阅读: 0
在这波澜壮阔的大时代,攻防双方纵横捭阖,网络安全方兴未艾。在每次风起浪涌时,绿盟人就会审其时,顺其势,勇可做大时代的弄潮儿,睿可当巨人背后的专家。
二十年,对于传统产业而言很短暂,而对于网络安全这个瞬息万变的朝阳产业,却显得格外漫长。网络安全早已不是简单部署防火墙、安装杀毒软件就能高枕无忧的时代了。二十年,网络攻防技术日新月异,攻击者将网络攻击武器化、军火化;防守者抛弃被动防御,转而采用事前主动诱捕,事中纵深防御,事后快速响应的积极策略;与此同时,整个IT产业又快速拥抱云计算、物联网和下一代网络等新型基础设施,移动办公、共享经济、普适计算、软件定义一切,让信息产业变得异构、碎片化,在自适应安全、零信任安全、软件定义安全等先进理念的指引下,安全防护正走向体系化、智慧化、敏捷化。
本文首先介绍了安全产业的变迁,然后从安全攻防的自身演化和网络安全大环境两方面回顾了网络安全技术的发展,并介绍了绿盟科技在相关领域的技术发展路线。
自从二十世纪末克林顿政府提出“信息高速公路”和“国家信息基础设施”后,互联网高速发展,与之对应的网络安全问题也越来越严重。国际上ISO27001:2000版本于2000年颁布,SOX萨班斯方案于2001年颁布,等级保护的第一个标准在1999年就已颁布,但是缺乏实用的配套落地指南,总体而言,企业都在重点建设网络和信息化的同时,存在对网络安全的重视和投入不足的问题。
总体而言,这五年既是计算机网络高速发展的黄金时期,但也是恶意病毒借互联网快速传播的时期。从几个标志性事件就可以看出:CIH病毒,首个可以破坏BIOS的病毒;红色代码蠕虫,促进了防病毒行业的发展,这些网络蠕虫的发展扩散,一度占据了60%以上的Internet流量,互联网安全逐步引起人们的重视。网络安全也从数据安全、通信安全概念里脱离并发展出来,成为一个单独的安全领域。
绿盟科技自2000年成立后,制订了自研的技术路线,推出了极光扫描器“,冰之眼”入侵检测,“黑洞”抗拒绝服务系统。这期间由于硬件性能的不足,网络安全以评估审计为核心,网络安全三大件——扫描器、入侵检测、防火墙成为主流,主要客户是金融、运营商、政府。这期间,国外的ISS扫描器,以色列的防火墙,占据了国内运营商和金融市场。国内安全公司主要有绿盟科技、启明星辰、天融信、安氏等,面对国外产品的竞争,国产设备厂商主要以学习借鉴为主。
随着网络安全问题的日益突出,以及金融运营商的海外上市,大家对ISO27001和SOX逐渐重视,针对信息安全管理体系的咨询和建设开始增加。2005年,国家电子政务外网建设启动,政府对国内厂商扶持力度增大。2007年,等级保护管理办法开始颁布,等级保护也开始真正落地,由此带来了咨询服务的高峰。
安全产品也随之转化,“极光远程安全评估系统”转型为“极光远程安全评估管理系统”,引入CVSS等先进的安全积分要素和方法,不仅可以扫描出漏洞,还能评估网络安全状况。随着硬件和用户流量的快速发展,绿盟NIDS网络入侵检测系统转换成NIPS网络入侵防御系统。从旁路审计到串联防护,NIPS和“黑洞”首次突破了1G线速。国产硬件大量用在电子政务外网建设、三金工程等国家重点工程。由于与运营商合作,绿盟NTA网络流量分析系统成为当时国内唯一的Netflow安全分析系统。“黑洞”(Collapsar)抗DDoS能力也随着CC(Challenge Collapsar)攻击手法的出现而名声大噪,成为抗DDoS产品中的第一品牌。这5年间,规则升级,攻防对抗成为主流。
随着2008年奥运会、2010年亚运会等大量大型公众型活动的举办,使得安保维稳压力增大,网络安保也大量增加。“美国爱因斯坦”等国家级安全项目也传递到国内,绿盟科技也开始参与大型态势感知保障预警平台的建设。
互联网开始高速发展,微信于2011年推出,与支付宝大战,电子政务外网建设成果突出,电子银行、网银等深入民心。互联网产业发展提速,随之而来的安全问题也越来越多,网络安全的春天到了。各级政务企业网站建设都成为主流,但网络篡改、挂马层出不穷。大家又把Web应用安全从网络安全概念中独立出来,成为一个单独的概念。云的概念开始被行业接受,自Openstack和阿里云出现,云计算市场开始扩张,云安全和SDN开始兴起,云计算系统也成为网络攻防的新战场,云安全转变为纯粹的网络安全。
近年来,高级持续性威胁(APT)开始成为一个热门词汇。2010年的震网(Stuxnet)攻击向人们展示了高级持续性威胁的巨大威力,而FireEye等厂商发布的一系列APT报告使人们意识到
高级持续性威胁就在身边。由于使用了0day漏洞和高级漏洞利用技术,传统的安全产品难以有效地防御高级持续性威胁,对未知威胁的检测与防御是安全厂商面临的新挑战。一些新的技术,如威胁情报(Threat Intelligence)、沙箱(Sandboxing)、欺骗(Deception)和攻击模拟(BAS,Breach and Attack Simulation)技术等也应运而生。
最近五年,云计算已经成为标准的基础设施,移动互联网、物联网也得到了极大发展,网络安全已经不只是传统的计算机网络,而是囊括了各类复杂、异构、动态和融合的网络,云计算和工业互联网的各类安全事件也层出不穷,甚至上升到国家层面的对抗,单一的解决方案已经无法满足这类应用场景的需求,各类新型的产品和解决方案也在推陈出新。
此外,攻击者借助精良武器库和自动化的技术,攻陷时间越来越短,这就要求防守者在合规性的底线要求基础上,不断打磨己方检测和响应流程,缩短闭环时间。业界也基于自动化编排的技术,推出了如EDR/NDR检测响应和SOAR自动化编排的产品,以及MDR可管理检测响应的服务,目的就是提供自动化、运营化的安全能力,缩短安全检测和处置的时间。
最后,网络空间已经成为国家之间博弈的战场,中美等国都组建了自己的网络安全部队,保护本国网络空间的安全。事实上,每当国际形势紧张时,都会在网络空间中出现定向的攻击,如乌克兰停电、沙特石油设施遭袭后,国家之间的网络空间对抗加剧,都是另一个形态的战争。在这一大背景下,安全可控成为我国网络安全产业发展的大方向,关键基础设施防护会成为我国未来几年网络安全发展的强驱动力。
2000年,主流的漏洞类型是缓冲区溢出(Buffer Overflow)。EliasLevy(A.K.A. Aleph One)在1996年发表的《Smashing The Stack For Fun and Profit》和Christien Rioux(A.K.A. DilDog)在1998年发表的《The Tao of Windows Buffer Overflow》使得缓冲区溢出漏洞的利用技术广为人知,因此,攻击者发现缓冲区溢出漏洞之后可以很容易地实现对漏洞的利用。常见的网络服务程序中一旦被发现存在缓冲区溢出漏洞,可以被远程、无交互地进行攻击,往往会形成影响重大的蠕虫事件。2001年的红色代码蠕虫、2003年的冲击波蠕虫、2004年的震荡波蠕虫等都造成了非常巨大的伤害与损失。
为了应对这类威胁,微软等厂商开始在操作系统中引入缓解措施来进行对抗。保护栈数据的Guard Stack、Safe SEH、SEHOP等缓解措施使得栈缓冲区漏洞的利用逐渐趋于绝迹;保护堆数据的Safe Unlink、堆随机化(Heap randomization)、堆元数据保护(Heap metadata protection)等缓解措施也极大地减少了堆缓冲区漏洞的利用。更重要的是数据执行保护(DEP)与地址空间布局随机化(ASLR)的引入使得之前的通用漏洞利用技术不再有效,缓解措施的绕过成为漏洞利用过程中必不可少的重要环节。
到了2010年,缓冲区溢出漏洞逐渐减少,主流的漏洞类型开始转向释放后重用(UAF)。缓解措施的引入提高了漏洞利用的门槛,漏洞利用技术不再是人人可用,然而可以绕过缓解措施的高级漏洞技术依然存在。为了绕过缓解措施,攻击者往往需要进行一系列复杂的操作,从控制内存布局到获得任意地址读写能力,最终实现任意代码执行。因此,攻击的目标也由网络服务程序转向客户端程序(比如浏览器、PDF文档阅读器、办公软件Office等),以便通过脚本语言等来获得所需的控制能力。
2015年,微软发布了新的操作系统Windows 10,同时开始执行新的更新策略:每年两次大版本更新,每次更新都有新的缓解措施与安全特性。延迟释放(MemGC)与隔离堆(IsoHeap)通过破坏漏洞利用的条件基本上消灭了释放后重用漏洞,使得主流的漏洞类型转为类型混淆(Type Confusion)与越界读写(OOB)。控制流防护(CFG)、返回流防护(RFG)、任意代码防护(ACG)、代码完整性防护(CIG)共同构建了一个完整的防御体系,可以有效地防止在漏洞利用中实现任意代码执行。此外,基于沙箱与虚拟化的防御技术的引入,进一步拓展了纵深防御体系的深度,增加了攻击的复杂度与难度。
无论安全产业如何发展,技术栈如何更新,安全的本质始终是矛与盾的对抗。虽然微软等厂商在缓解措施等防御技术上做了很多努力,也还是无法避免新颖的高级漏洞利用技术绕过所有缓解措施实现任意代码执行。因此,微软在2013年启动了Microsoft缓解绕过赏金和防御赏金计划(Microsoft Mitigation Bypass Bounty and Bounty for Defense Program),向全球的安全研究者征集针对最新Windows平台的新缓解绕过以及防御方法,以便阻止当前绕过最新平台缓解措施的利用技术。绿盟科技天机实验室每年都会向微软提交多项新颖的缓解绕过技术,并成为全球唯一一家连续六年获得微软该项奖励的网络安全企业。
自APT兴起后,网络空间安全已经朝着网络战争的方向发展,攻击武器化、攻击组织体系化、军队化趋势明显。此外,网络安全已经成为越来越多机构、企业标准的IT投入,传统防护虽然单兵能力很强,但已经无法应对攻击者各类新型、未知武器的攻击,也无法大规模服务于客户,所以作为工作在大数据基础上、有规模化能力的人工智能和数据科学技术已经越来越广泛地被应用于网络安全领域,此外如知识图谱等新技术也与数据科学融合,为安全防护提供了新的支撑能力。
一方面,人工智能可以提升传统安全检测引擎的准确率,识别未知威胁。如通过深度学习技术,可以对恶意软件进行静态或动态分析,将具有相同基因的样本划分为同一家族,从而可预测新的未知恶意软件。又如,我们通过DNN深度学习技术学习大量通过规则确认的恶意Webshell请求,产生的模型就可以识别未知的攻击请求模式,一定程度上缓解已知规则绕过的问题,同时也能提升规则编写的效率。
图1 Webshell异常流量检测引擎
进一步借助可解释性人工智能(XAI)技术,能够解决深度学习无法解释预测结果的问题,从而给运营团队可解释的结果,如下图可以解释上例中某个请求为什么是恶意的Webshell(因为存在某些单词z1、eval等)。
图2 Webshell异常流量解释
人工智能等数据科学的技术可以提供额外的检测引擎,还可应用于DDoS、Web安全、入侵检测、加密流量识别等单独的细分领域,也都取得了不错的效果。
另一方面,在企业场景中,安全运营(XDR、SOAR等)和威胁狩猎(Threat Hunting)也都是应对APT的重要手段。数据科学和知识图谱成为辅助运营团队找到威胁,并作出处置的重要技术手段,如图3所示。
图3 基于数据科学和知识图谱的内网威胁运营
首先,可梳理内部人员、资产等主体及其属性,与外部情报共同组建彼此连接的知识图谱,形成语义层面的联系;其次,在运行时通过各类检测技术,找到终端、网络侧的异常,此时通过知识图谱沿着节点和边寻找被攻击者感染的资产,回溯其用过的攻击手法,并分析当前系统所受影响,对态势做出研判。随着SOAR逐渐成熟和各类安全设备的处置功能逐渐完善,安全引擎将不仅包括检测和研判功能,还会提供决策能力。如可学习运营团队的手动处置步骤,在后续类似的场景下给运营团队提供若干处置选择,一旦运营团队确认某个处置策略,就能自动化地完成隔离、阻断、恢复等操作。
总之,数据科学和知识图谱等新技术可以配合传统的安全攻防技术,成为网络安全战争指挥部中的智囊团,让我们的安全运营更简单、更智能、更敏捷。
除攻防双方在不断打磨各自的矛与盾外,整个战场的环境也在发生变化,传统网络在不断与新的场景融合,例如云计算、物联网、5G、SDWAN等,这些新环境下的安全问题值得重视。
在亚马逊推出AWS服务后,云计算经过了十多年的发展,已经成为企业不可或缺的计算和存储基础设施。在美国,大部分企业都使用了云端服务,而在中国,越来越多的企业也开始拥抱云计算。可以说,云计算变成了人们习以为常的资源和服务,云计算安全将变成纯安全,一方面,企业或多或少都存在云平台或云应用,企业安全建设必须将云安全纳入其中;另一方面,云计算会承载越来越多的企业业务,多云、混合云安全方案适用于普通的企业安全。
当然,需要看到的是,中美的云计算产业轨迹是不同的,美国最早发展的是应用即服务SaaS,中小企业上云优先选择如Salesforce、Office 365这样的应用,所以国外前几年云安全多指云访问安全代理(Cloud Access Security Broker,CASB);这两年越来越多的企业将传统业务迁移到云中,所以公有IaaS的业务占比增加,对应的云安全技术是云工作载荷防护(Cloud Workload Protection Platform,CWPP),总体而言都是面向公有云的。而中国云计算起步较晚,且是从虚拟化发展而来的,所以前几年大型企业主要在部署私有云,不过赶上了SDN的浪潮,云安全则以云安全资源池为支撑技术,具有弹性、灵活的特点;这两年比较明显的趋势是政府和各行业上云趋势明显,借助私有IaaS的技术积累,各地都在部署各类政务云和行业云,所以对应的云安全在云安全资源池的基础上,为租户提供了按需服务Sec-aaS。安全总是后于业务、伴于业务,洞察了行业变迁,才能把握安全之道。绿盟科技星云实验室早在2013年就开始研究软件定义网络和网络功能虚拟化,设计软件定义的安全体系,并在2015年和2016年率先发布了两版《软件定义安全报告》,在行业内产生了良好的反响,创新孵化的云安全资源池NCSS,也成为业界云安全的标杆产品。
很有意思的是,尽管中美前几年云安全发展路线不同,但去年的发展趋势却惊人地一致,几乎所有的行业都在提容器安全。开发团队拥抱敏捷开发和云原生,普遍使用容器技术和编排平台,倒逼运营和安全团队了解、分析并探索这一新兴技术的安全防护之道。星云实验室也在2018年发布了《容器安全技术报告》,详细阐述了容器环境中如何进行静态检测和运行时防护。
另一个改变行业的基础设施是万物互联的各类物联网:工业互联网、车联网、智能家居等,一方面,物联网技术将网络延伸到了嵌入式终端,性能受限的物联网设备接入云端,具备了无穷的计算和存储能力,催生了大量以往不可想象的行业应用,推动了社会文明的前进;另一方面,我们需要看到物联网设备的弱性能,以及物联网厂商缺乏安全意识和能力,造成物联网设备的安全性极其低下。绿盟科技发布的2018年和2019年的《物联网安全年报》列出的物联网安全事件表明,攻击者正在有组织地利用互联网上的物联网设备发动各类网络攻击,同时也有针对性地对敌对势力的关键基础设施上的物联网设备或工业设备发动攻击,造成极其严重的影响。自2017年起,绿盟科技格物实验室关注互联网上的暴露物联网资产,历年来发布了暴露设备分布、变化情况,以及IPv6资产态势等一系列研究成果,并通过威胁捕获系统持续发现了攻击者对WSD、UPnP等物联网协议的利用和攻击。研究团队孵化的物联网安全解决方案经过产品化,提供了包含物联网安全SDK、物联网安全网关和物联网云端安全服务完整的物联网安全解决方案。绿盟科技的物联网卡异常分析系统也在若干省和国家的运营商、主管机构得到应用,有力打击了滥用物联网卡的欺诈行为。
在工控安全和工业互联网安全方面,格物实验室分别于2014年和2019年发布了《工业控制系统的安全研究与实践》和《2019工业控制系统信息安全保障框架》两份报告,阐述了工业安全的思路和防护方法。相关的产品团队也发布了如工控漏扫、工控防火墙等一系列工控安全产品。
传统的云-管-端体系下,云计算侧和终端侧已经产生了巨大的变革,而管道侧的革命刚刚开始,5G、SDWAN,甚至刚刚启动的卫星互联网(空天一体化),都是试图重构我们所在的接入、传输和骨干网,将云端的计算能力通过边缘计算分布在管道段,使得算力无处不在,必将催生无数新型的应用和产业,这无疑是未来十年信息产业发生变革的最大基础。可以说,管道侧的新技术迭代,左右对接云和端,下可达新型计算设施,上可催生新应用,使得我们所处的各类环境不断融合,不断演化,合中有分,分中有合。
SDWAN在国外发展得如火如荼,多分支机构互联、随时随地办公、灵活一致的安全策略等需求直接引爆了零信任相关细分领域,也直接改变了中小企业边界安全产品的形态;5G推进方面中国毫不落后,但5G能否成为有力推动下一次工业革命、产业革命的前提,必须先保证其安全性,特别是在边缘计算数据中心中,其模式与公有云类似,那么如何保证多方参与的基础设施、平台和应用安全性,以及云端和边缘侧应用的安全策略一致性,仍需要做很多研究工作。
如果说云计算是计算侧的革命,物联网和各类新型网络是网络侧的革命,那么区块链则是存储侧的革命。2019年10月,习总书记在中央政治局第十八次集体学习时强调,把区块链作为核心技术重要突破口,加快推动区块链技术和产业创新发展。区块链技术层面早已成熟,而应用方面很可能因此进入快车道。在金融、物流、供应链等领域,以联盟链为代表的区块链技术会支撑各自业务的应用。当然,该技术虽然可以达到无信任达成共识、防篡改、存证回朔等目的,但也引入了如有风险的智能合约不易更新、隐私泄露、不易监管等问题。绿盟研究团队将于2020年上半年和兄弟单位联合发布面向企业应用的区块链安全报告,敬请期待。此外,我们也利用区块链不可篡改的特性,于2017年完成了一个分布式Web防篡改的原型系统,可用于下一代Web3.0站点。
总之,在万物互联、普适计算的大环境下,传统安全的技术实现遇到了很大的挑战,需要在现代化的安全理论指引下,先解决新型基础设施的安全问题,然后探索通过这些新型基础设施赋能,帮助我们更好地完善、提升安全防护能力。
安全的本质是对抗,有人,就存在江湖恩怨和利益冲突,有漏洞(无论是技术的还是管理的),就存在攻防。
这是一个最坏的时代,传统网络的蠕虫病毒、勒索软件、零日攻击不会停止,相反还会受利益驱使,蔓延到新型网络中,产生更严重的后果:转移到车联网危害人身安全,转移到工业互联网破坏企业生产安全,转移到电网影响社会稳定和国家安全。
但这又是一个最好的时代,国家层面的网络空间安全立法步伐加快,网络安全产业迅速扩大,各种应对威胁的技术手段帮助我们识别已知威胁,发现未知威胁,云计算、软件定义网络、人工智能和生物技术等使能技术使得我们的安全防护更加敏捷和智能。
在这波澜壮阔的大时代,攻防双方纵横捭阖,网络安全方兴未艾。在每次风起浪涌时,绿盟人就会审其时,顺其势,勇可做大时代的弄潮儿,睿可当巨人背后的专家。
联合作者:左磊、张云海、肖岩军