未來之路：重構(gòu)網(wǎng)絡(luò)安全能力

文/杜躍進(jìn)

未來之路：重構(gòu)網(wǎng)絡(luò)安全能力

文/杜躍進(jìn)

過去對(duì)狹義事件的發(fā)現(xiàn)和處置，導(dǎo)致我們即使是發(fā)現(xiàn)了“震網(wǎng)”的程序，也沒有警覺其實(shí)它的真正目標(biāo)是工業(yè)控制系統(tǒng)，直到它完成任務(wù)，我們才如夢(mèng)初醒。過去對(duì)狹義事件的發(fā)現(xiàn)和處置，還使我們疲于處置成千上萬(wàn)看似不相關(guān)的事件，卻無法發(fā)現(xiàn)，實(shí)際上它們是有關(guān)系的、他們可能是來自同一個(gè)攻擊者、可能是一個(gè)威脅中的一部分。

和過去相比，我們的對(duì)手不同了。應(yīng)對(duì)新的安全形勢(shì)，需要跳出傳統(tǒng)的思維慣性，建立新的思路。網(wǎng)絡(luò)安全攻防對(duì)抗如同一個(gè)不斷“進(jìn)化”的過程，不同的傳統(tǒng)方法也是根據(jù)安全威脅的變化而不斷進(jìn)化的。既然這些方法已經(jīng)不適應(yīng)新的形勢(shì)，那么未來的進(jìn)化方向是什么呢？“異常發(fā)現(xiàn)”是一個(gè)基本方向，“博大精深”是核心要求。

“大思路”和“大視野”的異常發(fā)現(xiàn)

APT給傳統(tǒng)安全方法帶來挑戰(zhàn)的本質(zhì)原因是針對(duì)特定目標(biāo)的專門定制化的攻擊過程，導(dǎo)致從各種角度都很難提前獲得特定攻擊的具體特點(diǎn)。于是，如果防御方對(duì)自己的了解足夠，就能夠感知到由于攻擊導(dǎo)致的某種異常，之后就有可能進(jìn)一步通過針對(duì)性的調(diào)查分析發(fā)現(xiàn)具體的攻擊行為。一個(gè)通俗的比喻就是，我不知道我出了什么問題，但是能感覺到不對(duì)勁。這就如同醫(yī)學(xué)領(lǐng)域中人類經(jīng)常能夠先確定甚至治療某些疾病，但是很多年之后才找到導(dǎo)致這些疾病的病毒或原因一樣。隨著人類不斷完善對(duì)自身的了解，也就能夠不斷提升對(duì)新的疾病的了解和治愈能力。

新一代信息技術(shù)包括融合、泛在、移動(dòng)、寬帶、智能等多個(gè)基本屬性在內(nèi)，這一切都意味著，如今我們面臨的是一個(gè)高度復(fù)雜的、相互關(guān)聯(lián)的系統(tǒng)，任何網(wǎng)絡(luò)間的一點(diǎn)小問題都可能在空間中產(chǎn)生蝴蝶效應(yīng)。

異常發(fā)現(xiàn)的思路實(shí)際上已經(jīng)有很多實(shí)踐了，傳統(tǒng)網(wǎng)絡(luò)安全方法中也有基于行為描述的安全，這種方法試圖發(fā)現(xiàn)軟件或用戶在主機(jī)或網(wǎng)絡(luò)中的“異?！毙袨椋ㄈ缌髁孔兓M(jìn)而判定是否受到攻擊。例如2003年1月，我們突然發(fā)現(xiàn)所有的網(wǎng)絡(luò)中都出現(xiàn)UDP1434/1435流量的大幅增長(zhǎng)，這是不符合常規(guī)的，于是通過啟動(dòng)分析進(jìn)而判定是發(fā)生了大規(guī)模網(wǎng)絡(luò)蠕蟲攻擊。還有一些技術(shù)，可以對(duì)特定用戶的打字速度進(jìn)行記錄，如果發(fā)現(xiàn)某個(gè)人的打字速度突然變成平時(shí)的兩倍，那可能就是賬戶被別人盜用。在金融領(lǐng)域，通過用戶登錄銀行賬戶之后的行為軌跡，可以明顯看出正常用戶和非法用戶的不同。這種比對(duì)是不依賴于對(duì)惡意代碼、漏洞、非法登錄等傳統(tǒng)安全特征的識(shí)別的。但是顯然這種模式的效果取決于對(duì)“正?！毙袨槟Ｊ矫枋龅臏?zhǔn)確性和完備性，而過去僅僅通過局部環(huán)境、簡(jiǎn)單維度以及基于采樣數(shù)據(jù)積累的知識(shí)所建立的“正常”模型，顯然是容易被計(jì)劃周密的高級(jí)攻擊行為所模仿從而失去效果的?！懊と嗣蟆逼鋵?shí)說的也是類似的道理：用于分析的數(shù)據(jù)不夠大，可能看到的是一塊皮膚，而如果退后幾步綜合更大更多的數(shù)據(jù)看，才會(huì)發(fā)現(xiàn)實(shí)際上是一只大象。

因此，未來需要的是大視野下的異常發(fā)現(xiàn)，其所感知的“異常”不僅僅定義在主機(jī)行為或者網(wǎng)絡(luò)流量行為上，而更加綜合全面、范圍更大。在金融領(lǐng)域，基于大量用戶的正常金融交易關(guān)系數(shù)據(jù)進(jìn)行分析，就能夠發(fā)現(xiàn)很多金融犯罪活動(dòng)甚至犯罪團(tuán)伙，就是一個(gè)例子?！盎鹧妗辈《究梢岳@過所有的安全機(jī)制，但是如果對(duì)所有獲得簽名的程序的大小有所積累，會(huì)發(fā)現(xiàn)忽然出現(xiàn)一個(gè)十分巨大的“合法程序”，也會(huì)觸發(fā)異常。

大視野并不僅僅指的是簡(jiǎn)單地?cái)U(kuò)大分析數(shù)據(jù)的規(guī)模，還包括要強(qiáng)調(diào)整體性，要有大思路。 大視野的角度如何看風(fēng)險(xiǎn)分析？眾所周知，如今的互聯(lián)網(wǎng)以及其上的各種應(yīng)用有很強(qiáng)的相互關(guān)聯(lián)性。在傳統(tǒng)通信行業(yè)，基礎(chǔ)通信網(wǎng)絡(luò)具有“全程全網(wǎng)”的特性。而新一代信息技術(shù)包括融合、泛在、移動(dòng)、寬帶、智能等多個(gè)基本屬性在內(nèi)，這一切都意味著，如今我們面臨的是一個(gè)高度復(fù)雜的、相互關(guān)聯(lián)的系統(tǒng)，任何網(wǎng)絡(luò)間的一點(diǎn)小問題都可能在空間中產(chǎn)生蝴蝶效應(yīng)。發(fā)生在2009年的暴風(fēng)影音事件就是非常典型的案例：軟件設(shè)計(jì)的問題、DDoS應(yīng)對(duì)的問題、域名業(yè)務(wù)量估計(jì)和服務(wù)能力配備的問題全都交織在一起產(chǎn)生了這起網(wǎng)絡(luò)安全事件。但是我們目前對(duì)通信網(wǎng)絡(luò)以及互聯(lián)網(wǎng)的很多重要應(yīng)用的風(fēng)險(xiǎn)評(píng)估，依然是拆分成網(wǎng)絡(luò)單元來開展的，因此至今無法對(duì)整體網(wǎng)絡(luò)的風(fēng)險(xiǎn)做出科學(xué)的分析評(píng)估，類似“暴風(fēng)影音”的事件隨時(shí)還可能發(fā)生，只不過下一次的動(dòng)機(jī)不見得和上次一樣，可能攻擊者是“大玩家”。

大視野的角度如何看移動(dòng)互聯(lián)網(wǎng)安全？移動(dòng)互聯(lián)網(wǎng)安全現(xiàn)在非常熱鬧，許多團(tuán)隊(duì)都在做智能終端和應(yīng)用軟件的安全檢測(cè)。但是對(duì)應(yīng)用軟件的安全檢測(cè)，只是移動(dòng)互聯(lián)網(wǎng)安全的一個(gè)環(huán)節(jié)，只有把移動(dòng)應(yīng)用商店的“源頭”，惡意程序運(yùn)行的網(wǎng)絡(luò)“路徑”，以及特定用戶終端的“末端”相互結(jié)合起來，真正實(shí)現(xiàn)相互配合，才有可能更高效地遏制猖獗的移動(dòng)互聯(lián)網(wǎng)惡意攻擊行為。

“多維度”的知識(shí)體系

異常發(fā)現(xiàn)不僅需要“大視野”，還需要“多維度”。多維度是指多層次、多來源的知識(shí)積累和異常分析，具體地說，就是對(duì)安全威脅的分析不能僅僅基于安全系統(tǒng)或者服務(wù)系統(tǒng)日志等數(shù)據(jù)，還需要建立和其他維度知識(shí)數(shù)據(jù)結(jié)合的機(jī)制。 例如APT攻擊中經(jīng)常使用社會(huì)工程學(xué)攻擊，尤其是當(dāng)前期搜集跟蹤攻擊對(duì)象的各種信息時(shí)，這些行為都很難用傳統(tǒng)的方法檢測(cè)到。那么是不是對(duì)社會(huì)工程學(xué)攻擊的應(yīng)對(duì)就徹底放棄了呢？

完整的“事件”所包括的不僅僅是“如何”（攻擊者使用了什么方法、用了什么攻擊程序或漏洞、什么時(shí)間等），更加重要的是還應(yīng)該包括“誰(shuí)”（攻擊者、攻擊來源）以及“為什么”（攻擊目標(biāo)、攻擊目的）等。

2007年，針對(duì)工業(yè)控制系統(tǒng)安全的研究出現(xiàn)，并有人預(yù)言，五年之內(nèi)工業(yè)控制系統(tǒng)可以通過互聯(lián)網(wǎng)進(jìn)行攻擊。而2010年，“震網(wǎng)”被發(fā)現(xiàn)，那么幾年前的這些信息能否提前就應(yīng)該引起重視呢？2001年，所謂的“中美黑客大戰(zhàn)”，起因是南海撞機(jī)事件，現(xiàn)實(shí)世界中的事件和網(wǎng)絡(luò)空間中的攻擊有沒有可能建立關(guān)聯(lián)呢？ 近些年，國(guó)際上流行一些說法，比如“基于智能/情報(bào)的安全”（intelligencebasedsecurity）或者“知識(shí)驅(qū)動(dòng)的安全”（knowledgedrivensecurity），其實(shí)， 那么，什么是“知識(shí)”或者“情報(bào)”？不應(yīng)該被僅僅理解為原來我們熟知的漏洞庫(kù)、惡意代碼庫(kù)、事件庫(kù)等等，而必須是更多維度的信息整合。這個(gè)特點(diǎn)，可以稱之為“博”：和“大”不同，指的是更寬的范圍和領(lǐng)域。

對(duì)“博”的理解，還有另外一個(gè)十分關(guān)鍵的角度：什么是事件。從2006年開始，我一直試圖說明，完整的“事件”所包括的不僅僅是“如何”（攻擊者使用了什么方法、用了什么攻擊程序或漏洞、什么時(shí)間等），更加重要的是還應(yīng)該包括“誰(shuí)”（攻擊者、攻擊來源）以及“為什么”（攻擊目標(biāo)、攻擊目的）等。如今看來，完整的“事件”概念，或許應(yīng)該直接稱之為“威脅”更為恰當(dāng)。APT的“T”，也是威脅，對(duì)APT的應(yīng)對(duì)，也應(yīng)該從狹義的事件發(fā)現(xiàn)和處置，延伸到威脅預(yù)警、分析與應(yīng)對(duì)。 過去對(duì)狹義事件的發(fā)現(xiàn)和處置，導(dǎo)致我們即使是發(fā)現(xiàn)了“震網(wǎng)”的程序，也沒有警覺其實(shí)它的真正目標(biāo)是工業(yè)控制系統(tǒng)，直到它完成任務(wù)，我們才如夢(mèng)初醒。過去對(duì)狹義事件的發(fā)現(xiàn)和處置，還使我們疲于處置成千上萬(wàn)看似不相關(guān)的事件，卻無法發(fā)現(xiàn)，實(shí)際上它們是有關(guān)系的、他們可能是來自同一個(gè)攻擊者、可能是一個(gè)威脅中的一部分。而對(duì)威脅的感知、分析和應(yīng)對(duì)，則需要不同的思路，其中的關(guān)鍵之一是需要“博”的分析。 知識(shí)體系建設(shè)和異常發(fā)現(xiàn)，都離不開“深度分析”，而且必須建立多個(gè)視角的相互關(guān)聯(lián)的深度分析。

深度分析的核心至少包括惡意代碼、安全事件與宏觀數(shù)據(jù)三個(gè)方面。與傳統(tǒng)的分析不同的是，惡意代碼的深度分析不僅局限于提取其本機(jī)特征、網(wǎng)絡(luò)特征、聯(lián)絡(luò)信息等（用于各種安全設(shè)備），還要包括所使用的算法、程序編寫特點(diǎn)、程序編寫時(shí)間、可能的編寫者來源、與其他惡意程序之間的關(guān)系、哪些安全事件與之相關(guān)等；安全事件的深度分析不僅局限于確定攻擊者所使用的攻擊程序、攻擊源地址和目的地址等，還要包括多跳回溯發(fā)現(xiàn)真正的控制者信息、攻擊行為的動(dòng)機(jī)分析等；宏觀數(shù)據(jù)的深度分析不僅包括簡(jiǎn)單的關(guān)聯(lián)和展示等，還包括惡意代碼、漏洞、事件等的綜合分析，包括多個(gè)不同事件的多角度關(guān)聯(lián)等。 深度分析的核心目的是為了發(fā)現(xiàn)攻擊動(dòng)機(jī)，發(fā)現(xiàn)重大安全威脅。長(zhǎng)期的深度分析形成的積累，則是知識(shí)體系中的一個(gè)組成部分。

“大玩家”比的是“精”能力

“精”指的是精細(xì)化的分析和細(xì)節(jié)能力。這是受到在國(guó)外技術(shù)會(huì)議上所見所聞的啟發(fā)。我們看到，信息發(fā)達(dá)國(guó)家在網(wǎng)絡(luò)安全方面做得越來越精細(xì)。例如事件描述、事件信息共享等，這些內(nèi)容也許很多年前我們就有了，但是今天我們對(duì)其的用途和過去的差別不大，而先進(jìn)國(guó)家卻在不斷完善，精益求精，他們不斷地根據(jù)情況的變化完善和改進(jìn)。

現(xiàn)在，“大玩家”入場(chǎng)，意味著國(guó)家間的安全對(duì)抗已經(jīng)開始，意味著對(duì)抗雙方比較的是各自最精最尖的能力。這和過去我們與計(jì)算機(jī)犯罪分子以及各種黑客團(tuán)伙的對(duì)抗是截然不同的。

“精”的另外一層含義是，要從眾多的安全事件中精挑細(xì)選，找出真正嚴(yán)重的威脅；要從龐大的多維的數(shù)據(jù)中進(jìn)行持續(xù)的精深的分析，從中找出重大威脅的脈絡(luò)來。 傳統(tǒng)的網(wǎng)絡(luò)安全方法和能力無法應(yīng)對(duì)未來的網(wǎng)絡(luò)安全威脅，尤其是國(guó)家級(jí)的威脅。未來的網(wǎng)絡(luò)安全能力建設(shè)的一個(gè)關(guān)鍵是基于知識(shí)的異常發(fā)現(xiàn)。異常發(fā)現(xiàn)并能不解決最終的問題，但是它可以作為啟動(dòng)針對(duì)性調(diào)查分析的關(guān)鍵觸發(fā)器。未來的網(wǎng)絡(luò)安全能力建設(shè)，需要遵循“博大精深”的發(fā)展方向。

所謂“博”，指的是需要多維度的知識(shí)構(gòu)建，需要“帶外信息”的支持與整合；需要多維度的異常感知，不僅僅是一個(gè)簡(jiǎn)單的流量變化模型或簡(jiǎn)單的異常行為，而是需要綜合到一起進(jìn)行感知，這種感知能力越豐富，越精確，越有可能發(fā)現(xiàn)高級(jí)安全威脅；需要多維度的威脅分析，包括攻擊者及其動(dòng)機(jī)，聚焦攻擊源、攻擊路徑、攻擊目標(biāo)的不同角度的信息整合與關(guān)聯(lián)分析； 所謂“大”，指的是大視野的分析和應(yīng)對(duì)思路，強(qiáng)調(diào)整體的配合，強(qiáng)調(diào)使用更大規(guī)模相互關(guān)聯(lián)的數(shù)據(jù)和信息進(jìn)行分析。實(shí)際上，“大視野”還包括技術(shù)以外的領(lǐng)域，包括，政策、法律等等。

所謂“精”，指的是新階段的網(wǎng)絡(luò)安全對(duì)抗強(qiáng)調(diào)細(xì)節(jié)，每一個(gè)環(huán)節(jié)都要精益求精，通過這種方法來提高效率。需要持續(xù)不斷的研究、建設(shè)和積累，構(gòu)建應(yīng)對(duì)國(guó)家級(jí)網(wǎng)絡(luò)安全威脅的最精銳的能力和人員隊(duì)伍。

所謂“深”，指的是深度分析，要對(duì)惡意代碼、安全事件和宏觀數(shù)據(jù)展開相關(guān)聯(lián)的深度分析，識(shí)別與梳理安全威脅，發(fā)現(xiàn)重大威脅極其動(dòng)機(jī)，積累相關(guān)知識(shí)。

（本文摘選自《“博大精深”：總體安全觀時(shí)代網(wǎng)絡(luò)安全能力建設(shè)的未來之路》，有刪節(jié)，原文刊載于人民網(wǎng)。作者為原網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室主任、網(wǎng)絡(luò)安全專家杜躍進(jìn)）