安天肖新光:敌情想定下的网络安全防御思考

2019/02/27 23:22
阅读数 23

编者按】2018年8月14至16日,2018中国网络安全年会在北京举行。在主论坛上,安天创始人兼首席技术架构师肖新光做了题为《敌情想定下的网络安全防御思考》的大会报告,以下为本次报告的主要内容。


2018中国网络安全年会


安天创始人、首席技术架构师

在2018中国网络安全年会上做主题报告



复盘中东最大SWIFT遭遇入侵的启示


报告从超级大国入侵中东地区最大的SWIFT服务提供商EastNets事件的复盘分析开始,展示了超级大国一次攻击行为的完整可视化复盘。其攻击过程为:首先使用FB攻击平台,利用Juniper、Cisco等防火墙中的零日漏洞,依次击穿了4台VPN防火墙、2台企业级防火墙,以及2台管理服务器。随后攻击者到达后端的SAA服务器区域,使用DS远程控制平台,利用四个“永恒”系列零日漏洞和爆炸之罐零日漏洞获得了这些系统的控制权,并以此为跳板继续攻击后端的FTP服务器。最后攻击者执行SQL脚本与Oracle数据库进行交互,最终得到了所需的用户账号、密码及相应的交易信息。这一复杂的网空攻击过程中,超级大国展示了其作业技巧和装备体系


超级大国攻击EastNets使用的网络攻击工具及漏洞


面对高级网空威胁行为体发动的攻击,我们必须考虑到:


► 高级威胁行为体有突破目标的坚定意志,且具有充足的资源、成本准备,并进行体系化的作业。


► 任何单点环节均可能失陷或失效,包括网络安全环节本身。


► 信息系统规划、实施、运维的全过程,都是攻击者的攻击时点。


► 防御者所使用的所有产品和环节同样是攻击方可以获得并测试的。


► 攻击者所使用的攻击装备有极大可能是“未知”的,这种未知是指其因在局部和全局条件下,对于防御方和防御方的维护支撑力量(如网络安全厂商)来说,是一个尚未获取或至少不能辨识的威胁。



对超级大国攻击能力的进一步观察


报告介绍,从超级大国的能力来看,研发针对各种端点环境的高级恶意代码和储备零日漏洞及其利用工具只是其冰山之上的部分。高级恶意代码和零日漏洞利用工具是其网空作业的“战斗部”。但和传统空间的战争一样,网空作业同样需要解决行动目标是谁、目标在哪里、如何到达、如何规划攻击过程、如何评价攻击效果等问题,高级网空威胁行为体的“战斗部”是依托多种投放作业方式,在配套运载、信号中继装备支持下,由大规模监测和攻击工程项目以及人员团队支撑整个攻击过程的。


安天对超级大国网空能力的分析轨迹


超级大国具备全球监控项目(工程体系)支撑网空作业的能力,其在网络空间的进攻性能力体系是一个复杂的情报流程,包括整个信息收集部分、处理&分析部分、扩散&聚合部分,来达成目标的攻击效果。超级大国的传统信号监听和网络监听获取体系构成了网空作业的先天优势,具备全球网络地形绘制、目标寻址和目标行为采集分析能力。有完备的网络空间进攻性能力支撑框架,对目标定位、联动决策、打击注入形成了支撑,同时确保了攻击隐蔽性,以对抗溯源


在网络攻击方面,超级大国的军事力量已经形成了清晰的战术攻击方法论,并尝试将调度网空资源的行动权限下放到师级单位。师级单位可以依托于自身作业小组,调度其整个网空的优势,针对政治、军事、经济、社会、信息、基础设施进行打击。



正确的敌情想定是有效防护的前提


从网络空间安全抵抗演进的角度来看,其具有一定的阶段性,从原始信道对抗,到节点系统对抗,再到网络对抗,最后发展到网络空间体系对抗。在此过程中,网络安全工作应对的对象逐渐从单体的事件或威胁类型,变为需要面对各种网空威胁行为体的挑战。这是网络空间的敌情。


传统的安全工作有两个推动维度:一是围绕相关合规标准展开,通过相关检查点来判断防护情况;二是围绕威胁的类型、行为或单点场景类型展开,如计算机病毒感染、DDoS攻击、网站入侵篡改等。上述工作对于应对单点威胁和事件是有效的,但对于应对高级网空行为体的复合性攻击是不够的。


2017年6月,在一次内部研讨会上,安天首次提出了“有效敌情想定是网络安全工作的前提”,将“敌情想定”这一军事术语引入了网络安全领域。“想定”是军事术语,是指对作战双方基本态势、作战企图和作战发展情况的设想。敌情想定是在整体想定中对对手的意图、体系、能力、资源、预案的全面分析和设定。安天提出对于关键信息基础设施、重要信息系统等防御场景,“敌已在内、敌将在内”这是最基础和最重要的敌情想定。提出了“减少应激驱动,建立常态化防御能力改进”,“物理隔离+好人假定+规定推演,构成了当前最大的自我安全麻痹”等观点。2018年1月,在安天主办的第五届网络安全冬训营上,将“敌情想定是前提,网络安全实战化”作为主题。


在当前网络信息系统同时面临着来自国家和政经集团等高级行为体、民间复合行为体、传统民间行为体攻击的情况下,敌情想定场景已经发生了变化。高级的攻击者具有打穿任何系统的坚定意志,所以“敌已在内、敌将在内”才会成为最基础的敌情想定,同时从外部信息环境、供应链、对外信息交换和社会关系角度,关键信息基础设施和重要信息系统等防御场景需要极限化想定,所以这种网空对抗是一种“平时的持续性对抗、隐蔽性对抗,战时的高烈度对抗,平战皆为无底线对抗和高成本对抗”。


报告指出,不同的场景,不同的对象,不同的区域,不同的行业所面临的对手不同,对手关心我们的意图不同,攻击的目标和入口有差异,我们当前的防御情况也有个性化的不同和缺陷。敌情想定不是一个普适的概念,而是需要具体完善和具象化的。并从政务网络、关键基础设施、军工企业、高等院校等多个典型的需要梳理敌情想定的攻击场景展开了分析。


针对不同的典型的需要梳理敌情想定的攻击场景


同时,报告指出:敌情想定很重要的一点是基于对手作业能力和机会窗口期的对位。以安天曾分析过的“白象”攻击为例,从早期攻击中不使用漏洞,到逐渐使用了一些相对陈旧的漏洞,一方面说明该国家行为体的攻击能力和资源有限,而另一方面,这种攻击依然有效,本质上则暴露出我们的防御缺失。对于敌情关注的目标,作业窗口遭遇未修复漏洞的攻击敞口,要以对手已经利用漏洞完成植入为想定,形成深入排查和重新布防,而非简单的漏洞修补。对于重要信息系统,不能仅仅考虑防范高级和特种木马,面对各种恶意代码、僵尸网络感染,都要考虑到这些恶意代码完全可能被敌方劫持控制,进行深度分析,而不能简单只是消杀了之。


而在当前,信息化现状的复杂性与攻击机会窗口叠加是一个复杂问题,在漫长的攻击窗口存在的情况下,如何评价对手是否利用了相应漏洞和达成了怎样的效果,需要新的工作视角和资源投入。



对网络安全防御体系建设的若干思考


从习近平总书记4.19讲话到4.20讲话,工作要求在不断提升:从“全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力”到“实现全天候全方位感知和有效防护”,再到“做到关口前移,防患于未然”。


思考一:基础信息技术自主先进和网络安全能力发展要相互促进发展,反对网络防御的虚无主义。


基础信息化产品自主、先进、可控是网络强国的基础能力支撑,但其和网络安全防护应是共同发展、相互促进的关系。将供应链自主视为网络安全工作前提的观点,特别是认为在达成基础信息产品的自主化之前,防御是难以进行和难有作为的认知,不符合客观规律,导致了防御的虚无主义。基础信息化产品需要取得技术突破,形成先进能力,建立生态体系。网络安全防护工作则需要直面当前信息系统是基于全球信息技术供应链这一既定事实展开。


同时,鉴于超级大国和一些高级威胁行为体的场景预制能力和攻击装备的场景覆盖能力,基础信息化产品的研发、生产过程更需要有高度的网络安全防护保障,需要严格遵循安全的规划、设计框架进行设计,严格执行代码安全的相关规范,系统建立其安全保障机制,实现全生命周期的安全管理。


思考二:需要以体系化防御对决体系化的进攻,反对寻找银弹。


需要以体系化防御对决体系化的进攻是一个最基本的认识,防御无银弹。


随着信息化的不断发展,现代信息系统是一个复杂系统,复杂系统的可靠性保障本身不能依赖于每个节点都不出问题。相对于现代信息系统的规模,特别是面对高级网空威胁行为体的作业能力,单点失效是必然发生的。基于此,需要以体系化的防御对决体系化的进攻。没有一个单点系统或单点技术能够解决复杂系统问题,这就是银弹是不存在的原因。但很多时候,我们仍渴望这种银弹出现,对单点技术和单点创新带来安全变革往往存在不理性的期待。


思考三:网络安全建设需要三同步叠加演进,走出先建设后安全的误区。


信息化越是先进复杂,就越无法依靠建设完成后贴膏药的方式做好安全防护。在如何做好安全的规划和能力叠加方面,滑动标尺模型提供了很好的参考。该模型由国际著名安全咨询机构SANS提出,由安天翻译引入国内,并与国内能力型厂商约定为公共安全模型。该模型明确揭示了作为基础结构安全、纵深防御、态势感知与积极防御、威胁情报间的叠加和前置基础条件关系。说明了没有基础安全规划和布防的高阶安全能力和手段将成为空中楼阁。


有效防护网络必须将网络规划为一个可防御网络,而可防御网络的前提是可管理网络。要实现一个可管理网络,就必须在系统全生命周期遵从“三同步”原则,即在网络的规划设计阶段、建设实施阶段和运行维护阶段都要考虑安全问题。


滑动标尺叠加演进模型



来源:安天

本文分享自微信公众号 - 网络空间安全资讯(cyber-news)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部