文·本报记者 段佳
■ 将新闻进行到底
■ 新闻缘起
在过去的三个月,“定向攻击”这四个字,持续不断刺激着人们的神经。
过去的三个月,数字化环境面对的不再仅仅是传统的病毒、木马、蠕虫等这样的小打小闹所产生的威胁,而是出场的“大玩家”,以及他们操纵的定向攻击。
面对定向攻击,中国的政府、军队以及企业级用户,是静待自有网络和系统中的关键信息被清洗、侵蚀,还是主动行动起来?用户要有所作为,需要专业的保障保护系统。
防范定向攻击成网络安全新主题
2006年之前,人们面临的主要网络安全威胁是病毒;2006年之后的6、7年时间里,面临的主要威胁是木马;业内专家表示,当前及未来很长一段时间,我们面临的主要威胁将是定向攻击。
“我们需要采用全新的策略、模型和产品,积极对抗、捕捉APT。继续沿用原有的防杀病毒行业的时间后置的恶意代码检测和鉴定,这样的路子行不通。”5月8日,金山安全高级总监林凯对记者说。同日,金山安全系统公司宣布:金山私有云安全系统将协助中国企业级用户构建专属的安全城堡,捕捉定向攻击。
普通人所能感受到的定向攻击,更多来自于网络或报纸杂志上的报道。比如著名的谷歌遭受的极光攻击(Operation Aurora),又如伊朗核电站遭受的震网病毒(Stuxnet)等。“震网”和“极光”两个词,因为入侵政府或大型企业的网络被“造”了出来,更因为其危害性之大,广受大家关注。
但更多的普通人,无法准确理解什么是定向攻击。其实,定向攻击简称APT(Advanced Persistent Threat,高级可持续性威胁),作为目前攻击类型中最高端的攻击模式,被认为是一种高级黑客行为。黑客从网上盗取人们的身份,或潜入重要主机中的关键部位,或入侵私人电子信箱,有目标的搜取商业机密和技术信息。实施APT攻击的黑客不会大范围的散播病毒,他们会针对自己选择的特定目标,进行深入的侦察分析,编写特殊的恶意代码,对目标发动极富针对性的定向攻击,让攻击更加有效,更加精准。
金山安全系统公司的数据显示:截至2012年11月底,全球所产生的包括病毒、木马、蠕虫、间谍软件、黑客工具的新的非安全类别的软件的种类,超过800万,这显然是一个可怕的数字。
这800万种以上的非安全类别、违规运行的软件,到底是什么?哪些可以界定为定向攻击?没有人能给出准确答案。
但大家普遍感受到的是:大规模爆发的病毒已经逐渐淡出了公众的视野,但是我们并没有感受到越来越安全,相反,各种网络威胁变得越来越诡秘,它们的打击变得越来越定向,攻击目标也越来越多元,网络所面临的风险从单纯的病毒破坏发展到木马、间谍软件、钓鱼网站等,进而提升到了针对特定领域与特定机构的定向APT攻击。
中国成为遭受定向攻击最严重的受害国之一
美国财长和国务卿在刚刚过去的3月和4月分别到访中国,都涉及了网络安全的话题。这一时成为公众关注的焦点。
实际上,中国已经成为遭受定向攻击最严重的受害国之一。据中国国家互联网应急中心的数据显示:2012年,中国境内1400余万台主机遭受攻击, 3.8万个网站遭受远程控制。“金山安全捕获过多个定向攻击木马。”金山安全私有云产品高级总监林凯说,“这些木马如工蜂一样,持续将国家级的、商业机密级的数据源源不断向外部传输。”
金山安全系统公司的统计数据表明,正在遭受攻击的对象中,政府、军队和大型集团化企业排在前三位。高信息资产保护的这些单位成为了被攻击的前沿阵地,他们面对的不仅仅是病毒、木马、蠕虫等的交叉泛滥,更是国与国的对抗,以及商业竞争对手之间的信息战。
金山安全系统公司副总裁张旭东说:“遭受定向攻击、网站被黑、主机被控制、核心商业数据失窃,这样的恶性事件每天都在发生。今天没有‘遇难’是幸运,明天是否仍然好运,对每个单位来说都是未知数。”
APT蠕虫“引而未发”令安全业界非常尴尬
据了解,现在计算机上违规运行的非安全类别的软件种类在2008年后开始呈现几何方式的增长,就目前来看,网络威胁攻防已明显失衡,安全厂商传统的分析能力无法应对每年数十亿级以上病毒及其他非安全软件的处理能力,尤其是基于黑文件的检测手法。APT能够轻易避开目前传统特征检测的杀毒软件。
专业人士介绍,从2001年到2006年5个比较典型的病毒中,包括像CodeRedII、冲击波、震荡波等这些具有快速传播能力且赫赫有名的恶意代码,可以得出一个结论:无论当时这些恶意代码把反病毒厂商和安全响应组织打得多么措手不及,这些安全团队对它的感知时间都没有超过24小时,过去的反病毒对抗是一种捕获—辨识对抗到查杀对抗的过程。
然而,APT时代的恶意代码却令整个安全业界感到非常尴尬。Stuxnet、Duqu和Flame是三个非常典型的APT时代恶意代码,这些APT蠕虫至少存在了一年之久才被业内广泛感知和进行相应处理。Flame在几乎长达5年的活跃时间内,整个安全业界没有任何感知,而Stuxnet直到最后发动致命一击,安全业界才开始关注工控系统安全,关注APT攻击。
反病毒模型从黑名单转向白名单
“我们相当于给企业级客户的数字化环境中的所有文件建立了一个身份证系统。并对其行为进行严密跟踪、监控。”林凯说,金山的私有云安全系统,可以帮助用户实现高级威胁的有效捕捉,让用户的数字化环境的变化“看得见”,未知威胁“找得到”,APT“防得住”,幕后黑手“跑不掉”。
业内专家认为,金山的私有云安全系统和传统的防杀病毒软件截然不同。
首个“中国造”的金山私有云安全系统,据介绍是一种以白名单作为产品的核心,以主机控制策略作为产品应用模型的全新产品。该产品的工作原理是:首先对用户终端环境中的所有程序和文件进行全网扫描,如果是病毒、木马、蠕虫等“黑”文件,则予以处理;如果与金山独有的数亿级的白文件库相匹配,则判“白”并予以放行;如果是暂时无法识别的未知文件则先标“灰”,后以不同的策略和文件鉴定器予以综合处理。
反病毒技术一直以来的模型是基于黑名单为主、白名单为辅的,很大程度上是因为病毒虽然很多、但正常应用程序的基数更大,所以第一代反病毒工作者基于白远大于黑的规律建立了黑名单为主的体系。
过去在大规模的病毒爆发的时候,人们可能在计算机中安装杀毒软件扫描,如果未查出病毒,就可以说这台机器是安全的。而在APT时代,所有的攻击威胁都是基于前导的免杀、修改构造的,APT制造者在投放前,就规避了传统安全手段的检测和处理。这种情况下,再没有人敢说:我安装了防杀病毒软件,就可以保障信息系统的安全无忧了。
专家表示,APT制造者将游戏的规则改变了,信息安全厂商的步子却没有跟上来。这就是目前面对的困局根源。
应对定向攻击需有更多“中国造”利器
一项面向1500多名安全专业人士的全球性网络安全调查显示,超过五分之一的受调者称其企业曾遭受过APT攻击,但大多数企业仍采用收效甚微的技术来保护自己。对于政企而言,尽管已经部署了相对完备的纵深安全防御体系,但仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取,尤其是APT攻击。
2013年,网络用户面临的安全形势更加严峻,纵观APT的发展趋势,其攻击范围不断扩大,破坏力也越来越大。防范APT,需要防微杜渐,更需要防患于未然。业内专家表示,随着利益的不断驱动和黑客技术的成熟,APT制造者和安全厂商之间必定有一场激烈的对抗博弈。
如今,网络安全已经提升到国家战略高度。美国总统奥巴马4月10日提交国会的2014财政年度国防预算案提出,把网络安全作为国防重点支出项目之一。尽管国防开支面临削减,美国政府仍打算加大投入,扩容军方“黑客”队伍,以期强化网络攻击和防御能力。预算案计划为国防部拨款47亿美元,用于网络安全事务,与现行方案相比增加8亿美元。
面对已经来临的APT泛滥和网络信息战,中国该怎么办?业内人士透露,中国相关机构尚未建立严密的信息安全防御体系,无法应对全球高达数千种的“网络武器”的隐蔽性侦查乃至攻击;更可怕的是,有不少重要单位,甚至不认为自己会遭受定向攻击;此外,应对APT的中国行动太过迟缓:目前只有极少的研究机构,刚开始针对蜂拥而来的APT开展前期研究。
业内专家呼吁,定向攻击将长期存在,因此,需要信息安全行业研发更多的“中国造”利器,为有效遏制APT的泛滥提供有力的技术保障。