定向攻击凶猛来袭

    从病毒到木马再到定向攻击，互联网就没安全过，“攻击”与防御似乎永远都没有个尽头……

    过去的三个月，“定向攻击”这四个字，持续不断刺激着中国人的耳朵。数字化环境中的攻与防，长期将处于平衡;但面对定向攻击，至少短期内已明显失衡。只有攻，没有盾，中国的企业级用户，陷入无助。

    过去的三个月，数字化环境面对的不再仅仅是传统的病毒、木马、蠕虫等这样的小打小闹所产生的威胁，而是出场的“大玩家”，以及他们操纵的定向攻击。面对定向攻击，中国的企业级用户，是静待自有网络和系统中的关键信息被清洗、侵蚀，还是主动行动起来？企业级用户要有所作为，就一定要有专业厂商和专业的保障保护系统，这样的厂商和产品又在哪里？

    上述问题，目前还没有答案。其实，过去的三个月，所有的中国信息安全厂商都该汗颜：面对定向攻击的泛滥，大部分企业无语、无为。全行业，很无能，很丢脸!

    “中国的信息安全行业里的关键企业，应该快点站出来!”金山安全系统公司副总裁张旭东在表达自己的焦虑的同时，发出了如上呼吁。

    定向攻击来袭

    值得注意的是：2006年之前，我们面临的主要威胁是病毒;2006年之后的6、7年时间里，面临的主要威胁是木马;2012年之后及未来很长一段时间，我们面临的主要威胁将是定向攻击。

    5月8日，国家会议中心，金山安全系统公司组织名为“金山私有云安全系统”的新闻发布会。该公司展示的数据显示：截止2012年11月底，全球所产生的包括病毒、木马、蠕虫、间谍软件、黑客工具的新的非安全类别的软件的种类，超过800万。这显然是一个可怕的数字。

    这800万种以上的非安全类别、违规运行的软件，到底是什么？哪些可以界定为定向攻击？没有人能给出准确答案。

    但大家普遍感受到的是：大规模爆发的病毒已经逐渐淡出了公众的视野，但是我们并没有感受到越来越安全，相反，各种网络威胁变得越来越诡秘，它们的打击变得越来越定向，攻击目标也越来越多元，网络所面临的风险从单纯的病毒破坏发展到木马、间谍软件、钓鱼网站等，进而提升到了针对特定领域与特定机构的定向APT攻击。

    普通人所能感受到的定向攻击，更多来自于网络或报纸杂志上的报道。比如着名的谷歌遭受的极光攻击(Operation Aurora)，又如伊朗核电站遭受的震网病毒(Stuxnet)等。“震网”和“极光”两个词，因为入侵政府或大型企业的网络被“造”了出来，更因为其危害性之大，广受大家关注。

    但更多的普通人，无法准确理解什么是定向攻击。其实，APT(Advanced Persistent Threat，高级可持续性威胁)作为目前攻击类型中最高端的攻击模式，被认为是一种高级黑客行为。黑客从网上盗取人们的身份，或潜入重要主机中的关键部位，或入侵私人电子信箱，有目标的搜取商业机密和技术信息。实施APT攻击的黑客不会大范围的散播病毒，他们会针对自己选择的特定目标，进行深入的侦察分析，编写特殊的恶意代码，对目标发动极富针对性的定向攻击，让攻击更加有效，更加精准。

    我们注意到，2013年开年后，美国和中国——世界最大的两个经济体在网络攻击问题上互相指责。美国财长和国务卿在刚刚过去的3月和4月分别到访中国，都涉及了网络安全的话题，这些话题，一时成为公众关注的焦点。此前，美国网络安全公司曼迪昂特2月发布的长达60页的罕见的《APT1：揭露中国网络间谍单位》报告，公开指责中国。中国给与了严正声明，并斥责该报道“毫无根据”，并且指出：中国在网络安全方面是弱势群体，也是遭受网络攻击最严重的国家之一。

    “中国是定向攻击的最重要的受害国之一，金山安全曾在部分大型企业中捕捉到多个定向攻击木马。”金山安全私有云产品高级总监林凯说：“这些定向攻击木马，如同工蜂一般，持续不断的挖掘企业的商业机密，并将这些机密传输到外部。”

    金山安全系统公司的统计数据表明，正在遭受攻击的对象中，政府、军队和大型集团化企业排在前三位。高信息资产保护的这些单位成为了被攻击的前沿阵地，他们面对的不仅仅是病毒、木马、蠕虫等的交叉泛滥，更是国与国的对抗，以及商业竞争对手之间的信息战。张旭东说： “遭受定向攻击、网站被黑、主机被控制、核心商业数据失窃，这样的恶性事件每天都在发生。今天没有‘遇难’是幸运，明天是否仍然好运，对每个单位来说都是未知数。”

    黑名单转向白名单

    据了解，现在计算机上违规运行的非安全类别的软件的种类在2008年后开始呈现几何方式的增长，就目前来看，网络威胁攻防已明显失衡，安全厂商传统的分析能力无法应对每年数十亿级以上病毒及其他非安全软件的处理能力，尤其是基于黑文件的检测手法，无论是基于问题特征的还是基于行为规则的，都面临着同样的问题。APT能够轻易避开目前传统特征检测的杀毒软件。

    表1中我们列举了从2001年到2006年5个比较典型的病毒，包括像CodeRedII、冲击波、震荡波等这些具有快速传播能力且赫赫有名的恶意代码，我们可以得出一个结论：无论当时这些恶意代码把反病毒厂商和安全响应组织打得多么措手不及，这些安全团队对它的感知时间都没有超过24小时，过去的反病毒对抗是一种捕获-辨识对抗到查杀对抗的过程。

    从表2中，我们例举了在APT时代有三个非常典型的恶意代码：Stuxnet、Duqu和Flame。从上面的时间对比中，我们可以看出令整个安全业界感到非常尴尬的一点，就是这些APT蠕虫至少存在了几乎一年之久才被业内广泛感知和进行相应处理。Flame在几乎长达5年的活跃时间内，整个安全业界没有任何感知，而Stuxnet直到最后发动致命一击，安全业界才开始关注工控系统安全，关注APT攻击。

    “我们需要采用全新的策略、模型和产品，积极对抗、捕捉APT。”金山安全高级总监林凯说：“继续沿用原有的防杀病毒行业的时间后置的恶意代码检测和鉴定，这样的路子行不通。”

    金山私有云安全系统的新闻发布会上展示的产品，是一种以白名单作为产品的核心，以主机控制策略作为产品应用模型的全新产品。该产品的工作原理是：首先对用户终端环境中的所有程序和文件进行全网扫描，如果是病毒、木马、蠕虫等“黑”文件，则予以处理;如果与金山独有的数亿级的白文件库相匹配，则判“白”并予以放行;如果是暂时无法识别的未知文件则先标“灰”，后以不同的策略和文件鉴定器予以综合处理。

    “我们相当于给企业级客户的数字化环境中的所有文件建立了一个身份证系统。并对其行为进行严密跟踪、监控。”林凯说，金山的私有云安全系统，可以帮助用户实现高级威胁的有效捕捉，让用户的数字化环境的变化“看得见”，未知威胁“找得到”，APT“防得住”，幕后黑手“跑不掉”。

    我们注意到，金山的私有云安全系统和传统的防杀病毒软件截然不同。

    反病毒技术一直以来的模型是基于黑名单为主、白名单为辅的，很大程度上是因为病毒虽然很多、但正常应用程序的基数更大，所以第一代反病毒工作者基于白远大于黑的规律建立了黑名单为主的体系。但随着近年来在地下经济的拉动，已经通过自动化的方法产生大量的恶意代码实体文件;黑样本文件的大量增加，不仅给传统反病毒技术带来压力，同时，大量的普通样本，也对APT攻击起到了掩盖作用，使防御者无法对准焦点。

    这为APT的检测和防范制造了障碍。过去在大规模的病毒爆发的时候我们可能在计算机中安装杀毒软件扫描，如果未查出病毒，就可以说这台机器是安全的。而在APT时代，所有的攻击威胁都是基于前导的免杀、修改构造的，APT制造者在投放前，就规避了传统安全手段的检测和处理。这种情况下，再没有人敢说：我安装了防杀病毒软件，就可以保障信息系统的安全无忧了。

    APT制造者将游戏的规则改变了，信息安全厂商的步子却没有跟上来。这就是我们所面对的困局的根源。

    从全球根治APT的三个主要技术方向来看，白名单方案实现的技术可行性和对信息系统的保障能力，显然排在前面。

    技术能力转向产品化

    一项面向1,500多名安全专业人士的全球性网络安全调查显示，超过五分之一的受调者称其企业曾遭受过高级持续威胁(APT)攻击，但大多数企业仍采用收效甚微的技术来保护自己。

    对于政企而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是APT攻击。

    APT考验安全厂商的技术能力能不能跟得上，挺得住，耗得起，同时增加了深度分析能力和耐心的比拼，这就成为了一个新的二八定律分水岭。在APT时代，我们从思想上突破就是捕获/分析能力前置化，即把厂商能力前置到用户端，通过前端搭建私有云和配套分析设备的思想，把厂商能力转化为用户能力，把这种用户能力变成销售给用户的产品。

    针对APT的防范研究和产品研发，全球已有数家先锋的安全企业，站在不同国家的背后并积极行动，中国政府的背后，是否也有像BIT9、曼迪昂特这样的安全公司？

    据悉，国内厂商也积极地在变局中寻求突破和创新。使用病毒特征来保护网络安全的技术如今日渐式微，取而代之的是以可信“白名单”库为基础，以终端安全策略为主体，以恶意代码的实时监控与分析为保障的整合性一体化主动防御解决方案。

    3月31日，国内着名软件企业金山宣布成立中国首家捕捉定向攻击的信息安全公司。一个月后，正式对外发布研发两年多的私有云安全系统。该公司张旭东介绍，作为一家专业的安全公司，其研发的私有云安全系统可实时防御日益严重的定向化、复杂化、持续化攻击，支持政府、军队、大型集团化企业等单位保护高价值的信息数据，有望成为抵御外籍“黑客部队”攻击的秘密武器。

    2013年，企业面临的安全形势更加严峻，纵观APT的发展趋势，其攻击范围不断扩大，破坏力也越来越大。防范APT，需要防微杜渐，需要防范于未然。成为APT攻击的目标，也许只是时间问题。而一旦遭受APT攻击，导致核心数据泄漏，就会造成无法弥补的损失和危害。

    随着利益的不断驱动和黑客技术的成熟，APT制造者和安全厂商之间必定有一场激烈的对抗博弈。我们注意到，如今，网络安全已经提升到国家战略高度。据了解，美国总统奥巴马4月10日提交国会的2014财政年度国防预算案提出，把网络安全作为国防重点支出项目之一。尽管国防开支面临削减，美国政府仍打算加大投入，扩容军方“黑客”队伍，以期强化网络攻击和防御能力。预算案计划为国防部拨款47亿美元，用于网络安全事务，与现行方案相比增加8亿美元。

    面对已经来临的APT泛滥和网络信息战，中国该怎么办？我们了解到的情况是：中国相关机构尚未建立严密的信息安全防御体系，无法应对全球高达数千种的“网络武器”的隐蔽性侦查乃至攻击;更可怕的是：有不少重要单位，甚至不认为自己会遭受定向攻击;此外，应对APT的中国行动太过迟缓：目前只有极少的几个涉密的研究所或机构，才刚开始针对蜂拥而来的APT开展着前期研究。

    中国需要自有的针对定向攻击的捕捉和防御的系统!中国政府和中国的信息安全厂商，到了惊醒和快速行动的时候了!

    起来吧！不愿被欺凌的广大IT安全领袖！用我们的拳头证明我们国产安全武器的强大！