肖新光

(北京安天網(wǎng)絡(luò)安全技術(shù)有限公司，北京 100195)

0 引言

習(xí)近平總書記在4·19講話中曾指出“網(wǎng)絡(luò)安全是動(dòng)態(tài)的、不是靜態(tài)的”，在一個(gè)動(dòng)態(tài)的博弈體系中，并不是簡(jiǎn)單地依靠防御者的安全想象，而是基于雙方在持續(xù)的高度對(duì)抗和變化中所能產(chǎn)生的能力。在此背景下，就意味著攻擊者會(huì)有更多的對(duì)防御方能力的預(yù)測(cè)、繞過和干擾手段，而相應(yīng)也需要采用一系列的方式進(jìn)行對(duì)抗。

1 傳統(tǒng)的威脅對(duì)抗以及場(chǎng)景

1.1 載荷檢測(cè)對(duì)抗

從整體上來看，載荷檢測(cè)應(yīng)該在安全檢測(cè)防御中居于核心位置，因?yàn)闊o論是怎樣的安全威脅，最終都要轉(zhuǎn)化為目標(biāo)側(cè)的實(shí)際動(dòng)作，而這是要依靠相應(yīng)的代碼來完成的。對(duì)于動(dòng)作代碼、惡意代碼或者第三方工具的檢測(cè)，最終將構(gòu)成彈頭(Payload，載荷)檢測(cè)模塊。傳統(tǒng)的載荷檢測(cè)對(duì)抗是依靠檢測(cè)引擎進(jìn)行的，檢測(cè)引擎是依靠歸一化的方式設(shè)計(jì)的，而傳統(tǒng)的針對(duì)載荷檢測(cè)的對(duì)抗主要是試圖不被檢測(cè)分支中的配套規(guī)則命中，或者是穿透檢測(cè)引擎的歸一化方式，使得相應(yīng)的載荷不能夠匹配到有效的分支之上。其他方式還包括使傳統(tǒng)的主動(dòng)防御和檢測(cè)機(jī)制失能的各種操作，比如，大量的KillAV(反制殺毒)樣本。

1.2 主機(jī)系統(tǒng)場(chǎng)景

傳統(tǒng)對(duì)抗的第二個(gè)思路是使整個(gè)載荷無法被安全產(chǎn)品的IO能力獲取，既然無法被獲取，也就無所謂能否進(jìn)入到相應(yīng)的格式先導(dǎo)和檢測(cè)分支之中。在主機(jī)上，通常把這種技術(shù)稱為Rootkit。

1.3 網(wǎng)絡(luò)側(cè)逃逸

AET(Advanced Evasion Technique，高級(jí)逃逸技術(shù))引發(fā)熱議，在網(wǎng)絡(luò)側(cè)的對(duì)抗中，除了針對(duì)網(wǎng)絡(luò)側(cè)檢測(cè)引擎的檢測(cè)規(guī)則和檢測(cè)分支的歸一化穿透以外，其他的加密、偽裝、夾帶、分片等手段使得整個(gè)檢測(cè)機(jī)制無法獲得完整的、直接的監(jiān)測(cè)對(duì)象。

1.4 對(duì)能力點(diǎn)和能力閉環(huán)的攻擊

傳統(tǒng)的攻擊點(diǎn)更多的是圍繞著免殺、隱蔽、逃逸和直接對(duì)抗展開的，但今天，整個(gè)攻擊方在“大玩家入場(chǎng)”后，特別是在國家行為體、政經(jīng)集團(tuán)和高能力的黑產(chǎn)犯罪團(tuán)伙介入之后，實(shí)際上具備了無與倫比的建設(shè)自身攻擊基礎(chǔ)設(shè)施和承擔(dān)攻擊成本的能力。此時(shí)，整體上可攻擊和可對(duì)抗的環(huán)節(jié)，就不止于用戶側(cè)的能力環(huán)節(jié)，而包括“從安全廠商的支撐能力，到用戶的能力下行，再到用戶側(cè)的感知數(shù)據(jù)上行”的大閉環(huán)。在針對(duì)廠商的攻擊方面，可以看到已經(jīng)有大量的對(duì)威脅情報(bào)的擾動(dòng)，包括類似Ququ(毒曲)2.0直接向卡巴斯基進(jìn)行相應(yīng)攻擊滲透的事件；在整個(gè)安全廠商和用戶側(cè)的能力互動(dòng)中，還可以看到NSA的CamberDADA計(jì)劃以及其他的一些相應(yīng)事件。

圖1 “方程式”組織主機(jī)作業(yè)模塊積木圖

1.5 攻擊裝備針對(duì)主動(dòng)防御、物理隔離的穿透

在這種可以承擔(dān)高成本的攻防對(duì)抗中，攻擊方如何理解、預(yù)測(cè)和突破防御方的能力？在針對(duì)“方程式”組織的第四篇分析報(bào)告[1]中，安天繪制了“方程式組織主機(jī)作業(yè)模塊積木圖”，實(shí)際上是把“方程式”組織的主機(jī)作業(yè)模塊拼成了一個(gè)積木圖：

從中可看到“方程式”組織對(duì)主機(jī)作業(yè)的理解是，對(duì)所有操作形成原子化模塊，即要最大限度地把相同的功能分離到不同的DLL上(有可能在實(shí)際場(chǎng)景中是通過內(nèi)存加載的)，要最小化地觸發(fā)其在主機(jī)側(cè)的動(dòng)作。目前來看，這組能力大概是在2005至2008年期間列入到NSA裝備系列中的，實(shí)際上其是針對(duì)當(dāng)時(shí)主防系統(tǒng)基于行為加權(quán)思路所建立的一種機(jī)制。完成這種“原子”操作的模塊，是不足以達(dá)到行為加權(quán)的閾值以觸發(fā)主防系統(tǒng)攔截的。這種對(duì)于主動(dòng)防御的穿透實(shí)際上并不是簡(jiǎn)單的對(duì)規(guī)則層面的穿透，而是對(duì)主動(dòng)防御原理層面的穿透。

1.6 攻擊者的感知覆蓋和能力前出

強(qiáng)調(diào)態(tài)勢(shì)感知的同時(shí)，需要看到另外一個(gè)問題——攻擊方也同樣在做防御方是否已經(jīng)感知到了其相應(yīng)能力的反感知設(shè)備。CamberDADA計(jì)劃實(shí)際上是NSA始于2007年的一個(gè)計(jì)劃，以卡巴斯基為主要目標(biāo)，并在全球計(jì)劃監(jiān)控23家安全廠商(安天成為其中唯一的一家中國廠商)。如果把其為了建立相應(yīng)能力而針對(duì)卡巴斯基所涉及到的一些對(duì)象做一個(gè)列表(如圖2)，其中，包括俄羅斯的電信運(yùn)營商；其最終所關(guān)注的攻擊目標(biāo)，比如，俄羅斯國防產(chǎn)品出口公司、信息與分析技術(shù)研究所；俄羅斯的一些基礎(chǔ)軟件產(chǎn)品廠商，也就是說該計(jì)劃可以在其中進(jìn)行供應(yīng)鏈植入。

圖2 CamberDADA計(jì)劃所涉及到的部分對(duì)象和攻擊目標(biāo)

在此過程中，該計(jì)劃實(shí)際上并非通過入侵卡巴斯基而得知卡巴斯基是否已經(jīng)感知其攻擊的，而是發(fā)現(xiàn)了用戶與安全廠商之間互動(dòng)鏈的脆弱性其實(shí)是在運(yùn)營商側(cè)，其中大量的郵件通訊是明文的，因此NSA可以利用自己已經(jīng)擊穿了俄羅斯基礎(chǔ)運(yùn)營商體系，并且能在其上獲取數(shù)據(jù)的基礎(chǔ)，來獲取用戶發(fā)給卡巴斯基的告警郵件。這時(shí)，如果在郵件中看到己方樣本，則說明己方行動(dòng)已經(jīng)暴露；如果發(fā)現(xiàn)有第三方樣本，則可以分析相關(guān)樣本中是否有可利用的后門或者漏洞，也可以把第三方樣本經(jīng)過修改后再投遞給第四方從而制造相應(yīng)的麻煩和障礙。同時(shí)，隨著這種攻擊者的能力前出，隨著超級(jí)大國前出型的感知能力覆蓋了全球的基礎(chǔ)運(yùn)營商體系，實(shí)際上構(gòu)成了對(duì)其本身攻擊側(cè)能力的保護(hù)。

1.7 網(wǎng)絡(luò)靶場(chǎng)——防御能力的搭建和模擬

過去，我們認(rèn)為反病毒的根本軟肋從來不是所謂的“它是一種基于非黑即白規(guī)則或者特征的檢測(cè)技術(shù)”，它歷來都是由黑白名單相結(jié)合，帶有大量特征檢測(cè)的技術(shù)體系，但之所以不能有效地應(yīng)對(duì)全部的安全載荷風(fēng)險(xiǎn)，皆因?yàn)榉床《臼且环N易于獲得的安全資源。一個(gè)有精力的攻擊者幾乎可以從互聯(lián)網(wǎng)上公開獲取到所有的反病毒產(chǎn)品，然后進(jìn)行免殺測(cè)試，直到無法檢測(cè)出之后再進(jìn)行投放。但是在當(dāng)前的攻防體系下，在攻擊者能夠承擔(dān)更高攻擊成本的條件下，這種安全產(chǎn)品被獲取、搭建成模擬靶場(chǎng)來進(jìn)行測(cè)試的問題不只限于AV產(chǎn)品，而是覆蓋了所有的安全產(chǎn)品。在超級(jí)大國所引導(dǎo)的大量網(wǎng)絡(luò)靶場(chǎng)中，結(jié)合著招投標(biāo)公告和網(wǎng)絡(luò)拓?fù)淝閳?bào)，幾乎可以模擬大量的敵國或關(guān)聯(lián)國家的關(guān)鍵基礎(chǔ)信息網(wǎng)絡(luò)和其他網(wǎng)絡(luò)系統(tǒng)的防御體系，在這個(gè)體系搭建后，再進(jìn)行相應(yīng)的攻擊。這一問題是值得高度關(guān)注的，而且解決這個(gè)問題的方法在于如何建立攻擊者難以預(yù)測(cè)的某種安全能力。

1.8 威脅情報(bào)也是情報(bào)威脅

安天曾在《2016年網(wǎng)絡(luò)安全威脅的回顧與展望》[2]中寫道“威脅情報(bào)不只是防御方資源，威脅情報(bào)也是情報(bào)威脅，是攻防雙方的公共地帶。同樣的數(shù)據(jù)，對(duì)防御方來說是規(guī)則和線索，對(duì)攻擊方來說則是攻擊資源和痕跡”。比如，在Virus Total(VT)上運(yùn)行著全球幾乎所有具有惡意代碼檢測(cè)能力廠商的引擎，是最成功的安全能力共享平臺(tái)和威脅情報(bào)體系之一，但是從某種意義上，其構(gòu)成了同時(shí)影響所有主流廠商的干擾量的注入手段。

2 深度用戶賦能

在這種復(fù)雜的基礎(chǔ)條件下，在安全能力可以被高度預(yù)測(cè)的情況下，需要一系列方法來降低攻擊者對(duì)客戶側(cè)所具備的實(shí)際安全防御能力的可預(yù)測(cè)性和改善相應(yīng)的安全價(jià)值。

2.1 流量側(cè)的全要素采集

態(tài)勢(shì)感知與SIEM和SOC的區(qū)別：SIEM和SOC是在傳統(tǒng)的基礎(chǔ)安全能力上建立起的日志聚合，而態(tài)勢(shì)感知實(shí)際上是根據(jù)感知需求反向去思考端點(diǎn)側(cè)和主機(jī)側(cè)的要素采集需求，因此可以建立全要素采集的能力，比如，把五元組擴(kuò)展到十三元組；不再區(qū)分有毒格式和無毒格式，而對(duì)所有格式建立起相應(yīng)的解析。

2.2 傳統(tǒng)的威脅檢測(cè)引擎VS下一代威脅檢測(cè)引擎

傳統(tǒng)的檢測(cè)引擎實(shí)際上是基于對(duì)象來生成相應(yīng)的黑白判定，但當(dāng)前僅靠這種模式的問題在于，檢測(cè)是有條件的，意味著對(duì)不報(bào)警的載體放行，但分析是無條件的，所以下一代的威脅檢測(cè)引擎，實(shí)際上是將其作為分析器的成分增加，針對(duì)每一個(gè)對(duì)象都形成一個(gè)相應(yīng)的向量空間。

2.3 端點(diǎn)側(cè)的全要素采集和全向量分析

當(dāng)檢測(cè)引擎針對(duì)對(duì)象拆解出數(shù)百個(gè)向量之后，一定是在這些向量的基礎(chǔ)上做出相應(yīng)的單體判定，也就是我們所說的靜態(tài)向量轉(zhuǎn)化為行為屬性標(biāo)簽，這是下一代威脅檢測(cè)引擎的一項(xiàng)工作。但是從整個(gè)防御體系來看，這是不夠的，因?yàn)橄蛄肯蛐袨闃?biāo)簽轉(zhuǎn)化是基于確定性的能力，這對(duì)于攻擊者而言也是一樣的。實(shí)際上其不可預(yù)測(cè)性在于，每一個(gè)文件所生成的對(duì)象向量不都具備標(biāo)簽轉(zhuǎn)化價(jià)值，一些向量可以是無意義的，但是其本身可以構(gòu)成主機(jī)所有對(duì)象的一個(gè)向量集合，在與主機(jī)場(chǎng)景向量疊加之后，匯入到一個(gè)整體的向量大數(shù)據(jù)中，從而形成整個(gè)系統(tǒng)的向量。而攻擊者在實(shí)際的攻擊預(yù)測(cè)中，最具備可模擬性的恰恰是安全產(chǎn)品本身的能力，而最不具備可模擬性的恰恰是用戶的使用群體、使用習(xí)慣和使用狀態(tài)。所以，在這種數(shù)據(jù)所形成的畫像之后，即使攻擊者搭建了一個(gè)模擬環(huán)境，也不會(huì)生成類似或者高度一致的基礎(chǔ)數(shù)據(jù)。由于場(chǎng)景的差異化和大量向量的無意義化所最終形成的相應(yīng)數(shù)據(jù)挖掘價(jià)值才是整個(gè)防御模型個(gè)性化的關(guān)鍵。

2.4 建立向量級(jí)別的規(guī)則

安全廠商本身可以把其中的一部分能力確定性地從向量轉(zhuǎn)化為威脅標(biāo)簽之后，下一代反病毒引擎或者產(chǎn)品的關(guān)鍵是把其所能形成的向量能力全部開放給用戶，用戶可以在任意一個(gè)向量分支節(jié)點(diǎn)、向量的組合以及組合之間的邏輯關(guān)系上來定制相應(yīng)的規(guī)則，這些規(guī)則可以生成結(jié)果，也可以生成相應(yīng)的知識(shí)標(biāo)簽，最后達(dá)成基于向量分析和標(biāo)簽聚合的檢測(cè)能力。由于這種模型是在用戶場(chǎng)景下形成的，因此大量的規(guī)則是依靠客戶自身的安全經(jīng)驗(yàn)所維護(hù)的，基于高度的客戶賦能，就形成了攻擊者難以預(yù)測(cè)的安全能力。

3 私有化的模型與客戶場(chǎng)景的結(jié)合

3.1 “人工智能+專家經(jīng)驗(yàn)”——實(shí)現(xiàn)私有化的安全服務(wù)

基于傳統(tǒng)的信譽(yù)分析和其他算法生成一個(gè)初始解析的向量空間，然后進(jìn)行人工智能的向量標(biāo)簽篩選，形成私有化規(guī)則服務(wù)，最后形成客戶側(cè)私有的安全能力和事件匹配結(jié)果。

3.2 信譽(yù)與場(chǎng)景結(jié)合的威脅發(fā)現(xiàn)

以主機(jī)側(cè)場(chǎng)景舉例，假定我們采用了一個(gè)哈希的白名單機(jī)制，就意味著任何一個(gè)由微軟官方發(fā)布的文件都應(yīng)該被視為可信對(duì)象，但文件信譽(yù)不能簡(jiǎn)單地由廠商側(cè)白名單決定，也不能僅僅依靠簽名進(jìn)行判斷，一定要有相應(yīng)的場(chǎng)景規(guī)則，這種場(chǎng)景規(guī)則結(jié)合了終端分布(原則上來看，一個(gè)威脅不可能在短時(shí)間內(nèi)感染到全部的節(jié)點(diǎn))、行為一致性(即使在客戶側(cè)有專有的應(yīng)用，其也應(yīng)該產(chǎn)生相對(duì)一致的行為預(yù)期，假定某個(gè)應(yīng)用產(chǎn)生了不一致的行為預(yù)期，就有可能是受到了攻擊)與使用的群體相匹配(程序的行為畫像是與主體的、使用者的行為畫像相一致的)等要求。

3.3 機(jī)器學(xué)習(xí)、人工智能的正確應(yīng)用

如果沒有深刻的工程師所形成的基礎(chǔ)的、前置型的積累和預(yù)制的知識(shí)，而僅是簡(jiǎn)單地在大數(shù)據(jù)或樣本集合上疊加機(jī)器學(xué)習(xí)和人工智能算法，無論何種算法都不可能是有效的。同時(shí)，其最終的目標(biāo)并不是產(chǎn)生有效的判定率或者是降低誤報(bào)率，而是要和安全業(yè)務(wù)進(jìn)行實(shí)際的融合。

4 更龐大的支撐體系

對(duì)于攻擊者而言，任意一個(gè)安全產(chǎn)品不管使用了多么復(fù)雜的算法，都不可能抵抗現(xiàn)在的逆向工程。安全廠商只有一個(gè)更為龐大的位于自有云端的支撐體系和團(tuán)隊(duì)，才能形成有效的支撐，這即是我們所講的“安全廠商應(yīng)該是一個(gè)冰山”，所有用戶可見的安全能力，包括產(chǎn)品和服務(wù)，其實(shí)是水面上的部分，而水面下的部分是其所建立的對(duì)感知、捕獲、威脅對(duì)象分析的相應(yīng)積累。因此，安全廠商需要一個(gè)強(qiáng)大的后端支撐體系。僅僅對(duì)載荷進(jìn)行持續(xù)分析，每日可以消化百萬量級(jí)新增文件的流水線體系已經(jīng)不能有效覆蓋如今的威脅，而如今所需要的后端體系實(shí)際上是，把前端感知、載荷捕獲和分析，以及整個(gè)的數(shù)據(jù)產(chǎn)出和回饋結(jié)合在一起的體系。

在水面之上的是相關(guān)的安全產(chǎn)品，其中的威脅檢測(cè)引擎以及相關(guān)的功能構(gòu)成了從有效防護(hù)到資產(chǎn)監(jiān)測(cè)，到情報(bào)服務(wù)和事件響應(yīng)的能力，但是其后端要有全球化的網(wǎng)絡(luò)支撐體系、基礎(chǔ)的支撐環(huán)境、人機(jī)協(xié)作的對(duì)抗性平臺(tái)，以及相關(guān)的威脅情報(bào)系統(tǒng)。

5 差異化的威脅情報(bào)分享與私有化的威脅情報(bào)生產(chǎn)

關(guān)于如何解決威脅情報(bào)的公共性和威脅情報(bào)也是情報(bào)威脅的問題，其實(shí)，威脅情報(bào)的本質(zhì)不是每人買一個(gè)賬號(hào)進(jìn)行公共查詢，在該方式下，威脅情報(bào)很簡(jiǎn)單地就變成了攻防雙方的公共資源地帶。從廠商的威脅情報(bào)供給來看，應(yīng)該采用一種差異化向客戶輸出的手段，而類似于沙箱或者蜜網(wǎng)的產(chǎn)品不應(yīng)該被簡(jiǎn)單地看作是增強(qiáng)的判定器和分析工具，而是要將其轉(zhuǎn)化為有效的能為客戶產(chǎn)生私有化威脅情報(bào)的平臺(tái)。

從整個(gè)威脅情報(bào)來看，實(shí)際上，其所具備的是向客戶進(jìn)行有效威脅聚類的能力，而這種聚類實(shí)際上是可以用來分析威脅的有效性的，比如，對(duì)銀行而言，我們并非簡(jiǎn)單地提供給銀行用戶其所面臨的惡意代碼的“白防”，而是在基于后臺(tái)對(duì)這些惡意代碼進(jìn)行深入分析之后，可以評(píng)價(jià)每一種惡意代碼對(duì)其網(wǎng)銀防護(hù)手段的相應(yīng)威脅。

6 戰(zhàn)略的預(yù)判

安全廠商需要有能力完成戰(zhàn)略的預(yù)判，對(duì)威脅的前置性預(yù)判可使防御者預(yù)判安全趨勢(shì)和攻擊者將要采取的行為，只有這樣才能有效地決定布防點(diǎn)，這其中既有戰(zhàn)略性的也有戰(zhàn)術(shù)性的。例如網(wǎng)絡(luò)軍火和勒索蠕蟲，鑒于網(wǎng)絡(luò)攻擊技術(shù)所存在的極低的復(fù)制成本的特點(diǎn)，當(dāng)前已經(jīng)存在嚴(yán)峻的網(wǎng)絡(luò)軍備擴(kuò)散風(fēng)險(xiǎn)，但對(duì)于缺少足夠的安全預(yù)算、難以承擔(dān)更多安全成本的國家、行業(yè)和機(jī)構(gòu)來說，會(huì)面臨巨大的挑戰(zhàn)。因此，超級(jí)大國能否合理控制自身網(wǎng)絡(luò)軍備發(fā)展的速度和規(guī)模，并對(duì)因自身未有效履行責(zé)任而使網(wǎng)絡(luò)領(lǐng)域發(fā)生可能的軍備擴(kuò)散，進(jìn)行有效地干預(yù)和控制，是我們能否達(dá)成一個(gè)更安全的網(wǎng)絡(luò)世界的關(guān)鍵因素。我們看到了相關(guān)的Exploit儲(chǔ)備和攻擊思路流入到網(wǎng)絡(luò)犯罪組織、甚至恐怖主義組織的可能性，而在2017年1月的網(wǎng)絡(luò)威脅年報(bào)中我們明確預(yù)言“勒索模式帶動(dòng)的蠕蟲的回潮不可避免?！?/p>

7 結(jié)束語

如今，我們需要建立攻擊者難以預(yù)測(cè)的在客戶側(cè)部署的安全能力，但是我們不認(rèn)為這種安全能力是用戶要求安全廠商定制出來的，而必須是基于標(biāo)準(zhǔn)化的安全產(chǎn)品完成的，反標(biāo)準(zhǔn)化實(shí)際上就是反生產(chǎn)力。如何使標(biāo)準(zhǔn)化的安全產(chǎn)品產(chǎn)生攻擊者難以預(yù)測(cè)的安全能力要依靠：

? 廠商本身具備深度的能力，并且能夠?qū)崿F(xiàn)客戶賦能；

? 廠商本身具有龐大的后端支撐體系來增加攻擊者對(duì)該體系進(jìn)行逆向工程的難度；

? 需要在客戶側(cè)通過私有化的部署建立客戶側(cè)私有化的經(jīng)驗(yàn)和數(shù)據(jù)；

? 需要把其所擁有的威脅情報(bào)差異化地分享給用戶，并且使自身的產(chǎn)品能力在用戶側(cè)具有威脅情報(bào)的二次生產(chǎn)價(jià)值。

實(shí)際上，在從體系架構(gòu)到被動(dòng)防御，到主動(dòng)防御，再到情報(bào)獲取的階段中，可以看到：架構(gòu)安全解決安全本身的縱深性問題，被動(dòng)防御使得其中的安全環(huán)節(jié)具有不可繞過性，主動(dòng)防御形成了安全防御的能力彈性，主動(dòng)防御與威脅情報(bào)的結(jié)合以及客戶賦能達(dá)成相應(yīng)的不可預(yù)見性。

[1] 安天：《方程式組織EQUATION DRUG平臺(tái)解析——方程式組織系列分析報(bào)告之四》：http://www.antiy.com/response/EQUATION_DRUG/EQUATION_DRUG.html.

[2] 安天：《2016年網(wǎng)絡(luò)安全威脅的回顧與展望》：http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html