從苦撐待變到主動求變-主動防御技術引領新風向
今年上半年網絡安全從業者會明顯感覺特別繁忙,很多單位都有攻防演練和七一重保的任務,在很多用戶單位服務過程中,欣喜的發現相對往年,今年很多單位的無論是安全意識和防護措施都有了明顯提升,特別是主動防御的理念和技術在實際應用中越來越多,甚至有防守方對攻擊方采取反制措施,改變了以往易守難攻的局面。今天就和大家聊聊主動防御技術。
一.思想起源于軍事
主動防御思想最早應用在軍事領域,例如春秋時期的《孫子兵法》第六篇虛實篇中就寫到:“善戰者,制人而不制于人”,意思就是:善于作戰的人,能夠主動調動對手而不會被對手調動。例如著名的圍魏救趙和馬陵之戰的故事,齊國孫臏面對宿敵魏國龐涓,巧妙利用其弱點,采用避實擊虛、攻其必救,示敵以弱和暗渡陳倉等方法,回援途中精心暗中埋伏奇兵,掌握了戰場的主動權,最終擊敗魏國射殺龐涓,解除了趙國之圍。
抗日戰爭期間,偉人寫下了《論持久戰》這篇曠古爍今的軍事著作,提出了面對日本要在戰略上守勢,戰術上不斷主動出擊打持久戰,以最小的代價不斷殲滅和消耗敵人。其實,當年胡適也向蔣公也提出了類似戰略,叫“苦撐待變”,完全寄希望于英美等國實力,被動等待國際形勢變化朝有利方向發展。《論持久戰》振奮人心給人必勝的信心,而“苦撐待變”的讓人感覺消極被動的。細細思量,一個主動一個被動,云泥之別。
在二戰時期,蘇聯紅軍也提到機動防御理念,以空間換取時間,使敵人遭到傷害,從而保護己方力量。這里所說的機動防御本質上就是主動防御的概念。在朝鮮戰爭中志愿軍面對具有現代立體化攻擊的美韓聯軍,通過憑借非凡的勇氣和靈活的戰術,從最初硬碰硬的陣地防御戰,逐步過渡到運動防御戰,設伏誘敵深入或迂回穿插包抄等戰術,給美韓聯軍正面進攻部隊造成極大的傷害。
通過上面歷史上著名的戰例可以總結,被動防御是被動待變,被動等待機會出現,主動防御是主動求變,化被動為主動,牢牢把握主動權。后來人們把軍事上被動防御思想和主動防御思想引入到網絡安全中,提出了網絡安全被動防御技術和網絡安全主動防御技術。
二.防御技術的三個階段
眾所周知,網絡安全本質上是要解決兩個問題,一是消除或減少自身的脆弱性,二是阻斷或減緩內外部的威脅。
網絡安全防御主流防御技術是從這兩個方面入手,根據具體實現方式不同分為三個階段:
1.信息保護時代
重點是信息保護,采用網絡安全傳輸,身份鑒別、權限管控和信息加密等措施,對系統進行加固減少脆弱性,安全措施之間缺乏有效聯動機制,針對不同威脅采用單一技術措施。常見的技術有防火墻、VPN、訪問控制、文檔加密和CA身份認證等技術。
2.聯動防御時代
重點是已知威脅防護,通過漏洞檢測、特征碼比對、威脅情報分析和大數據模式匹配等進行威脅檢測,結合人工研判,通過防護設備智能聯動進行自動化防御,實現多點聯動的立體化自適應縱深防御體系,主要技術有入侵防御、流量威脅感知、防病毒軟件、威脅情報、安全管理平臺和態勢感知等。
3.主動防御時代
重點對抗未知威脅攻擊,安全人員改變傳統被動防御思路。可以不依賴已知威脅知識,不依靠通過傳統防護系統,通過對系統運行環境的動態性、冗余性和異構性等手段,讓攻擊者對目標無法準確探測、漏洞無法有效利用,木馬后門無法持續使用,大幅度提高攻擊成本和技術門檻。
三.主動防御定義和發展
攻擊技術和新技術應用推動了防御技術發展,防御技術發展又導致了網絡攻擊技術的升級。雖然近年來通過大數據和人工智能技術,在威脅檢測和漏洞檢測等技術上有了很大突破,但是距離理想的安全目標還有很長的路,傳統的被動防御體系在面對復雜攻擊仍然十分被動,攻易守難的局面仍未打破。
為了改變網絡安全的窘狀,主動防御理念和技術逐漸應用在實際中。目前主流的主動防御技術有三種。首先,積極主動預先采取應對措施,盡量減少或偽裝目標的受攻擊面,例如蜜罐、沙箱和入侵容忍等技術。其次改變系統架構,構建不確定的系統或者建立可信參照物,例如移動目標防御和可信計算。最后是在系統設計就考慮內在安全屬性,例如零信任、內生安全和擬態安全等。
四.典型主動防御技術介紹
1.沙箱
沙箱是采用虛擬化等技術構造封閉隔離的運行環境,記錄惡意軟件的執行過程所有操作行為,發現軟件中隱藏的木馬、病毒和惡意代碼等,從而發現未知威脅。
按照實現方式,沙箱分為基于虛擬化和基于規則兩種,基于虛擬化的沙箱讓軟件在封閉的虛擬機環境中執行,不會對宿主機產生影響。基于規則的沙箱,根據定義的規則限制軟件對計算機的使用,通過攔截系統調用實現對資源訪問等。
沙箱的作用是保護系統和分析軟件行為,采用關鍵技術有虛擬化、惡意行為檢測和重定向三種技術。虛擬化技術采用使邏輯資源與對用戶隱藏不要細節并方便實現有效隔離。惡意行為檢測技術采用特征碼檢測和行為檢測,惡特征碼檢測是通過采集分析惡意軟件的樣本文件,提取包含字節的特征碼,通過這些字節內容及位置信息來檢驗某個文件是否病毒然后檢查樣本文件是否具有。行為檢測通過分析程序的運行狀態,一旦發現惡意行為特征就產生告警。重定向技術將對系統惡意操作重定向到其他地方,保護系統資源的安全性,例如常見的文件重定向和注冊表重定向等。
2.蜜罐
采用類似狩獵中挖陷阱方法,在網絡中部署仿真主機,主動誘導攻擊者攻擊,記錄攻擊細節并產生告警,可定位攻擊源,也可虛擬出多個仿真主機,形成復雜的蜜網環境(黑客誘捕網絡體系架構)提升異常行為的發現率,彌補網絡防護體系短板,提升主動防御能力。
蜜罐可分為低交互式、中交換式和高交互式三種類型。低交互式簡單模擬操作系統和部分服務實現,收集信息少,容易被攻擊者識破。中交互式能模擬操作系統更多服務,提供攻擊者和系統之間更多交互,收集信息更多。高交換式通常提供真實應用環境,很容易吸引攻擊者,可以更多更全的信息,但是部署和維護成本更高。
構建蜜罐注意事項:
①如何以假亂真的仿真系統吸引攻擊者?②如何讓攻擊者展示攻擊手法?③如何分析攻擊者攻擊手法?④如何保證蜜罐自身安全不會被攻擊者作為跳板?
3.入侵容忍
由于系統漏洞和后門無法根除,攻擊者總是能發現新的漏洞和新的攻擊手段,系統不能保證百分之百的安全的前提下,安全人員不得不考慮在已經遭受攻擊情況下,如何隔離和遏制攻擊行為?如何確保核心系統的正常運行?這就是入侵容忍的概念,能夠阻止和預防攻擊的發生;能夠檢測攻擊和評估攻擊造成的破壞;在遭受攻擊后,能夠維護和恢復關鍵數據、關鍵服務或完全服務。入侵容忍應用可根據被保護的對象分為以下兩類:對服務的入侵容忍,主要研究系統在面臨攻擊的情況下,仍能為預期的合法用戶提供有效服務的方法和機制。對數據的入侵容忍,主要研究系統面臨攻擊的情況下如何保證數據的機密性和可用性。由于受到技術和成本等因素限制,目前入侵容忍技術發展緩慢,但是隨著開源、云計算等技術發展,未來入侵容忍仍然是未來網絡防御技術重要方向。
4.可信計算
可信計算是為了解決計算機和網絡結構上的不安全,從根本上提高安全性的技術方法,計算機的軟硬件可以基于采用帶有特殊密鑰的硬件芯片形成信任鏈,確保系統運行以期望方式進行。可信計算猶如計算機的免疫系統,經過安全檢測和用戶許可的程序加入可信白名單允許其執行,未經許可的程序均認定為非法程序,例如病毒木馬等惡意代碼、漏洞利用工具和腳本等,雖然允許存在在當前系統中,但是不列入可信范圍,就主動阻斷其執行。確保系統可控,實現主動防御免疫,使得惡意程序難以執行和漏洞難以被利用。
5.MTD
將目標系統組成要素進行多樣化、隨機化和動態,使得攻擊面呈現出不確定性,導致攻擊者無法獲得準確的目標對象信息和特質,形成不斷變化的攻擊面。根據系統組成MTD技術實現層次分為動態網絡、動態平臺、動態軟件和動態數據。攻擊者在攻擊開始前需要對系統網絡的IP、端口和服務等進行掃描探測,MTD通過動態網絡地址轉換、端口跳變技術和動態拓撲技術,擾亂攻擊者的掃描探測行為。動態平臺主要包括處理器、虛擬機、操作系統、開發環境和運行環境等,通過構建多個異構的應用支撐平臺,在系統運行期間動態切換。動態軟件是保持功能不變前提下,修改程序的指令實現程序的異構,采用多個異構的目標系統對攻擊者呈現出連續動態變化特性,讓漏洞難以在所有異構軟件中復現。動態數據是改變程序中內部和外部的語法、編碼和形式,攻擊者或黑客工具很難針對不同數據表現形式都能攻擊成功。
6.零信任
零信任一種主動防御安全理念,傳統的訪問驗證方式只需要知道IP或主機信息,便可通過驗證,而零信任默認不相信任何人,需要明確用戶身份、訪問來源、授權途徑等信息,否則訪問請求則會被立即拒絕。零信任的主流技術稱為SIM:S為SDP(Software Defined Perimeter, 軟件定義邊界)、I為IAM(Identity and Access Management,身份識別與訪問管理系統),M為MSG(Micro-Segmentation,微隔離)。SDP建立虛擬邊界,利用基于身份的訪問控制和權限認證機制,讓應用和服務“隱身”,具有相應權限的用戶才能看見。IAM定義定義和管理用戶的角色和訪問權限,即決定了誰可以訪問,如何訪問,訪問后可以執行哪些操作。微隔離(MSG) 微隔離通過細粒度的策略控制,可以靈活地實現業務系統內外部主機與主機的隔離,讓東西向流量可視可控,從而更加有效地防御黑客或病毒持續性大面積的滲透和破壞。
五.總結
隨著云大物移智等新技術的快速發展,對網絡防御技術提出更高的要求,以事先預防、主動求變對抗未知威脅的主動防御技術將成為是網絡安全技術發展新風向,雖然技術方面還未完全成熟,但是部分技術通過可與傳統防御技術整合,從而實現全面威脅感知、精準的追蹤溯源、快速誘捕反制和隨機動態系統等主動防御能力將打破目前網絡安全攻守失衡局面,對防守方而言是網絡安全防御能力的一次質的提升。
