2016年 Mar月 16日
卡巴斯基反针对性攻击(KATA)平台
去年春天(2015年),我们发现了Duqu 2.0 –一种高度专业化、成本昂贵且具有间谍功能的网络攻击。其背后很可能存在政府资助。我们是在测试卡巴斯基反针对性攻击(KATA)平台时发现的–我们的安全解决方案能有效防御类似Duqu 2.0这样复杂的针对性攻击。
而现在过了一年,我可以自豪地宣布:万岁!!该产品目前已正式上线并随时准备与针对性攻击战斗到底!
但首先,请让时光倒流,让我们告诉你事情是如何发展到这一地步–为什么我们会遭到背后有政府支持的网络监控以及我们想出一些特殊安全保护措施的原因。
(对于那些不愿深究原因而直接想得到答案的读者–请点击这里。)
我想许多人都听过《The good old days》这首歌,这仿佛让我们感觉过去的一切都是如此的美好。仿佛过去的音乐更好听、社会更平等、街道更安全、啤酒也更好喝,似乎无论什么都要比现在的好。的确,过去有些事情确实比现在更好;比如过去查杀网络病毒相对比现在要想对容易些。
当然,在当时我并不是这么认为。我们每天都在超负荷工作,一周7天都感觉不够用,所有时间都用在了查杀病毒上。每个月(有时甚至频率更高)都会出现全球范围的蠕虫病毒爆发,但每次我们都认为情况应该不会再比这个更糟。现在想想当时是如此的”天真”…
在本世纪初的时候,编写网络病毒还只是学生和网络流氓的专利。他们既没有明确的目的也没有能力创造出危害性巨大的病毒,因此每次病毒爆发往往只需几天的时间就可以彻底”清除”–通常使用的是一些主动方法。他们没有创造任何”庞然大物”的动力;他们这样做只是在玩腻了《毁灭战士》和《毁灭公爵》后的消遣娱乐而已:)。
2005年前后,随着大量资金涌入互联网,以及能将从发电站到mp3播放器在内的大小设备和设施连到互联网的技术的出现,专业网络犯罪团伙开始登上历史舞台,大肆在互联网上搜寻”猎物”,而”网络情报服务部队”也借助当时最新的技术开始在互联网上执行各种任务。这类群体有着清晰的动机、有效的方法和丰富的专知,能创造出真正复杂的恶意软件,并能躲避安全检测进而实施真正复杂的攻击。
也就是在这段时间…’反病毒程序再也无力抵抗’:传统的保护方法无法维持在有效的安全水平。军备竞赛–一切以破坏力量为衡量标准的现代模式就此展开–无论是攻击方还是防御方都跃跃欲试。网络攻击从此在目标选择方面更具针对性,更为隐秘也更加高级了许多。
与此同时,’基础的’反病毒软件(当时离所谓真正反病毒软件还相差甚远)”进化”成了复杂的多组件系统,不仅具有多级保护功能,还加入了各种不同的保护技术。高级企业安全系统也拥有了各种”强大武器”,用于企业边界控制和检测入侵病毒。
但无论这些安全方法是如何强大,对于大型企业总会存在一个小但却致命的缺陷:几乎不会主动检测最专业的针对性攻击 –利用采用特殊社交工程和零日漏洞的恶意软件的攻击。而这些恶意软件常被安全技术所忽略。
我所说的网络攻击是经过数月乃至数年精心策划,不仅由顶尖专家直接参与,还拥有高预算资金,有时甚至还得到政府的支持。像这样的网络攻击有时甚至潜伏了多年之久;例如,我们于2014年发现的Equation攻击,其实早在1996年就已出现!
无论是银行、政府、重要基础设施和制造工厂–成千上万来自各个领域的大型组织,其所有制也各不相同(基本上来说组成了当今世界的经济秩序)–但事实证明所有这些组织均容易遭受这些超级专业威胁的攻击。同时从这些攻击目标盗取的数据、资金和知识产权也越来越多。
那我们是如何应对的呢?被迫接受这些不断出现的超级威胁是现代人类生活的一部分?并放弃抵抗这些针对性攻击?
绝不可能。
任何可能遭攻击的设备或设施–无论攻击方式有多么复杂–只要愿意付出时间和精力专注于开发安全保护措施,都能将安全保护能力提升至一个很高的水平。尽管世上并无100%绝对安全的保护措施,但却能够努力达到最高保护程度,其复杂程度让网络攻击者在经济上根本难以承受:”高高耸立的安全围栏”最终使得入侵者望而却步,最终放弃投入巨大资源实施攻击,转而寻找其他安全保护能力较弱的受害人。当然,也有例外情况发生,尤其是为政治目的而攻击某个受害人;无论安全保护能力有多强大,最终的胜利终究将属于网络攻击者;但我们也绝没有理由轻而易举地就放弃抵抗。好吧,历史课就到这里结束了,正式开始我们上面提到的本文主题…
好吧,历史课就到这里结束了,正式开始我们上面提到的本文主题…
那到底什么才是KATA,其工作方式如何,研发成本又是多少呢?首先,我们将对针对性攻击的概念稍作介绍…
针对性攻击总是有其独特之处:针对特定组织或个人的网络攻击。
针对性攻击一旦成功实施,其背后的不法分子将小心收集攻击目标的各种信息,即使是些细枝末节也毫不放过–衡量攻击是否最终成功的条件是资金预算是否能支持最终完成信息收集。在这一过程中,将会对所有的目标个人进行监控和分析:包括他们的生活方式、家人和兴趣爱好等等。如攻击目标是企业的话,则会对企业网络的结构进行详细分析。根据所需收集的信息,选择适合的攻击策略。
接下来,(i)渗透入网络并以最大权限获取远程(且不能被检测出)访问权。随后,(ii)病毒感染重要基础设施节点。最后,(iii)’投弹完毕!’:盗取或摧毁数据,破坏企业工艺或其它可能成为攻击目标的设施或设备,当然巧妙掩盖自己的踪迹也同样重要,如此攻击背后的主谋将依然能隐匿自己的真实身份。
无论是动机、各种准备和执行阶段的持续时间、攻击途径、渗透技术还是恶意软件本身–都可谓与众不同。但无论每次攻击是如此独一无二,却都存在致命的弱点。通常至少会引起一些微小但却能察觉到的变化(网络活动、文件和其它目标的某些行为等等)、异常行为及异常网络活动等。因此需要观察整体情况 –事实上整体情况由网络的多个来源形成–因此完全可以检测出黑客入侵活动。
为收集有关异常现象的数据进而评估整体情况,KATA采用了传感器–特殊的’电子代理’–能持续不断分析工作站和服务器的IP/web/电邮流量和事件。
例如,我们采用TAP/SPAN拦截IP流量(HTTP(s)、FTP和DNS);web传感器能通过ICAP与代理服务器集成;电邮传感器则通过 POP3(S)附加到电邮服务器。代理所占空间极小(Windows系统中,只占15 MB空间),能与其它安全软件相兼容,因此不会对网络或端点资源造成任何影响。
所有收集的数据(对象和元数据)随后被传输到分析中心,采用各种方法(沙盒,反病毒程序扫描和调整TARA规则、检查文件和URL真实性以及漏洞扫描等。)进行处理并整理归档。此外,还可以将系统接入我们的KSN云端,或进行内部保存–采用内部KpSN复制版则兼容性更佳。
一旦评估出整体安全情况,则进入下一个步骤!KATA在发现可疑活动后会告知管理员和SIEM(Splunk、Qradar和ArcSight)有关检测到的不安全情况。更出色的是–系统工作的时间越长和收集有关网络的数据越多,则检测出的效果越佳,即使是非典型行为也能轻松发现。
有关KATA工作方式的更详细内容…可以从这里找到。
对了;差点忘了…这一切的成本到底有多少呢?
事实上,答案并不是那么三言两语就能概括的。服务的价格取决于许多因素,包括企业网络的规模大小和拓扑结构、解决方案的配置方式以及其他相关服务的数量。但有一点非常明确:如果与防止潜在网络危害比起来,那这点成本几乎微不足道。
