從短信鏈接到數據泄露,遍布全球的APT攻擊如何影響到你?
隨著大數據技術的發展,數據向多元、多源方向發展,且已成為國家基礎性戰略資源,正對全球生產、經濟、社會和國家治理等活動產生重要影響。但各機構之間的數據孤島問題突出,嚴重影響數據價值的釋放。
2015 年,國務院發布《促進大數據發展行動綱要》,提出全面推進我國大數據發展應用的行動計劃。
2016 年,國家發布《“十三五”國民經濟和社會發展規劃綱要》,提出要實施國家大數據戰略,促進大數據創新應用,著力推動數據開放共享。
2019 年 11 月 1 日,中央首次在公開場合提出數據可作為生產要素按貢獻參與分配。
2020 年 7 月工信部發布《關于工業大數據發展的指導意見》提出加快工業設備互聯互通,推動工業數據高質量匯聚,統籌建設國家工業大數據平臺,推動工業數據的開放共享。
2021 年 3 月發布的《中華人民共和國國民經濟和社會發展第十四個五年規劃和 2035 年遠景目標綱要》中提到,重點發展大數據、區塊鏈等數據經濟重點產業,加快關鍵數字技術創新和產業數字化轉型;加強公共數據開放共享,確保公共數據安全,推進數據跨部門、跨層級、跨地區匯聚融合和深度利用;加強網絡安全防護,強化跨領域網絡安全信息共享和工作協同,提升網絡安全威脅發現、攻擊溯源能力,加強網絡安全關鍵技術研發,加快人工智能安全技術創新,提升網絡安全產業綜合競爭力;同時提到我們需要積極參與數據安全等技術研究與標準制定等工作,從而推動構建網絡空間命運共同體。
2021 年 6 月 10 日,《數據安全法》在十三屆全國人大常委會第二十九次會議中表決通過。《數據安全法》作為數據領域的 “上位法”,將數據安全推向了更高的層面,而高級持續性威脅(Advanced Persistent Threat, APT)對數據安全的威脅確沒有降低,近年來因 APT 攻擊導致的數據安全事件層出不窮,尤其是隨著移動終端的應用廣泛化、智能深入化,數據也逐漸暴漏在攻擊者面前,給攻擊者帶來了可乘之機,尤其是具有專業組織、專業工具的 ATP 攻擊。
ATP 攻擊,即特定的組織(特別是政府直接或者間接支持的高水平黑客組織或者團體)對于特定的目標進行長期的、持續的、有計劃的網絡攻擊形式和破壞行為。APT 攻擊是以竊取高價值資產或者有目的的破壞信息系統為目標的,APT 一般具有三個特性,即高級性、持續性和危害性。
1)高級性主要體現在攻擊者的情報收集能力、惡意代碼編寫及利用能力和漏洞利用能力方面,其中,情報收集與漏洞使用相輔相成,在豐富的情報基礎上,熟練的使用專業的漏洞工具,達到 APT 攻擊的目的。
2)持續性主要體現在特定的條件下,使用多種技術,對目標的長期監控,無論如何,攻擊者的目光從未從目標群體離開,相關情報的收集也一直在進行中,只是在等待一個合適的時機。
3)危害性則體現在團隊協作、多種完備技術及方法和健全的組織性方面,即大多數的 APT 攻擊都是具備特定背景的網絡攻擊行為,是一種活躍在網絡空間的間諜行為。
從這里可以看出,APT 既是技術詞匯,也是政治詞匯,是國家博弈和地緣政治在網絡空間的一個折射,自 2006 年被美國空軍信息戰中心業務組指揮官 Greg Rattray 上校提出后,移動智能終端的發展,使 APT 由 PC 端蔓延至移動智能終端側,移動智能終端的廣泛使用及其高社會屬性,給移動智能終端安全及網絡空間安全帶來了新的威脅,成為了 APT 攻擊內網的一個新的跳板。
長期以來,APT 都是網絡空間的巨大威脅,且頻發的 APT 攻擊成了網絡空間安全的常態,隨著發展,已經逐漸滲透到信息社會的各個角落,從早期的情報信息竊取威脅,到今天的針對網絡基礎設施、工業控制設施、移動智能終端,進行了全面的遷移,攻擊是否發生只與目標承載的資產價值和更重要目標的關聯度有關,而與攻擊難度無關,日益革新的技術,在給經濟生產等帶來推動力的同時,也推動了 ATP 攻擊相關技術的發展。
在 APT 的攻擊模型方面,包括了殺傷鏈模型、鉆石模型、TTP模型和ATT&CK模型等。
1)殺傷鏈模型,最初起源于軍事中的 C5KISR 系統中的 K(kill),后由洛克希德-馬丁公司(全球最大的國防工程承包商,根據 Cybersecurity 500 名單,洛克希德-馬丁公司在全球上市網絡安全企業中位列前十)提出網絡安全殺傷鏈七步模型,用來識別和防護網絡入侵行為。網絡安全殺傷鏈七步模型包括偵測、武器化、投遞、漏洞利用、安裝、控制和目標行動等。
殺傷鏈模型
2)鉆石模型是由 Sergio Caltagirone、Andrew Pendergast、Christopher Betz 在 2013 年論文 The Diamond Model of Intrusion Analysis 中提出的一個針對網絡入侵攻擊的分析框架模型。該模型由四個核心特征組成,分別為:對手(adversary)、能力(capability)、基礎設施(infrastructure)和受害者(victim)。四個核心特征間用連線表示相互間的基本關系,并按 照菱形排列,從而形成類似“鉆石”形狀的結構,因此得名為“鉆石模型”。同時,模型還 定義了社會-政治關系(對手和受害者之間的)和技術能力(用于確保能力和基礎設施可操 作性的)兩個重要的擴展元特征。該模型也認為,無論何種入侵活動,其基本的元素都是一個一個的事件,而每個事件都可以由上述四個基本核心特征組成。
鉆石模型
3)TTP,該術語來自于三個英文詞匯的首字母組合,即戰術 Tactics、技術 Techniques 和過程 Procedures,是描述高級威脅組織網絡攻擊的重要指標,出自于《美國國防部軍事及相關術語詞典》,最早用于軍事領域和反恐活動,后延伸到信息安全領域,并被用來描述相應 的過程。TTP 在網絡情報中是核心信息,它與指標、事件、活動、攻擊者、攻擊目標有著密切的關聯關系。
4)ATT&CK 也就是 Adversarial Tactics, Techniques, and Common Knowledge。顧名思義,這并不是一項技術,而是“對抗戰術、技術和常識”框架,是更加底層“知識庫”的基礎框架,是由攻擊者在攻擊企業時會利用的 12 種戰術和 244 種企業技術組成的精選知識庫。它的著眼點不是單個的 IOC,而是 IOC 處于攻擊過程中的上下文,也就是從點擴展到了面擴展到了鏈。當 ATT&CK 把那些翻閱字典一樣,輕易地找到相對應的常見戰術動作,甚至做到殺傷鏈還原,更好地應對攻擊。
APT 最經典的防護模型之一則是滑動標尺模型,它來源于美國系統網絡安全協會(SANS),主要應對日益復雜的網絡環境和不斷變化的攻擊手段。
滑動標尺模型分為五大類別,這五大類別之間具有連續關系,并有效展示了防御逐步提升的理念。這五大類別不是固定不變的,且重要程度不是均等的, 每個類別的某些措施與相鄰類別密切相關,實現網絡安全目標,組織應構建安全根基和文化,并不斷完善,滑動標尺模型還能潛在促進組織的安全成熟進程。
滑動標尺動態安全模型
(翻譯自滑動標尺模型白皮書 The Sliding Scale of Cyber Security)
攻擊與防御在不斷的進行著博弈,爭取各自最大的利益。在攻擊方面,攻擊手段和攻擊 投放的方式越來越多樣化,且現有的攻擊者目前擁有了更加明確的組織,APT 威脅的歸屬問題也在發生變化,同時攻擊的目標可能進一步延伸,比如說政府、外交、軍隊、國防,再比如說能源、電力、金融等。
在防御方面,隨著攻擊技術的不斷的發展,0day 漏洞也在逐漸的延伸到包括 PC、服務器、移動終端、路由器、工控設備等多種類型的設備上,這就要求我們要進一步加強對 0day 漏洞能力的儲備。在做防護之前,我們要清楚現有技術的一些缺陷,比如說高度依賴特征、基于已有知識體系、評價體系落伍、攻守不對稱、缺乏關聯能力、 對未知威脅缺乏感知等,這就要求我們關注攻防的基礎,例如數據的重要性,在一些 APT 的案例中,支撐 APT 攻擊最基礎的也是最重要的就是情報的收集與分析,我們要關注新技術帶來的機遇,但也要關注新技術給數據安全帶來的挑戰,在數據價值高度釋放的同時,關注伴隨而來的數據濫用、數據泄露、隱私薄弱等安全問題,在此基礎上,構建動態可用的數據安全生態。
