基于云蜜網(wǎng)的云平臺(tái)內(nèi)部安全能力建設(shè)

朱樂(lè)君　錢(qián)曉峰　周?！↓嫊詡ァ↓嫊D

[摘? ? ? ? ? ?要]? 近年來(lái)云計(jì)算技術(shù)革新速度逐漸加快，云計(jì)算應(yīng)用正在以前所未有的速度發(fā)展，云計(jì)算面臨的安全問(wèn)題也越來(lái)越復(fù)雜，攻擊手段不僅局限于網(wǎng)頁(yè)篡改、SQL注入攻擊、DDoS攻擊、惡意入侵等，新型的APT攻擊正愈演愈烈。安全是云計(jì)算發(fā)展的核心，云計(jì)算的安全體系和架構(gòu)也一直隨著云計(jì)算的發(fā)展而演變，云計(jì)算安全防護(hù)理念既要符合云計(jì)算服務(wù)模式，也更注重新技術(shù)和新方法的應(yīng)用。從云平臺(tái)內(nèi)部主動(dòng)欺騙防御、攻擊行為捕獲、攻擊溯源分析等角度出發(fā)，闡述如何在新的安全形勢(shì)下構(gòu)建云平臺(tái)內(nèi)部安全防御體系。

[關(guān)? ? 鍵? ?詞]? APT攻擊;主動(dòng)欺騙防御;溯源分析;行為捕獲

[中圖分類號(hào)]? TN915.08? ? ? ? ? ? ? ?[文獻(xiàn)標(biāo)志碼]? A? ? ? ? ? ? ? [文章編號(hào)]? 2096-0603（2019）36-0112-04

一、引言

2017年國(guó)家頒布并實(shí)施了《網(wǎng)絡(luò)安全法》，將通信行業(yè)建設(shè)和運(yùn)營(yíng)的云計(jì)算平臺(tái)定義為關(guān)鍵信息基礎(chǔ)設(shè)施，對(duì)云計(jì)算平臺(tái)安全提出了網(wǎng)絡(luò)安全管理、網(wǎng)絡(luò)安全技術(shù)、個(gè)人信息保護(hù)的具體要求。2016年集團(tuán)公司己經(jīng)制定并下發(fā)了《云計(jì)算安全管理辦法》《云計(jì)算安全防護(hù)技術(shù)要求及實(shí)施指南》等系列安全規(guī)范，對(duì)移動(dòng)集團(tuán)的公有云、私有云、混合云的安全保障體系建設(shè)提供了初步的建設(shè)思路和指導(dǎo)意見(jiàn)。

目前，云平臺(tái)的安全解決方案普遍是解決南北向攻擊流量的問(wèn)題，我們很難找到東西向攻擊流量的解決方案。隨著攻擊者攻擊手段的不斷發(fā)展，東西向流量攻擊事件越來(lái)越多。比如APT攻擊涵蓋了從網(wǎng)關(guān)到網(wǎng)絡(luò)中服務(wù)器區(qū)、個(gè)人電腦等接入層的各個(gè)層次，通過(guò)傳統(tǒng)安全防護(hù)思路很難發(fā)現(xiàn)。

針對(duì)云平臺(tái)而言，構(gòu)建內(nèi)部基于云蜜網(wǎng)的安全防御體系顯得尤為必要。該防御體系能夠針對(duì)已知和未知威脅及時(shí)阻斷和隔離攻擊，并能夠溯源黑客身份及攻擊意圖，形成黑客攻擊情報(bào)，可發(fā)現(xiàn)利用0day漏洞的APT攻擊行為，保護(hù)網(wǎng)絡(luò)免遭0day等攻擊造成的各種風(fēng)險(xiǎn)（如敏感信息泄露、關(guān)鍵基礎(chǔ)設(shè)施破壞等）。通過(guò)構(gòu)建用戶威脅情報(bào)體系，實(shí)現(xiàn)從安全事件的被動(dòng)響應(yīng)到安全威脅的積極應(yīng)對(duì)，幫助云平臺(tái)控制安全風(fēng)險(xiǎn)。

二、關(guān)鍵需求分析

構(gòu)建云平臺(tái)內(nèi)部安全防御體系，通過(guò)逆向思維的方式，在黑客角度來(lái)看，主要針對(duì)云平臺(tái)的攻擊過(guò)程包括：踩點(diǎn)探測(cè)→漏洞挖掘→入侵系統(tǒng)→偷取數(shù)據(jù)→清理痕跡。我們考慮到雖然各類攻擊方式不盡相同，但基本的攻擊過(guò)程和目的性是高度一致性的，這要求我們?cè)诤诳凸舻恼麄€(gè)過(guò)程中進(jìn)行安全建設(shè)。因此我們著手建設(shè)的云蜜網(wǎng)系統(tǒng)存在多個(gè)關(guān)鍵需求。

1.主動(dòng)欺騙防御。

2.入侵檢測(cè)。

3.行為分析。

4.黑客溯源。

5.威脅情報(bào)。

三、關(guān)鍵技術(shù)分析

我們主要采用以下關(guān)鍵技術(shù)滿足上述需求：

（一）攻擊溯源

提供人機(jī)識(shí)別、網(wǎng)絡(luò)身份識(shí)別、指紋持久化種植、攻擊IP識(shí)別、物理位置識(shí)別、攻擊數(shù)據(jù)統(tǒng)計(jì)、行為分析、行為歸并、相似度匹配、黑客檔案庫(kù)等模塊。攻擊溯源系統(tǒng)可識(shí)別攻擊者各類身份信息，精確識(shí)別工具和真人，掌握攻擊者信息，使之作為取證的重要依據(jù)之一。

（二）流量轉(zhuǎn)發(fā)

跨平臺(tái)部署應(yīng)用，通過(guò)端口混淆技術(shù)可以在用戶服務(wù)器上安裝偽裝代理腳本并指定端口，將該指定端口流量轉(zhuǎn)發(fā)進(jìn)入沙箱，達(dá)到對(duì)客戶真實(shí)服務(wù)器的保護(hù)。

（三）仿真沙箱技術(shù)

仿真沙箱系統(tǒng)主要包括仿真沙箱資源池模塊、仿真沙箱控制器模塊、攻擊行為檢測(cè)模塊、漏洞利用檢測(cè)模塊、病毒樣本檢測(cè)模塊、漏洞自定義集成模塊等。

（四）誘導(dǎo)感知

通過(guò)辦公網(wǎng)誘餌、互聯(lián)網(wǎng)誘餌、網(wǎng)關(guān)誘餌、郵件誘餌等誘導(dǎo)攻擊者進(jìn)入云蜜網(wǎng)系統(tǒng)，進(jìn)一步提高云蜜網(wǎng)系統(tǒng)的感知力。

四、解決方案設(shè)計(jì)

（一）云蜜網(wǎng)技術(shù)原理

云蜜網(wǎng)的技術(shù)原理對(duì)應(yīng)攻擊者采取攻擊的每一個(gè)步驟，主要包括業(yè)務(wù)仿真、偽裝漏洞、虛擬系統(tǒng)、脫敏數(shù)據(jù)、記錄行為。具體過(guò)程如圖1所。

業(yè)務(wù)仿真：在攻擊者對(duì)業(yè)務(wù)進(jìn)行踩點(diǎn)探測(cè)的時(shí)候，云蜜網(wǎng)模擬客戶的真實(shí)業(yè)務(wù)，給予攻擊者虛假的信息。

偽裝漏洞：在仿真業(yè)務(wù)上，包含很多常見(jiàn)的漏洞，以此為誘餌，降低攻擊者攻擊云蜜網(wǎng)沙箱的難度。

虛擬系統(tǒng)：攻擊者所攻擊的都是云蜜網(wǎng)的系統(tǒng)，并非客戶真實(shí)的系統(tǒng)。

脫敏數(shù)據(jù)：攻擊者偷走的數(shù)據(jù)都是脫敏的，都是毫無(wú)價(jià)值的數(shù)據(jù)。

記錄行為：攻擊者準(zhǔn)備撤離犯罪現(xiàn)場(chǎng)，擦除攻擊路徑和入侵痕跡的時(shí)候，云端沙箱已把攻擊者記錄下來(lái)形成了黑客畫(huà)像，并且能夠捕捉到攻擊者的社交網(wǎng)絡(luò)信息，方便客戶進(jìn)行威脅的溯源，在云端進(jìn)行日志記錄。

（二）云蜜網(wǎng)部署方案

云蜜網(wǎng)系統(tǒng)可以為提供一整套的攻擊檢測(cè)、隔離和威脅溯源的解決方案，實(shí)現(xiàn)云平臺(tái)主機(jī)端/PC端全面覆蓋，部署方式如圖2所示。

通過(guò)在服務(wù)器上安裝“偽裝代理”，把攻擊者的流量誘導(dǎo)進(jìn)云蜜網(wǎng)云端，并通過(guò)可視化大屏展示出當(dāng)前的威脅態(tài)勢(shì)。為了保證對(duì)攻擊者的高誘導(dǎo)率，探測(cè)的節(jié)點(diǎn)需能夠覆蓋所有的網(wǎng)段。

（三）云蜜網(wǎng)系統(tǒng)功能模塊

1.仿真沙箱系統(tǒng)

仿真沙箱模塊提供多種不同類型切合業(yè)務(wù)系統(tǒng)使用環(huán)境的沙箱，進(jìn)一步保證沙箱模擬用戶的真實(shí)度。仿真沙箱控制器可以控制對(duì)沙箱的停用、刪除、重啟等操作。行為監(jiān)測(cè)可對(duì)攻擊者普通操作以及攻擊操作進(jìn)行全量記錄。病毒樣本檢測(cè)模塊可對(duì)攻擊者上傳惡意文件進(jìn)行檢測(cè)識(shí)別。

2.偽裝代理系統(tǒng)

偽裝代理系統(tǒng)是在客戶網(wǎng)絡(luò)中部署的高度模仿客戶資產(chǎn)信息的系統(tǒng)，根據(jù)客戶不同的需求可以仿真出客戶不同的系統(tǒng)和不同的業(yè)務(wù)，通過(guò)端口混淆，將黑客攻擊誘導(dǎo)至沙箱。偽裝代理開(kāi)放源代碼，無(wú)任何數(shù)據(jù)安全風(fēng)險(xiǎn)，當(dāng)系統(tǒng)cpu占用率達(dá)到80%時(shí)，偽裝代理會(huì)自動(dòng)停用，保證業(yè)務(wù)正常運(yùn)行。

3.攻擊溯源系統(tǒng)

攻擊溯源系統(tǒng)提供人機(jī)識(shí)別、網(wǎng)絡(luò)身份識(shí)別、指紋持久化種植、攻擊IP識(shí)別、物理位置識(shí)別、攻擊數(shù)據(jù)統(tǒng)計(jì)、行為分析、行為歸并、相似度匹配、黑客檔案庫(kù)等模塊。攻擊溯源系統(tǒng)可識(shí)別攻擊者各類身份信息，精確識(shí)別工作和真人，掌握攻擊者信息，使之作為取證的重要依據(jù)之一。

4.誘導(dǎo)感知系統(tǒng)

誘導(dǎo)感知系統(tǒng)通過(guò)辦公網(wǎng)誘餌、互聯(lián)網(wǎng)誘餌、網(wǎng)關(guān)誘餌以及郵件誘餌誘導(dǎo)攻擊者進(jìn)入云蜜網(wǎng)系統(tǒng)，更進(jìn)一步提高云蜜網(wǎng)的系統(tǒng)入侵感知力。郵件誘餌也可作為郵箱保護(hù)功能使用，當(dāng)攻擊者攻破郵箱系統(tǒng)進(jìn)入郵箱打開(kāi)郵件后云蜜網(wǎng)系統(tǒng)會(huì)實(shí)時(shí)進(jìn)行報(bào)警，確保郵箱安全。

5.攻擊可視化系統(tǒng)

通過(guò)可視化大屏可以動(dòng)態(tài)地展示出資產(chǎn)的狀態(tài)、哪些沙箱正在被攻擊者訪問(wèn)、云蜜網(wǎng)的狀態(tài)以及對(duì)云平臺(tái)威脅進(jìn)行量化評(píng)分，通過(guò)折線圖實(shí)時(shí)顯示當(dāng)前的攻擊趨勢(shì)：每天在哪些時(shí)段遭受攻擊最多、哪些資產(chǎn)被攻擊次數(shù)最多以及可以獲得的溯源情報(bào)。

6.云蜜網(wǎng)系統(tǒng)與攻擊者的高交互性

上圖為真人黑客的攻擊入侵行為，其中云蜜網(wǎng)通過(guò)各個(gè)子系統(tǒng)的不同功能，配合黑客的入侵步驟，將入侵者引入云蜜網(wǎng)，并實(shí)現(xiàn)主動(dòng)欺騙、攻擊溯源和入侵檢測(cè)等目標(biāo)。

（四）云蜜網(wǎng)特點(diǎn)及優(yōu)勢(shì)

1.混淆攻擊，增加攻擊成本及實(shí)時(shí)告警

云蜜網(wǎng)通過(guò)克隆業(yè)務(wù)的高仿真沙箱，混淆黑客的攻擊目標(biāo)，將攻擊隔離進(jìn)云蜜網(wǎng)的沙箱系統(tǒng)，延緩攻擊進(jìn)程，并且以郵件形式通知管理員，為應(yīng)急響應(yīng)爭(zhēng)取寶貴時(shí)間，降低客戶信息資產(chǎn)受損的風(fēng)險(xiǎn)。云蜜網(wǎng)基于全鏈路欺騙，使攻防信息不對(duì)稱，指數(shù)級(jí)提升攻擊成本和難度，樹(shù)立安全的威懾力。

2.偽裝代理，攻擊流量轉(zhuǎn)移及資產(chǎn)入侵檢測(cè)

云蜜網(wǎng)系統(tǒng)利用“偽裝代理”技術(shù)在客戶的真實(shí)服務(wù)器上形成偽裝端口，使攻擊者在攻擊客戶真實(shí)服務(wù)器的時(shí)候可以被誘導(dǎo)進(jìn)云蜜網(wǎng)當(dāng)中，把攻擊者的流量轉(zhuǎn)移到云蜜網(wǎng)云端的沙箱中，保護(hù)真實(shí)資產(chǎn)不被入侵。

3.溯源分析，幫助調(diào)查取證

云蜜網(wǎng)的威脅情報(bào)模塊可以詳細(xì)記錄攻擊者執(zhí)行的操作，并且可以獲取攻擊者的瀏覽器信息、操作系統(tǒng)信息、地理地址、設(shè)備的指紋以及攻擊者的一些社交賬號(hào)，比如新浪微博ID、百度ID等等，方便客戶針對(duì)此攻擊者的取證調(diào)查和溯源追蹤。

4.降低成本，方便云蜜網(wǎng)的廣度延伸

通過(guò)“偽裝代理”部署方式，一臺(tái)云端的云蜜網(wǎng)系統(tǒng)可與眾多的偽裝代理聯(lián)動(dòng)?？蛻糁恍枰o一套云蜜網(wǎng)系統(tǒng)給予相應(yīng)的IP地址就可以，大大節(jié)約了客戶的內(nèi)部資源以及采購(gòu)成本，同時(shí)，客戶若想擴(kuò)展云蜜網(wǎng)，只需要在相應(yīng)的網(wǎng)段安裝偽裝代理即可，方便快捷。

5.零誤報(bào)率，減少產(chǎn)品運(yùn)維人員的工作量

云蜜網(wǎng)系統(tǒng)基于行為分析，假如某個(gè)沙箱被某個(gè)地址持續(xù)訪問(wèn)，并且嘗試登錄，根據(jù)此IP地址的行為分析，會(huì)認(rèn)為是一個(gè)攻擊行為，此攻擊行為的判斷零誤報(bào)，產(chǎn)品運(yùn)維人員也不需要去分辨產(chǎn)品攻擊日志是不是誤報(bào)，從而大大減少運(yùn)維人員的工作量。

五、云蜜網(wǎng)建設(shè)的必要性/收益

針對(duì)云平臺(tái)建立一套基于云蜜網(wǎng)的內(nèi)部安全防御體系，能夠?qū)σ阎臀粗陌踩{進(jìn)行及時(shí)的識(shí)別和捕獲，確保云平臺(tái)內(nèi)部安全，并能夠真實(shí)反映出內(nèi)部的安全狀態(tài)，總結(jié)為以下幾點(diǎn)。

（一）保障云平臺(tái)和IDC安全，提升自身競(jìng)爭(zhēng)力

云蜜網(wǎng)系統(tǒng)實(shí)現(xiàn)攻擊捕獲、攻擊溯源、安全防護(hù)等功能，本質(zhì)上是對(duì)云平臺(tái)和IDC自身安全能力的提高，云蜜網(wǎng)可以及時(shí)捕獲到大規(guī)模、爆發(fā)性的網(wǎng)絡(luò)攻擊事件，還原攻擊流程，溯源攻擊者，及時(shí)告知云平臺(tái)運(yùn)營(yíng)方，避免發(fā)生大規(guī)模的網(wǎng)絡(luò)安全事件，提升硬件層、應(yīng)用層等方面的安全防護(hù)能力。對(duì)安全業(yè)務(wù)增值的同時(shí)，提高云平臺(tái)和IDC自身的競(jìng)爭(zhēng)力。

（二）保護(hù)租戶業(yè)務(wù)系統(tǒng)和服務(wù)安全

云蜜網(wǎng)系統(tǒng)實(shí)現(xiàn)攻擊捕獲、攻擊溯源、安全防護(hù)等功能，能夠保護(hù)租戶的業(yè)務(wù)系統(tǒng)安全，保障業(yè)務(wù)的連續(xù)性。同時(shí)，在捕捉到攻擊的同時(shí)，實(shí)時(shí)動(dòng)態(tài)將攻擊者流量導(dǎo)入云蜜網(wǎng)沙箱中，溯源攻擊者，捕捉攻擊行為，構(gòu)建動(dòng)態(tài)欺騙防御網(wǎng)絡(luò)，租戶可實(shí)時(shí)通過(guò)云蜜網(wǎng)系統(tǒng)掌握自身業(yè)務(wù)系統(tǒng)和服務(wù)的安全狀態(tài)。

（三）滿足合規(guī)性要求

《網(wǎng)絡(luò)安全法》以及IDC管理規(guī)范中都對(duì)云平臺(tái)和IDC的網(wǎng)絡(luò)安全提出了明確的要求，并且對(duì)云平臺(tái)安全進(jìn)行了明確的責(zé)任劃分，云蜜網(wǎng)系統(tǒng)可對(duì)云平臺(tái)和IDC關(guān)鍵部位進(jìn)行主動(dòng)欺騙防御式的安全防護(hù)，滿足合規(guī)性的要求。

（四）捕獲未知威脅，保護(hù)內(nèi)網(wǎng)安全

針對(duì)內(nèi)網(wǎng)中未知的安全威脅和正在發(fā)生的攻擊行為進(jìn)行捕獲，避免內(nèi)網(wǎng)業(yè)務(wù)系統(tǒng)和服務(wù)遭受攻擊，防范未知安全風(fēng)險(xiǎn)的同時(shí)，有效保護(hù)內(nèi)部網(wǎng)絡(luò)安全。

（五）攻擊事件溯源，查找攻擊源頭

針對(duì)攻擊事件進(jìn)行溯源，可對(duì)發(fā)起攻擊行為的內(nèi)部源頭進(jìn)行查找。依托云蜜網(wǎng)系統(tǒng)，對(duì)整個(gè)攻擊事件進(jìn)行復(fù)現(xiàn)，清晰掌握攻擊軌跡和行為細(xì)節(jié)，結(jié)合設(shè)備指紋和黑客畫(huà)像等技術(shù)實(shí)現(xiàn)攻擊溯源。

（六）威脅情報(bào)輸出、安全環(huán)境感知

通過(guò)云蜜網(wǎng)對(duì)捕捉到的攻擊數(shù)據(jù)進(jìn)行分析，可有效進(jìn)行威脅情報(bào)的輸出，輔助業(yè)務(wù)系統(tǒng)進(jìn)行針對(duì)性的安全加固。同時(shí)能夠?qū)I(yè)務(wù)系統(tǒng)所在內(nèi)部網(wǎng)絡(luò)環(huán)境的安全性進(jìn)行精確感知。

（七）縱深防御體系的建立

云蜜網(wǎng)與已部署的防火墻、IDS、IPS等基于已知規(guī)則的安全防護(hù)系統(tǒng)相補(bǔ)充，能夠?qū)σ阎臀粗木W(wǎng)絡(luò)攻擊行為進(jìn)行防御，建立起一套有效保護(hù)業(yè)務(wù)系統(tǒng)安全性的縱深防御體系。