网络战争的暴力美学:江海客的七个安全观点

作者:星期日, 一月 8, 20170
分享:

昨日,第四届网络安全冬训营,也随着哈尔滨一年一度冰雪大世界的开园,如期而至。网络安全冬训营作为安天新年伊始的一大惯例性活动,除了为高校在校生和安全研究人员提供学习和交流的机会外,更是安天向外界发声的重要平台。

那么,在2016年5月,作为第一个被习近平总书记亲自视察的网络安全企业,安天的首席技术架构师肖新光(江海客)在今年的冬训营上又分享了哪些思考。

xiao-600

 

肖新光

重回出发之地

中国的网络安全行业今年(2016年)是狂飙突进的一年,但是我们安全厂商要做的,应该是整理和反思。

下面是安全牛小编整理的肖新光的7个核心安全观点:

1. 防御和分析能力 决定了你能看清对手的程度

APT攻击是高度定向和具象的。从2013年出现的初级APT攻击白象I代,再到2015年的白象II代以及支持商业军火的APT攻击(APT-TOCS),虽然不及震网、火焰、方程式等A2PT(高维度APT)攻击在成本上的投入之大,但是其行动能力却也在不断提升。虽然通过威胁轨迹的回溯,以及攻击组织的画像,中国已经有能力完全借助样本分析和开放式的网络检索,将部分APT攻击的实施黑客定位到自然人。

但必须意识到的是,目前国内安全厂商只能有效分析低维度的APT攻击,对高维度攻击的分析还停留在样本分析层面,而这与美国等网络安全超级大国在APT攻击的发现和分析能力上仍存在巨大差异。而利用这种能力差异,以“商用攻击平台+恶意代码”为核心的网络军火的扩散,也已经严重影响了地缘政治的格局和这其中的平衡。

2. 网络空间的防御能力 最终是由攻击者和窥探者检验

许多国家都在执行网络安全检查方面的相关评估制度和合规手段,但现实是,即使是能力不强的攻击者,也能对IT系统带来较大的安全威胁。在对白象I代 APT攻击的研究中发现,白象I代的恶意代码编写粗糙并缺少有效rootkit手段,仅仅是在投放前经过了免杀处理;而之后的白象II代才在攻击能力上有所提升。

虽然在2013年挪威安全厂商Norman首次曝光时,“白象”的主要攻击目标是巴基斯坦,但因为其背后国家战略目标的转变,最近两年攻击目标已经转移为中国。这也代表着来自地缘利益竞合的国家与地区的网络攻击,虽然技术层面略显粗糙,但却更加频繁和直接。尤其是对于基础感知、检测和防御能力不足的社会肌体,这种具有定向性的远程攻击是高度有效的,且会淹没在其它非定向安全事件中,使其更加不易察觉。

3. 网络战争的暴力美学 攻击的等效性与更高的效费比

庞大且工程化的恶意代码体系,全平台的覆盖能力以及精致的加密远程控制指令体系,都使得A2PT攻击更具有战争艺术。

传统战争通过前期的多次侦查与情报收集工作,再到之后的空袭与火力打击,才能实现攻击目标;而美国与以色列联手对伊朗的奥林匹斯行动(即震网病毒等网络攻击),以更低的成本完成了更为精准、隐蔽的打击,并达成了近乎相同的攻击效果,这使得网络攻击具有更高的效费比。同时,随着其它关联设施被陆续攻陷,对关键基础设施进行攻击的成本也将不断降低。

没有炫酷的作业过程,没有零日,甚至没有使用漏洞,更没有脚本小子的花哨技巧,我们从乌克兰停电事件中(僵尸网络、后门预置、钓鱼邮件、宏病毒),只看到了最为简单粗暴的恶意代码。

4. 塑造战场 基于已经被持久化的事实

与传统战争手段不同,网络战中因为信息的不对称性(攻击方可以以低成本获得防御方的资源或相关情报),使得防御方的战场优势尽失。而基础的防御能力,也即变成了清理己方侧那些已经持久化隐蔽通讯的埋伏,以及成功埋伏到对侧的能力。这个场景不仅是如何防御对方的“持久化”,而是基于已经被“持久化”的既定事实,从研发、生产、物流等环节,进行有效的防御。而这其中,对基础供应链的穿透,并以应对未来战争为前提进行关键基础设施的防御,是战场塑造的先决条件。

5. 对抗思路的历史惯性

网络安全的本质是对抗,安全技术是否过时,应该倒回过去,重回技术的出发之地,分析其产生的初衷,才能判断是否已经偏离了方向。而安全创新的关键是满足当时差异化的安全需求,以应对当时的主流威胁场景。这些概念从产品形态上也是立得住的。

信息对抗的基础场景是不断发展的,从重视密码的“信道对抗“(包括今天的量子通信),到重视端点安全的“节点系统对抗”,再到今天需要借助纵深防御以应对供应链安全甚至APT攻击的“综合体系对抗”,后续的威胁场景不断变化。而不再是当下威胁焦点的对抗场景,又因为其“历史惯性”影响着当下主流对抗场景的防御思路。如认为信道安全能力的增强就可以保证节点系统的安全,使其免受恶意代码、DDoS等攻击的入侵;如过度看重操作系统层面的安全性,而忽略了系统与应用的平权,而针对应用的攻击满足攻击等效性的同时,还更具隐蔽性;再如单点单流程的防御观点固化,而不能发挥安全体系和架构的优势进行对抗,整体的安全策略不经过由真实大数据支撑的沙盘演练和对抗思考。

这种历史惯性,甚至可以看作是一种懒政的表现。

6. 反病毒与白名单的局限

反病毒的局限,在于虽然通过引入加权标志位而具有一定模型修正,即对未知恶意代码的检测能力,但是反病毒引擎,甚至包括企业安全设备采购列表以及部署拓扑等信息,作为一种可以低成本获得的安全资源,可以帮助攻击者基于防御方高度可预测的防御能力,进行模拟攻击并在投放前修改恶意代码直到低检出率为止。在当前APT攻击的场景下,所有的安全产品都面临着和反病毒产品一样的问题,即在攻击投放前被用于恶意代码的能否成功绕过的测试。

而白名单的局限则在于其对商用软件环境收集的成本不收敛,同时对应的哈希值数量庞大,系统资源消耗高,因此白名单相对更适用于IT场景收敛的部分情况下,如工控环境,银行ATM机,执行重要操作的柜员机等。

每一种安全技术都有其适用范围和独特的价值,需要组合使用各尽所能。网络安全的创新是叠加式创新,而非迭代式创新。

7. 没有胜利终点 只有蔓延开来的地平线

安全行业不是江湖。肖新光对目前中国网络安全行业的担心,很大程度在于其仿佛已经被所谓的“江湖规则”所腐蚀,而这样的体系是不能很好的发展起来的,更不要提在短时间内超越国际对手。

对APT防御能力的汇总,几乎是所有安全防护方法的综合。这也意味着,对于之后更广泛的攻防,目前我们所看到的最复杂的APT攻击,也只会是局部。通过供应链和信息流的视角所引出的大安全的概念(包括安全开发、工具链和基础环境、物流配送、运营商与信道、产品服务商以及个人用户安全的保障),必然要求体系化的防守与对抗,并为用户提供差异化的安全服务以及定制化的知识分享。

我们的肩膀上更多的,是责任和期望。不忘初心,方得始终;越过江湖,成于沧海。

相关阅读

朔雪飞扬 安天网络安全冬训营首日纪实

 

分享:

相关文章

写一条评论

 

 

0条评论