張富華 普 鋼 張 睿 汪林嬌

（1.云南電網(wǎng)有限責(zé)任公司 云南 650011；2.云南云電同方科技有限公司 云南 650217）

0 引言

根據(jù)目前網(wǎng)絡(luò)空間的發(fā)展情況可以看到，APT攻擊由于具備攻擊的復(fù)雜性、針對性、長期性和隱蔽性，從而使其成為最佳的網(wǎng)絡(luò)攻擊武器。而電力行業(yè)因在國民生產(chǎn)生活中的關(guān)鍵性和重要性，則被動成為APT攻擊的最佳目標(biāo)。

APT攻擊對電力行業(yè)所造成的安全威脅是顯而易見的。其中包括直接造成發(fā)電企業(yè)停止運(yùn)轉(zhuǎn)，區(qū)域內(nèi)大規(guī)模停電，嚴(yán)重影響國民生產(chǎn)生活。對電力運(yùn)營企業(yè)而言，則可能導(dǎo)致電力運(yùn)營數(shù)據(jù)的泄露，間接導(dǎo)致國家生產(chǎn)經(jīng)濟(jì)數(shù)據(jù)的泄露以及用戶身份信息的泄露。此外由于今年來APT攻擊還存在著以徹底破壞為目的的攻擊方式，因此對于電力行業(yè)而言，如果發(fā)生此類行為而導(dǎo)致生產(chǎn)經(jīng)營中關(guān)鍵系統(tǒng)、系統(tǒng)配置信息、生產(chǎn)經(jīng)營數(shù)據(jù)信息的刪除或損壞，即便相關(guān)企業(yè)具備相應(yīng)的安全災(zāi)備措施，但由于電力行業(yè)的復(fù)雜性、關(guān)聯(lián)性和龐大性，該攻擊也勢必造成生產(chǎn)經(jīng)營的嚴(yán)重?fù)p失，產(chǎn)生巨大的社會負(fù)面影響。

因此，對于電力行業(yè)而言，必須要加強(qiáng)和重視APT攻擊，切實(shí)通過相關(guān)的管理及技術(shù)措施提高對 APT攻擊的安全防護(hù)能力。

1 某電力企業(yè)APT防護(hù)安全現(xiàn)狀分析

本項(xiàng)目據(jù)APT攻擊鏈路模型，從APT攻擊鏈路模型的七個階段（情報收集階段、攻擊進(jìn)入階段、命令與控制階段、橫向擴(kuò)展階段、資產(chǎn)/資料發(fā)掘階段、資料竊取階段、潛伏與撤離階段）梳理出各個階段過程中的信息安全應(yīng)對措施。通過組對某電網(wǎng)公司信息安全防護(hù)安全現(xiàn)狀進(jìn)行了實(shí)地調(diào)研并根據(jù)APT防護(hù)措施進(jìn)行了針對性的安全現(xiàn)狀分析。

經(jīng)過評估，某電力企業(yè)經(jīng)過多年持續(xù)的信息安全建設(shè)已基本建立較為全面的信息安全管理防護(hù)體系。其中管理制度相對較全，具備了網(wǎng)絡(luò)邊界防護(hù)、主機(jī)終端防護(hù)、網(wǎng)絡(luò)準(zhǔn)入防護(hù)、漏洞補(bǔ)丁管理、數(shù)據(jù)加密、安全審計等安全防護(hù)技術(shù)手段，但面對APT攻擊時仍然存在以下問題。

1.1 信息收集階段的安全防護(hù)現(xiàn)狀

由于攻擊者首先會鎖定某一內(nèi)部員工作為潛在受害者，一方面，通過社交網(wǎng)站，如微博、博客等，廣泛搜集其信息，包括了解其興趣愛好，愛逛的網(wǎng)站，朋友圈，甚至于受害者平時的行為模式等；另一方面，會盡量搜集其所使用的全部電子設(shè)備，包括PC、手機(jī)、路由器、智能電器，甚至于智能插座、體重計等的型號，操作系統(tǒng)的類型和版本、辦公軟件的類型和版本、工作網(wǎng)絡(luò)環(huán)境的情況以及所安裝的移動應(yīng)用等各種IT信息存在的漏洞。目前相關(guān)信息并未列為敏感信息，因此員工在這些方面的安全意識有待加強(qiáng)。

1.2 攻擊進(jìn)入階段的安全防護(hù)現(xiàn)狀

根據(jù)收集到的信息，利用當(dāng)前系統(tǒng)或已安裝應(yīng)用軟件、常去網(wǎng)站存在的漏洞，包括已發(fā)布的，或者尋找尚未發(fā)布的0day漏洞，再結(jié)合當(dāng)前設(shè)備所安裝的殺毒軟件以及其他檢測工具版本所使用的漏洞庫，將滲透工具進(jìn)行免殺處理，從而繞過安全防御系統(tǒng)的檢測。目前現(xiàn)有的殺毒軟件基本難以防御此類攻擊，安全審計系統(tǒng)由于缺少數(shù)據(jù)來源也無法發(fā)現(xiàn)相關(guān)問題，導(dǎo)致個人終端極易被攻破。

1.3 命令與控制階段的安全防護(hù)現(xiàn)狀

攻擊者獲取個人終端控制權(quán)后，將采取措施維持控制權(quán)，通常采用僵尸網(wǎng)絡(luò)。目前僵尸網(wǎng)絡(luò)已出現(xiàn)各種加密通信信道、利用現(xiàn)有協(xié)議冗余字段進(jìn)行控制，以避免 IDS、防火墻或其他方式的網(wǎng)絡(luò)偵聽。在這種形勢下，缺少網(wǎng)絡(luò)流量異常分析工具，將難以檢測到終端被控事件。

1.4 橫向擴(kuò)展與資料發(fā)掘階段的安全防護(hù)現(xiàn)狀

在受害人被控制后，攻擊者會不斷搜集其計算機(jī)里的資料，通過訪問通訊錄等功能，輕易獲取目標(biāo)網(wǎng)絡(luò)中更多的受害者。當(dāng)攻擊者獲得足夠多信息的時候，在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計算機(jī)，就會利用受害者社交或辦公賬戶向更近的目標(biāo)，采用社會工程學(xué)、0Day工具、Pass the Hash以及暴力法等手段獲取管理員權(quán)限。而目前單位防御體系注重網(wǎng)絡(luò)邊界防護(hù)，對內(nèi)部的防護(hù)和審計相對較弱，雖然企業(yè)啟用了運(yùn)維堡壘機(jī)，但攻擊者可以通過正常用戶的訪問方式長期、少量的發(fā)掘資料。

1.5 資料竊取階段的安全防護(hù)現(xiàn)狀

在資料竊取階段，攻擊者主要在發(fā)掘自己有用的數(shù)據(jù)，緊接著，通過控制的客戶端，分布式地使用合法加密的數(shù)據(jù)通道、Tor 匿名網(wǎng)絡(luò)甚至基于時間的隱蔽信道等隱蔽、長期的把偷竊到的數(shù)據(jù)上傳到控制服務(wù)器，完全繞開了企業(yè)的安全審計和安全設(shè)備的保護(hù)。

1.6 潛伏/撤離階段的安全防護(hù)現(xiàn)狀

在潛伏階段，攻擊者為躲避安全設(shè)備檢測或反病毒軟件檢測，往往采用反向控制手段，由受控端定期檢測某看似合法的服務(wù)器，獲取進(jìn)一步指令。更有甚者，利用了虛擬機(jī)沙盒檢測技術(shù)，在檢測到上述環(huán)境后會自動銷毀或完全停止運(yùn)行，從而達(dá)到長期潛伏或撤離的目的。目前在惡意代碼檢測和網(wǎng)絡(luò)異常檢測方面都沒有較好的防御手段。

綜上所述，現(xiàn)有安全制度與技術(shù)的不足，給APT防護(hù)工作帶來極大困難。

2 電力企業(yè)APT防護(hù)安全策略研究

2.1 安全策略設(shè)計思路

2.1.1 立足實(shí)際、查缺補(bǔ)漏

APT攻擊是目前世界上各國政府、各大企業(yè)以及信息安全界非常關(guān)注的一個信息安全熱點(diǎn)，對于APT攻擊的研究和防護(hù)建設(shè)目前仍處在研究、跟蹤和不斷改進(jìn)的過程中。因此在設(shè)計方案時需要對企業(yè)的信息安全現(xiàn)狀進(jìn)行深入調(diào)研和全面理解，仔細(xì)認(rèn)真評估現(xiàn)有安全措施在應(yīng)對 APT攻擊情況下的安全防護(hù)不足和防護(hù)效果。根據(jù)評估情況有針對性的提出安全解決方案。安全防護(hù)設(shè)計方案應(yīng)盡量不對企業(yè)現(xiàn)有的網(wǎng)絡(luò)架構(gòu)做出重大改變，設(shè)計產(chǎn)品在提高整體安全性的同時應(yīng)不影響企業(yè)業(yè)務(wù)應(yīng)用的習(xí)慣性、可靠性和可用性。

2.1.2 管理為輔，技術(shù)為主

APT本身一種高級的信息安全威脅行為，已發(fā)現(xiàn)的攻擊案例多次證明這是一種以利用復(fù)雜技術(shù)手段為主的信息安全綜合攻擊行為，常見的安全技術(shù)手段在APT攻擊面前防護(hù)效果不明顯，甚至有些形同虛設(shè)。在被曝光的伊朗核電站、美國RSA公司的案例中可以看到這些組織都有嚴(yán)格的安全管理制度，但是安全管理制度在執(zhí)行中存在未嚴(yán)格執(zhí)行的情況，而更為嚴(yán)重的是缺乏相應(yīng)的技術(shù)防護(hù)措施。因此在APT的解決方案設(shè)計中應(yīng)該采用三分管理、七分技術(shù)的策略。一方面應(yīng)強(qiáng)化信息安全管理制度的執(zhí)行和檢查；而另一方面則應(yīng)將防護(hù)重點(diǎn)集中在先進(jìn)的技術(shù)安全防護(hù)措施上，通過增加和加強(qiáng)現(xiàn)有安全防護(hù)技術(shù)手段來應(yīng)對APT威脅。

2.2 安全管理策略

2.2.1 定期開展社會工程學(xué)的安全培訓(xùn)與安全測試

APT攻擊在對目標(biāo)對象發(fā)起攻擊的過程中，往往采取精心設(shè)計的社會工程學(xué)陷阱，誘騙被攻擊者打開惡意文件、點(diǎn)擊惡意連接網(wǎng)站或者告知敏感信息。因?yàn)槿说囊蛩厥切畔踩凶顬楸∪醯囊粋€環(huán)節(jié)，從而使得利用社會工程學(xué)的威脅攻擊行為具備事半功倍的效果。因此在防護(hù)APT的攻擊過程中，需要持續(xù)不斷的、定期的對所屬員工開展社會工程學(xué)的安全培訓(xùn)，使員工建立和鞏固對社會工程學(xué)的安全防護(hù)意識，讓攻擊者無機(jī)可乘。

此外為了檢測員工對社會工程學(xué)的防護(hù)意識和防護(hù)效果，可以通過第三方公司或自行組織適時開展進(jìn)行社會工程學(xué)的安全測試或安全演練。安全測試和演練的內(nèi)容應(yīng)包括但不限于以下：

（1）測試員工對未知郵件的打開反應(yīng)；

（2）測試員工對未知網(wǎng)絡(luò)連接的點(diǎn)擊反應(yīng)；

（3）測試員工對未知移動介質(zhì)的使用反應(yīng)；

（4）測試員工對未知電話通話的接聽反應(yīng)；

（5）測試員工對未知即時通訊的通信反應(yīng)；

（6）測試員工對未知可疑人員的關(guān)注反應(yīng)。

2.2.2 加強(qiáng)員工網(wǎng)絡(luò)行為規(guī)范管理

由于網(wǎng)絡(luò)行為訪問管理規(guī)范的缺失，員工在訪問互聯(lián)網(wǎng)的時候缺乏安全指導(dǎo)和行為約束，因此在實(shí)際工作中極有可能點(diǎn)擊了由于APT攻擊者精心偽造的包含惡意代碼的網(wǎng)站；打開了包含惡意代碼的文件和郵件；在網(wǎng)絡(luò)中私自使用代理無線WIFI等，給企業(yè)帶來了安全威脅。

因此建議企業(yè)加強(qiáng)員工網(wǎng)絡(luò)行為的管理，通過制定網(wǎng)絡(luò)行為管理規(guī)范，引導(dǎo)員工樹立安全、健康的網(wǎng)絡(luò)訪問意識，規(guī)范員工安全、合理的使用互聯(lián)網(wǎng)資源。

網(wǎng)絡(luò)行為管理規(guī)范的內(nèi)容應(yīng)包含但不限于以下：

（1）合理使用網(wǎng)絡(luò)資源；

（2）注重個人信息保護(hù)；

（3）積極、健康的互聯(lián)網(wǎng)訪問；

（4）安全的互聯(lián)網(wǎng)訪問；

（5）瀏覽器的安全設(shè)置；

（6）下載文件或電子郵件的安全鑒別；

（7）知識產(chǎn)權(quán)、軟件版權(quán)的保護(hù)和使用。

2.2.3 完善電力安全基線內(nèi)容

近年來，各單位均制定和頒發(fā)了符合自身實(shí)際及需求的安全基線。安全基線的制定和執(zhí)行不僅有力的提高了企業(yè)整體的安全防護(hù)能力，而且對IT系統(tǒng)而言也較好提高了對APT的攻擊防護(hù)效果。

然而，由于不少APT攻擊者常利用互聯(lián)網(wǎng)網(wǎng)站誘騙受害者訪問虛假網(wǎng)站，執(zhí)行包含惡意代碼的web插件，使受害者終端感染惡意代碼并為下一步攻擊行為埋下伏筆。目前主流的終端瀏覽器，如IE、Firefox、Chrome、Safari、Opera等都具備相應(yīng)的安全功能并可進(jìn)行相應(yīng)安全設(shè)置。如用戶開啟使用安全功能及進(jìn)行安全設(shè)置后，則可以提高網(wǎng)絡(luò)訪問的安全性，一定程度上降低APT攻擊的成功概率。可以參考美國FDCC規(guī)范并結(jié)合以上主流瀏覽器廠家的安全配置建議，增補(bǔ)桌面終端關(guān)于瀏覽器的安全配置基線。

終端瀏覽器安全配置基線的內(nèi)容應(yīng)包含但不限于以下：

（1）網(wǎng)絡(luò)安全區(qū)域的安全級別設(shè)置；

（2）Net Framework的設(shè)置使用；

（3）ActiveX的控件和插件使用；

（4）腳本程序的使用；

（5）Cookie的設(shè)置使用；

（6）證書的設(shè)置使用；

（7）用戶身份驗(yàn)證；

（8）文件下載的使用設(shè)置。

2.2.4 加強(qiáng)終端補(bǔ)丁管理

在APT攻擊過程中，員工個人終端往往是APT攻擊漏洞利用的直接對象，也是終端控制攻擊得手后進(jìn)行惡意代碼擴(kuò)散和展開后繼攻擊行為的內(nèi)部源頭。

企業(yè)應(yīng)加強(qiáng)對桌面終端的補(bǔ)丁管理，定期對所有終端的補(bǔ)丁更新情況進(jìn)行檢查和督促，增加APT攻擊防護(hù)過程中桌面終端這一安全環(huán)節(jié)的防護(hù)能力。

2.3 安全技術(shù)防護(hù)策略

2.3.1 未知惡意代碼檢測防護(hù)策略

未知惡意代碼檢測防護(hù)系統(tǒng)的不依賴傳統(tǒng)的簽名檢測技術(shù)，而是基于先進(jìn)的動態(tài)檢測技術(shù)，即基于沙箱虛擬執(zhí)行的方式。根據(jù)軟件在虛擬環(huán)境中的代碼行為特征進(jìn)行實(shí)時分析，來判斷是否存在攻擊特征，這種檢測方式不需龐大的檢測簽名庫，同時檢測已知和未知威脅，并且可以防止各種針對靜態(tài)檢測的逃避技術(shù)。目前該檢測方式是高級可持續(xù)威脅監(jiān)測最有效的技術(shù)。

除此之外未知惡意代碼檢測防護(hù)系統(tǒng)還可集成其他多種已知威脅檢測技術(shù)幫助系統(tǒng)更為全面的檢測已知、未知惡意軟件。這些已知威脅檢測技術(shù)包括she11code的智能識別、AV檢測和基于漏洞的靜態(tài)檢測。

2.3.2 終端安全防護(hù)策略

對于 APT攻擊來說，攻擊控制終端是攻擊的最終落地環(huán)節(jié)，之后的所有攻擊步驟，包括內(nèi)部網(wǎng)絡(luò)擴(kuò)散、資料竊取和回傳都依賴于該環(huán)節(jié)的成功與否。因此通過部署使用終端安全防護(hù)軟件是APT攻擊防護(hù)的一個關(guān)鍵手段和步驟。

2.3.3 開展網(wǎng)絡(luò)異常行為分析

由于APT攻擊多利用0Day漏洞，未知惡意代碼，因此在實(shí)際中未知惡意代碼檢測防護(hù)系統(tǒng)和終端安全防護(hù)軟件很難做到百分之百的安全檢測和實(shí)時清除。一旦由于未知惡意代碼檢測防護(hù)系統(tǒng)以及終端安全防護(hù)軟件未能識別和清除惡意代碼，導(dǎo)致惡意代碼已攻入電網(wǎng)網(wǎng)絡(luò)內(nèi)部，那么網(wǎng)絡(luò)異常行為分析系統(tǒng)將是發(fā)現(xiàn)和阻斷APT攻擊行為的另一個關(guān)鍵技術(shù)手段。

網(wǎng)絡(luò)異常行為檢查系統(tǒng)需具備擴(kuò)寬的檢測時間域，對網(wǎng)絡(luò)中的全流量數(shù)據(jù)進(jìn)行存儲分析。這樣在檢測到可疑行為時，可以回溯與攻擊行為相關(guān)的歷史流量數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析。之前已發(fā)生過、未能引起分析人員注意的報警，有可能隱藏著蓄意攻擊意圖，通過這種回溯關(guān)聯(lián)分析就有可能進(jìn)行有效識別。有了全流量的存儲，就有可能回溯到任意歷史時刻，采用新的檢測特征和檢測技術(shù)，對已發(fā)生的流量進(jìn)行任意粒度的分析。對流量數(shù)據(jù)進(jìn)行細(xì)粒度協(xié)議解析和應(yīng)用還原，通過大數(shù)據(jù)挖掘技術(shù)建立業(yè)務(wù)應(yīng)用場景、攻擊場景和關(guān)聯(lián)知識庫，精確識別異常行為以及偽裝成正常業(yè)務(wù)的攻擊行為。

此外，該系統(tǒng)應(yīng)具備和 SIEM（安全信息事件管理系統(tǒng)）或SOC（安全運(yùn)維中心）進(jìn)行方便集成的功能，從而完善網(wǎng)絡(luò)數(shù)據(jù)的收集范圍。系統(tǒng)應(yīng)具備文件類型、內(nèi)容的分析識別以及Sand-Boxing（沙箱）模擬運(yùn)行監(jiān)測技術(shù)提高網(wǎng)絡(luò)行為的安全甄別能力。

2.3.4 部署網(wǎng)絡(luò)蜜罐系統(tǒng)

APT攻擊是一種綜合攻擊方式，因此對其實(shí)施的安全防護(hù)場景應(yīng)從整個攻擊鏈來的角度進(jìn)行綜合考慮。在APT的資料收集/竊取階段中，攻擊者需要操縱客戶端對網(wǎng)絡(luò)內(nèi)部資源進(jìn)行手工或自動化的搜索、探尋及嘗試登陸控制等一系列行為。如何在海量的網(wǎng)絡(luò)信息背景中有效偵測此類探測活動，準(zhǔn)確捕獲攻擊的源頭、使用的手段，攻擊的目標(biāo)就顯得尤為重要。盡管日志類網(wǎng)絡(luò)安全審計系統(tǒng)可以審計到一些登錄訪問的日志，但是一個專門設(shè)置的蜜罐系統(tǒng)（誘捕系統(tǒng)），因?yàn)槠涫瞧髽I(yè)內(nèi)部已知的系統(tǒng)，在正常情況下內(nèi)部人員或終端不會對其進(jìn)行訪問，而只有惡意攻擊者才會去嘗試對其進(jìn)行訪問并展開攻擊行為。因此其工作效率和準(zhǔn)確性與日志類安全審計系統(tǒng)相比則效率更高、準(zhǔn)確性更佳。總體而言，蜜罐系統(tǒng)對于網(wǎng)絡(luò)審計系統(tǒng)來說是一種有益和有效的補(bǔ)充，且本質(zhì)上，蜜罐系統(tǒng)也屬于網(wǎng)絡(luò)審計系統(tǒng)的一類。

2.3.5 定期開展?jié)B透測試

盡管滲透測試是一項(xiàng)嚴(yán)重依賴于滲透測試人員技巧的安全技術(shù)措施，但是滲透測試由于是人工行為，因此更能真實(shí)的反映黑客的攻擊行為。通過滲透測試可以幫助安全運(yùn)維人員發(fā)現(xiàn)一些疏漏的安全環(huán)節(jié)，幫助安全運(yùn)維人員更好的理解黑客攻擊路徑、攻擊方式和攻擊工具。因此滲透測試在某些場合中是一種有效的安全手段。

一些 APT攻擊行為在攻擊過程中也并非全部采用完全未知的安全漏洞和惡意代碼，相反是一些廠家早已公布和驗(yàn)證的漏洞及惡意代碼。只不過因?yàn)楣粽咦鲎懔饲捌诘男畔⑹占虼斯羧匀痪邆溽槍π院陀行浴?/p>

定期開展?jié)B透測試在應(yīng)對APT攻擊的過程中仍然是一個值得投入的安全舉措。當(dāng)然在開展?jié)B透測試的過程中應(yīng)具備針對性，以模擬APT攻擊為主要測試方式，這樣的滲透測試才更有效果。

3 結(jié)束語

上述安全策略盡管做了較全面的考慮，但仍然存在一些技術(shù)難題尚未解決，例如檢測效率不高、效果不好等，需要針對性的開展相關(guān)研究。

（1）工業(yè)控制系統(tǒng)安全防護(hù)技術(shù)研究；

（2）隱蔽信道檢測。

[1]翟立東,李躍,賈召鵬等.融合網(wǎng)絡(luò)空間的APT威脅檢測與防護(hù)[J].信息網(wǎng)絡(luò)安全.2013.

[2]吳迪,連一峰,陳愷等.一種基于攻擊圖的安全威脅識別和分析方法[J].計算機(jī)學(xué)報.2012.

[3]張之碩.郵箱服務(wù)器 APT攻擊檢測與防御工具的設(shè)計及實(shí)現(xiàn)[D].南京大學(xué).2013.

[4]郎夙.基于威脅分析的電力信息網(wǎng)風(fēng)險態(tài)勢評估和預(yù)測[D].華北電力大學(xué).2012.

[5]程葉霞,姜文,薛質(zhì)等.基于攻擊圖模型的多目標(biāo)網(wǎng)絡(luò)安全評估研究[J].計算機(jī)研究與發(fā)展.2012.

[6]章翔凌,王歡.基于白名單技術(shù)構(gòu)建主動防御體系[J].信息網(wǎng)絡(luò)安全.2013.

[7]杜偉奇,王平,王浩.工業(yè)控制系統(tǒng)中安全威脅分析與策略[J].重慶郵電大學(xué)學(xué)報：自然科學(xué)版.2005.

[8]陳劍鋒,王強(qiáng),伍淼.網(wǎng)絡(luò) APT 攻擊及防范策略[J].信息安全與通信保密.2012.