查看原文
其他

【公开版】2016网络安全威胁的回顾与展望

2017-04-10 安天


2016年3月,安天移动安全年报《威胁的全面迁徙》[点击阅读全文] 首先发布,以观点的方式来组织内容,用威胁的概念表达归纳安全事态的现象和趋势;


而历时三个月,几易其稿的基础威胁年报《2016网络安全威胁的回顾与展望》(公开版)终于和大家见面了。因其报告篇幅比较长,所以微信只发布了报告的目录和“代导语”部分,请点击“阅读全文”查看其完整版。


1.  努力让思考适配年代(代导语)


在中国网络安全的发展中,2016年云集着众多的里程碑节点——习近平总书记在4.19网信工作会议上发表重要讲话;网络安全法正式通过,强调全面加强关键基础设施防御;十三五规划提出“自主先进”的全新要求…..一个未来清晰的地平线在远方展开。对中国网安从业者来说,如果说此前十余年的摸索前进,更像是一个为这个“大时代”而积蓄力量的过程的话,2016年则已经将新时代大幕正式开启。无论对“乐观坚持者”,抑或“悲观放弃者”,还是“临时转型者”来说,这个时代都真实的到来了。


在这个大背景下,安天一直坚持的年度规定动作“安天基础威胁年报”和“安天移动威胁年报”的正式发布日期被一推再推,移动威胁年报直至3月10日才发布。而基础威胁年报的发布距离我们在今年1月的安天第四届网络安全冬训营上,向营员分发预发布版已经过去了整整90天,如果说在其他年份,这种拖延和不断修改是因为我们对技术的敬畏和对威胁的警惕,而这一次我们的反复推敲,则是我们在自我反思和检验:我们的行动是否跟进了我们的思考,我们的思考是否适配了这个时代!


自2014年起,我们提出了“观点型年报”的自我要求,我们需要有自己的视角、立场和分析预测,我们放弃了传统的以后台恶意代码的数据输出来构筑模板式“统计型”年报,我们深知那些精确到行为和静态标签的“蔚为壮观”的统计数据,虽然看上去很美,但其并不具备足够的参考价值;而用扫描传播次数来作为威胁严重程度的度量衡,尽管对部分类型的风险依旧有效,但那确实是“蠕虫”和DDoS时代的产物,其掩盖了那些更为严重的、更为隐蔽的威胁。但仅仅有观点型年报这样的意识就足够么?我们回看此前几年安天自己的年报,在充满着“全面转向”、“日趋严重”、“不断浮现”、“接踵而至”这些成语的描述中,真的揭示了威胁的现状和趋势么?


在这份年报中,我们非常谨慎又沉重的提供了以下思考和观点:


APT行为的历史比APT这一名词的历史更为久远,今天我们看到的APT事件的“频发”,更多是曝光度的增加,而这种曝光度的增加是由于APT攻击聚焦了更多的安全资源和媒体关注导致的。我们认为对APT攻击的趋势最合理的表述是:APT攻击是网络空间的常态存在,而其增量更多的来自新兴目标场景的拉动和新玩家的不断入场。


APT的攻击重点“转移”到关键信息基础设施既是一种趋势,更是一种既定事实,对超级攻击者来说,关键信息基础设施一直是APT攻击的重点目标,这种攻击围绕持续的信息获取和战场预制展开,在这个过程中CNE(网络情报利用)的行为是CNA(网络攻击)的前提准备。


商用攻击平台、商用木马和漏洞利用工具等网络商业军火全面降低APT攻击成本,提升攻击追溯难度。商业军火的泛滥,首先带来的是金字塔的底层混乱,不受控的商业武器,更有利于巩固一个单级的世界。


将APT概念泛化到一些使用高级手段和技巧的攻击行为,是不负责任的,没有攻击意图和攻击意志的APT分析,不是可靠的APT分析判定。而恰恰相反的是,高级的网络攻击未必使用高级的技巧和装备,APT攻击者劫持普通恶意代码,包括全面伪装成普通的黑产犯罪可能会成为一种趋势。


IT基础设施的不完备、信息化建设的“小生产化”等原因导致在我国信息化建设中,架构安全和被动防御层面存在严重的先天基础不足,这是我国应对风险能力不足的根本原因之一。我们不仅需要守卫一条漫长的、充满弱点的边界,也拥有大量“防御孤岛”和散点。对此,没有更进一步的信息化与安全的同步建设,没有“安全与发展同步推进”,安全防御依然将无法有效展开。


跟随硅谷安全产业圈实践的亦步亦趋,不能有效全面应对中国所面对的APT风险。硅谷的安全探索更多是面对发达国家政企和行业客户基础安全投入已经在全面产生基础价值的情况下,进行积极防御和威胁情报的加强。但脱离了基础能力的高阶安全手段,是不能有效发挥作用的。从具体的风险对抗层面来看,超级攻击者在信道侧的物理优势,以及与传统人力和电磁能力结合的作业特点,导致C&C、文件HASH信标型威胁情报对其行动的检测价值被大大削弱了。


“物理隔离+好人假定+规定”推演,构成了一种安全假象和自我安慰,网络分区策略和隔离手段无疑是必备、必要的安全策略,但如果不能伴随更强有力的内网安全策略,其可能带来更大的安全风险。安全策略和安全投入,需要基于以内网已被穿透和“内鬼”已经存在作为前提假定来实行。


黑产大数据带来的个体悲剧案例,还只是这一问题的冰山一角,当前数据流失总量,已经构成了准全民化的画像能力,其带来的“威胁情报反用”已经构筑了高精度单点打击,从而带来了较大的国家安全风险。不受控的采集、信息资产的离散化、问责体制的不明确,构成了风险加速的主因。


传统Windows PC恶意代码增速开始下降,移动等新兴场景恶意代码继续加速发展,同时各种平台下高级恶意代码的隐蔽性和抗分析能力都在不断提升。


威胁情报不只是防御方资源,威胁情报也是情报威胁,是攻防双方的公共地带。同样的数据,对防御方来说是规则和线索,对攻击方来说则是攻击资源和痕迹。


“敲诈者”是当前值得关注的高发性恶意代码行为,其从最早的邮件恶意代码投放,开始和“僵尸网络”、“蠕虫传播”、“网站渗透”、“内网传播”、“手机病毒”等叠加,其影响范围已经全面从个人用户到达政企网络。其不再只是一种恶意代码类型,而成为典型的黑色经济模式。


大规模IoT设备的蠕虫感染事件,不能单纯作为DDoS攻击跳板来看。被入侵的这些设备本身具有更多的资源纵深价值,这比使用这些设备参与DDoS攻击所带来的危险更为严重。IoT大面积的脆弱性存在,有着更为隐蔽、危害更大的社会安全风险和国家安全风险。只是这种风险,更不容易被感知到罢了。


今天从供应链安全的视角上看,更多依然采用从上游抵达下游的“间接路线”来审视。供应链防御作为高价值场景防御的延展,逐渐为安全管理者所接受。但仅仅把供应链风险视为达到关键目标的外延风险是不够的,供应链不仅是攻击入口,其本身更是重要的目标,未来的网络空间攻防的主战场将围绕“供应链”和“大数据”展开。


面对威胁和挑战,安天将选择做具有体系化视野和解决方案的能力型安全厂商。基于自主创新的威胁检测防御核心技术产品服务,推动积极防御、威胁情报与架构安全和被动防御的有效融合,致力于提供攻击者在攻击难以绕过的环节上叠加攻击者难以预测的安全能力,达成有效防护和高度自动化和可操作化的安全业务价值,这将是未来安天所选择的道路。


报告完整内容及后续版本更新、勘误,点击下方“阅读原文”链接至安天官网 “安全响应”栏目查看。



注:


本分析报告由安天安全研究与应急处理中心(安天CERT)发布,欢迎无损转发。


本分析报告错漏缺点在所难免,敬请业内专家和研究者回帖指点批评指正。




安天

安天从反病毒引擎研发团队起步,目前已发展成为以安天实验室为总部,以企业安全公司、移动安全公司为两翼的集团化安全企业。安天始终坚持以安全保障用户价值为企业信仰,崇尚自主研发创新,在安全检测引擎、移动安全、网络协议分析还原、动态分析、终端防护、虚拟化安全等方面形成了全能力链布局。安天的监控预警能力覆盖全国、产品与服务辐射多个国家。安天将大数据分析、安全可视化等方面的技术与产品体系有效结合,以海量样本自动化分析平台延展工程师团队作业能力、缩短产品响应周期。结合多年积累的海量安全威胁知识库,综合应用大数据分析、安全可视化等方面经验,推出了应对高级持续性威胁(APT)和面向大规模网络与关键基础设施的态势感知与监控预警解决方案。


全球近百家著名安全厂商、IT厂商选择安天作为检测能力合作伙伴,安天的反病毒引擎得以为全球近十万台网络设备和网络安全设备、超过六亿部手机提供安全防护。安天移动检测引擎是全球首个获得AV-TEST年度奖项的中国产品。


安天技术实力得到行业管理机构、客户和伙伴的认可,安天已连续四届蝉联国家级安全应急支撑单位资质,亦是中国国家信息安全漏洞库六家首批一级支撑单位之一。安天是中国应急响应体系中重要的企业节点,在红色代码、口令蠕虫、震网、破壳、沙虫、方程式等重大安全事件中,安天提供了先发预警、深度分析或系统的解决方案。


安天实验室更多信息请访问: 

http://www.antiy.com(中文)

http://www.antiy.net(英文) 


安天企业安全公司更多信息请访问: 

http://www.antiy.cn 


安天移动安全公司(AVL TEAM)更多信息请访问: 

http://www.avlsec.com


100 23239 100 23239 0 0 4590 0 0:00:05 0:00:05 --:--:-- 5160 * Connection #0 to host 37.48.118.90 left intact dy>

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存