加密威脅的變化趨勢及應對策略思考
01、加密威脅的發展趨勢
惡意加密流量、基于加密通信的攻擊行為,近幾年越來越多的行業客戶開始關注,國內外的安全廠商、研究機構也紛紛入場開始研究、探索檢測方案和產品化應用。實際上這類加密威脅不是一種新型的威脅,也談不上未知威脅。
加密威脅的發展歷史,通過我們的研究總結起來可以歸納為三個階段:
一是早期頂級APT組織的應用。我們目前跟蹤到最早使用加密通信技術的惡意家族,大概是20年前左右的某APT組織,并且加密的技巧較為復雜,這種加密技術放在當前,也能繞過絕大多數流量安全產品。
二是部分威脅逐步應用。從我們研究分析的情況來看,至少在10年前就有一批APT組織、攻擊組織開始逐步轉向加密通信,不過這個階段的加密通信大多沒有經過精密設計,還比較粗糙。
三是大規模威脅的應用。從近三年來看,由于流量安全檢測、大數據分析等技術的發展,基于明文通信的惡意流量越來越難逃監管,大量的威脅都開始逐步轉向加密通信,除了頂級APT組織,實力弱一些的APT組織也基本轉向加密通信;二是一些僵尸網絡、勒索軟件和常見木馬病毒,也開始逐步使用加密通信;三是大量攻防工具、黑客工具也紛紛支持加密通信,在攻防演練場景下,使用加密通信進行隱蔽傳輸也成了常態。
02、加密威脅的常見類別
使用加密通信來進行隱蔽傳輸,已成為大多數黑客的“必備技能”,跟攻擊者的加密技術、開發能力、使用習慣相關,加密的類別和方式也是千變萬化。我們分析了超過300種惡意家族、30個APT家族、近百款黑客工具,總結下來常見的加密威脅有兩大類、四小類。
一是使用已有的標準加密協議,其中最常見的是TLS/SSL。對于攻擊者來講,使用SSL加密通信有幾個好處:1、最常見的加密應用協議,開發或調用都非常便利;2、SSL協議在絕大多數用戶網絡中都是占比較高的通信協議,隱藏在其中很難被發現;3、SSL協議的應用復雜、變化較多,想尋求一種好的檢測方法比較難。故SSL加密受到廣大黑客、APT組織的青睞,目前來看使用SSL加密的占到整個使用加密通信的惡意流量的50%左右。當然,還有使用一些其它標準加密協議通信的惡意家族,但數量還比較少。
二是使用標準通信協議,改變其協議字段或載荷部分成為“隱蔽隧道”。隱蔽隧道又分加密和不加密兩種,目前轉向加密的隧道越來越多。常見的隱蔽隧道又分為三小類:1、網絡層隧道,以ICMP隧道為主;ICMP協議在日常的通信應用中數據格式比較簡單、變化較少,攻擊者開發也有一定的技術門檻,所以目前應用不是特別廣泛,有少量的APT組織和黑客工具在使用;2、傳輸層隧道,以TCP/UDP隧道為主,還有少量的SCTP隧道;TCP/UDP隧道目前應用已經比較廣泛,已經占到整個使用加密通信的惡意流量的25%左右,并且我們判斷未來一定會成為APT攻擊和高水平黑客的常用通信方式之一;之所以TCP/UDP隧道受到攻擊者的青睞,是因為這類隧道應用變化比較復雜,可以較好地隱藏在大量新型網絡應用的流量之中;3、應用層隧道,以DNS/HTTP隧道為主。DNS隧道目前有一部分APT組織和黑客工具一直在使用,但因其檢測難度相對不高,所以應用比例相對較低;HTTP隧道是某些黑客組織甚至是頂級APT組織常用的一種隱蔽傳輸方式,因HTTP協議的應用廣泛、且變化復雜,所以在大量HTTP流量中如何精準確認是隧道,是比較難的一件事情。
03、加密威脅的應對策略思考
綜上,攻擊者想要利用和建立隱蔽加密隧道,可選擇的方式比較多,且開發或直接利用的難度都不大。關于加密威脅檢測到底有沒有必要性呢?答案是肯定的,目前很多監管客戶、行業客戶都意識到了這一點,并且基本成了日常安全運營管理中最棘手的一個難題。國內外近幾年開展加密威脅檢測研究的機構和廠商也比較多,成了網絡安全研究的一個熱門課題,在國內開展這方面研究的機構和廠商就不低于50家。當然,絕大部分研究成果還停留在實驗室階段,我們總結下來,大家容易進入的誤區有如下幾個:
一是脫離威脅的研究和認知。任何安全解決方案脫離對威脅的認知、分析和跟蹤,都是站不住腳的;如果不知道哪些威脅在加密、怎么加密的、加密的變化演進歷程,研究的解決方案一定是紙上談兵、無法實戰化應用的。
二是過度依賴AI算法。很多研究人員過度依賴AI,以為傳統機器學習或者深度學習就能較好地解決加密威脅檢測的難題,最后都是落不了地,從我們的研究來看,AI確實有一定輔助作用,但僅僅是輔助作用,可以作為一個異常判斷的基線。
三是摒棄傳統的檢測方法。很多人認為傳統的規則檢測、行為分析、威脅情報就不適用于加密流量了,其實不然,傳統的檢測方法固然很難體系化解決加密流量的難題,但很多方法是可以用,并且可以組合應用。
對于加密威脅檢測的應對策略,我們總結下來有以下幾點可以分享的經驗:
一是多種解決方案應對不同的加密威脅。如上所述,威脅加密的方式很多、千變萬化,沒有一種算法、引擎可以包治百病,必須針對不同的加密類型、甚至不同的家族研究不同的解決方案。
二是多種檢測技術相融合。想要體系化或者解決更多加密威脅的問題,單純依靠某一類技術都比較難,比如我們的解決方案里,既用到了機器學習、深度學習、規則檢測、行為分析,還開發了獨特的“可計算檢測引擎”以應對加密流量檢測所需要的復雜規則組合。
三是緊跟威脅研究和演進。單純的依靠實驗室算法和參考論文,永遠無法落地,如果深度分析了大量的威脅,了解其加密的機制和模式,很多問題就迎刃而解。四是實戰化落地。安全解決方案要講實戰化應用,無法進行實戰的產品和解決方案對客戶來講就毫無意義,也只有實戰化應用了,才知道現網中加密流量的復雜性、才知道哪些加密威脅我們真正有效檢出了。
04、加密威脅的演進預測
綜上所述,基于加密通信的威脅檢測固然是一個比較難的課題,但只要對威脅有足夠深的理解和認識,綜合多種技術方法,絕大多數都能找到解決方案。不過還存在多種加密威脅,并且很有可能是未來威脅加密化的演進趨勢,需要不斷的攻研才能找到較好的應對方案。
一是構思精密的加密方式設計。目前跟蹤的少量頂級威脅在加密環節設計極其精密,具備較強的密碼基礎和工程化能力,是當前高級威脅對抗的難題之一。
二是大量的加密中轉利用。目前有部分威脅利用公有云、社交軟件、加密郵件等進行中轉通信,這種加密應用給檢測研究帶來了極大挑戰,也是威脅加密化的趨勢之一。
三是利用各類協議建立的加密隧道。我們觀察到近幾年利用TCP/UDP/HTTP等協議加密隧道的威脅越來越多(理論上任何協議的上層都可以構建加密隧道),已成為高級威脅選擇的一個必然趨勢之一。
四是TLS1.3的普及和應用。目前TLS1.3還未全面普及,所以威脅選用這種版本的不多,但一旦TLS1.3全面普及,一定會成為大量威脅選擇隱蔽通信的方式之一,屆時又會帶來新的挑戰。
