全行业,连接和共享才能快速响应。2.整个安全需要持续运营,它不是静态的,某个时间点的安全不能说明什么,需要持续投入。3.从安全角度来说,检测比防护更重要,要知道企业安全态势。4.人工智能和机器智能是防守方技术层面最重要的手段。提高效率,才能做得更好。
【叶晓虎(被同事称为“虎博”、“虎博士”)摆了两款pose,是不是跟你想象中严肃的安全守卫者形象不一样?】