根據(jù)《麻省理工科技評論》的零日漏洞追蹤項目的統(tǒng)計顯示,2021年至少發(fā)現(xiàn)66個仍在使用中的零日漏洞,數(shù)量約是2020年的兩倍。日益增長且難以防范的零日漏洞,已經(jīng)成為企業(yè)網(wǎng)絡(luò)信息安全面臨的最嚴(yán)峻的威脅之一。
正如Gartner在報告中所說“安全的一切都在變化”,威脅環(huán)境也已隨之而變。網(wǎng)絡(luò)攻擊正從個人行為向有組織、有國家背景的方向發(fā)展,他們目的性強且動機(jī)清晰,往往具有明確的商業(yè)、經(jīng)濟(jì)利益或政治訴求;攻擊手段從傳統(tǒng)的隨機(jī)病毒、木馬感染、工具投遞等方式演進(jìn)為社會工程、零日漏洞以及高級逃逸技術(shù)(AET)等組合方式,經(jīng)常發(fā)起有針對性的網(wǎng)絡(luò)攻擊,具有高級化、組合化、長期化等特點,我們稱之為新一代網(wǎng)絡(luò)安全威脅。事實上,面對以零日攻擊為代表的新一代威脅,傳統(tǒng)基于特征/簽名檢測的統(tǒng)一威脅管理系統(tǒng)、入侵檢測/防御系統(tǒng)、防病毒系統(tǒng)等安全產(chǎn)品無法使用戶得到充分保護(hù)。
傳統(tǒng)安全檢測手段的失效與新技術(shù)的預(yù)見
1、基于簽名的檢測技術(shù)
國內(nèi)威脅檢測的發(fā)展,可以追溯到2000年初,彼時國內(nèi)網(wǎng)絡(luò)安全廠商陸續(xù)推出了入侵檢測產(chǎn)品,這類產(chǎn)品采用的是基于規(guī)則簽名來識別非法流量的方式,目前多數(shù)安全產(chǎn)品也還在沿用這種方式,該方式在發(fā)現(xiàn)常見的攻擊方面具有良好的效果,在互聯(lián)網(wǎng)發(fā)展初期發(fā)揮了重要作用。
傳統(tǒng)的防病毒和威脅檢測系統(tǒng)使用簽名驗證機(jī)制,主要針對已知的漏洞或惡意軟件進(jìn)行指紋識別。但對于那些利用0day的高級威脅惡意樣本,網(wǎng)絡(luò)安全研究人員則無法及時獲取和分發(fā)變種后的惡意軟件簽名。
2、沙箱檢測技術(shù)
互聯(lián)網(wǎng)的飛速發(fā)展讓攻防兩端的對抗更加激烈,基于簽名的檢測技術(shù)在應(yīng)對未知威脅、高級威脅方面已經(jīng)力不從心,攻擊者只需簡單的修改攻擊代碼或多次嘗試便可以繞過入侵檢測設(shè)備。為了應(yīng)對這些威脅,沙箱檢測產(chǎn)品開始出現(xiàn)。
沙箱檢測技術(shù)通過分析行為可以彌補基于簽名識別的不足。沙箱檢測技術(shù)是通過部署多種運行環(huán)境,將攻擊流量在虛擬環(huán)境中運行,通過分析代碼執(zhí)行中的行為識別威脅。采用這種方式可以發(fā)現(xiàn)未知威脅、高級威脅,目前大多數(shù)APT檢測設(shè)備都采用這種方式。但沙箱環(huán)境和實際執(zhí)行環(huán)境通常存在差異,且目前的APT攻擊隱蔽性較強,攻擊的周期跨度較大,導(dǎo)致沙箱類檢測技術(shù)無法有效識別這類攻擊,因此基于特征檢測和行為檢測的傳統(tǒng)檢測手段已經(jīng)越來越難以應(yīng)對新型的攻擊手法及零日漏洞的攻擊事件。
3、新一代威脅檢測技術(shù)
近年來,隨著人工智能技術(shù)的發(fā)展,攻擊方在掃描、利用、破壞等攻擊工具中對人工智能技術(shù)的應(yīng)用,進(jìn)一步加劇了對目標(biāo)系統(tǒng)的破壞程度 、縮短了攻擊進(jìn)程、隱藏了攻擊特征,對新技術(shù)背景下的安全威脅檢測手段提出了更大挑戰(zhàn)。
基于機(jī)器學(xué)習(xí)和深度學(xué)習(xí)的網(wǎng)絡(luò)威脅檢測技術(shù)能夠識別變種威脅和未知威脅,彌補了傳統(tǒng)特征檢測和行為檢測僅能發(fā)現(xiàn)已知攻擊的不足,但隨著攻擊方攻擊技術(shù)的不斷提升,意圖躲避新型威脅檢測技術(shù)的攻防對抗,對新一代威脅檢測技術(shù)提出了更高要求。
零日漏洞與零日漏洞利用
零日漏洞也可以稱為零時差漏洞,通常是指還沒有補丁的安全漏洞,零日漏洞利用則是指利用零日漏洞對系統(tǒng)或軟件應(yīng)用發(fā)動的網(wǎng)絡(luò)攻擊。由于零日漏洞的嚴(yán)重級別通常較高,所以零日攻擊往往也具有很大的破壞性。
1、零日漏洞的生命周期
零日漏洞從產(chǎn)生到消亡的整個生命周期均存在被攻擊者利用的可能性:
① 產(chǎn)生漏洞:零日漏洞的產(chǎn)生的條件則是軟件開發(fā)人員在不知情的開發(fā)出了漏洞,安全測試人員在測試環(huán)境下未發(fā)現(xiàn)漏洞,業(yè)務(wù)人員在未發(fā)現(xiàn)漏洞的情況下上線了漏洞。
② 攻擊者發(fā)現(xiàn)漏洞:攻擊者通過技術(shù)攻擊手段對攻擊目標(biāo)系統(tǒng)進(jìn)行深入的分析挖掘,發(fā)現(xiàn)其存在的漏洞,從而找到繞過現(xiàn)有安全機(jī)制的一種技術(shù)手段。
③ 攻擊者利用零日漏洞:攻擊者利用零日漏洞通常具有特定的目標(biāo),其一旦對目標(biāo)實施攻擊將會產(chǎn)生"一擊致命"的效果。
④ 原廠發(fā)現(xiàn)漏洞:原廠在系統(tǒng)更新迭代或測試的過程中發(fā)現(xiàn)該漏洞。
⑤ 公開披露漏洞:原廠公開披露此漏洞,使互聯(lián)網(wǎng)用戶廣泛意識到此漏洞。
2、多樣化的零日漏洞
① 文檔漏洞利用:隨著漏洞挖掘及利用技術(shù)越來越公開化,導(dǎo)致越來越多的黑客更加傾向于利用常見辦公軟件的文檔漏洞進(jìn)行惡意攻擊,特別是在一些APT(Advanced Persistent Threat)攻擊中,更是體現(xiàn)得淋漓盡致。針對特定目標(biāo)投遞含有惡意代碼的文檔,安全意識薄弱的用戶只要打開文檔就會中招。。
② 軟件漏洞利用:軟件存在的錯誤配置或引用第三方開源程序組件,由于業(yè)務(wù)本身需要對外提供網(wǎng)絡(luò)訪問行為,攻擊者同樣可以利用軟件程序漏洞實現(xiàn)漏洞利用攻擊。
③ 系統(tǒng)漏洞利用,系統(tǒng)漏洞也是當(dāng)前比較頻發(fā)的一種漏洞,往往系統(tǒng)漏洞的危害程度更高。
④ 硬件漏洞利用,在網(wǎng)絡(luò)設(shè)備、安全設(shè)備等硬件形式的設(shè)備中,雖然在漏洞挖掘上難度系數(shù)較高,但依舊無法確保沒有零日漏洞。
3、零日漏洞利用過程
零日漏洞利用過程一般具備隱蔽性好、攻擊效果好、被檢測難度大等特點。攻擊者利用零日漏洞攻擊目標(biāo)的過程一般包括:
挖掘漏洞:攻擊者挖掘目標(biāo)中存在的漏洞;
識別漏洞:攻擊者發(fā)現(xiàn)漏洞,并編寫惡意代碼,與零日漏洞整合,驗證可行性;
收集信息:攻擊者盡可能多的收集目標(biāo)信息,為其攻擊提供信息數(shù)據(jù)支撐;
執(zhí)行滲透:攻擊者利用攻擊武器對目標(biāo)發(fā)起攻擊,潛入其內(nèi)部網(wǎng)絡(luò);
遠(yuǎn)程控制:攻擊者獲取內(nèi)部重要主機(jī)的控制權(quán)限,并在內(nèi)部橫向移動;
長期潛伏:攻擊者在控制的主機(jī)中植入隱蔽后門,監(jiān)聽信息,盜取數(shù)據(jù)。
破局零日漏洞,基于AI的漏洞利用評估模型
或許,推動網(wǎng)絡(luò)技術(shù)進(jìn)步的原因是多種多樣的,但當(dāng)零日攻擊猶如一個強大的“敵人”一步步逼近之時,網(wǎng)絡(luò)安全廠商要敢于“亮劍”。
華云安是國內(nèi)首家推出基于AI的漏洞利用評估模型(VEAM)進(jìn)行有效的零日漏洞檢測發(fā)現(xiàn)的網(wǎng)絡(luò)安全廠商。由華云安打造的靈源·威脅捕獵與溯源分析系統(tǒng)從攻擊鏈的視角重現(xiàn)整個攻擊過程,并進(jìn)行可視化展示,幫助用戶了解這些威脅事件的來龍去脈。對用戶本地流量進(jìn)行深度分析,同時結(jié)合云端的威脅情報、本地的規(guī)則引擎、多種靜態(tài)檢測引擎、機(jī)器學(xué)習(xí)引擎和動態(tài)行為檢測從多個維度來發(fā)現(xiàn)已知和未知威脅事件。
通過網(wǎng)絡(luò)入侵攻擊檢測、用戶實體行為檢測、流量人工智能檢測、文件病毒木馬檢測、文件基因圖譜檢測、文件沙箱行為檢測、情報黑白名單檢測、關(guān)聯(lián)分析&威脅畫像、元數(shù)據(jù)回溯分析取證等技術(shù)構(gòu)建攻擊鏈關(guān)聯(lián)檢測交叉驗證體系,以實現(xiàn)對掃描探測、網(wǎng)絡(luò)釣魚、漏洞利用、木馬下載、遠(yuǎn)程控制、橫向滲透、行動收割等攻擊階段的檢測全覆蓋,如圖所示:
靈源·威脅捕獵與溯源分析系統(tǒng)的漏洞利用評估模型(VEAM)是通過構(gòu)建完整的漏洞利用分析模型,使用基于行為的分析模式,將攻擊者上下文信息映射至漏洞利用分析模型中,進(jìn)行匹配計算量化指標(biāo),并對未知漏洞行為進(jìn)行推演預(yù)測。
系統(tǒng)基于漏洞利用評估模型(VEAM),能夠?qū)崿F(xiàn)對未知攻擊的“置信度”進(jìn)行評估,將基于攻擊鏈七大階段的各項威脅行為進(jìn)行評分,輸出具體量化指標(biāo),并將所有評估過程以“快照”形式提交至安全分析師,通過人工分析實現(xiàn)零日漏洞的檢出。
靈源·威脅捕獵與溯源分析系統(tǒng)將人工智能、大數(shù)據(jù)與安全技術(shù)相結(jié)合、將華云安多年攻防對抗經(jīng)驗進(jìn)行落地,通過多重檢測引擎、漏洞利用評估模型(VEAM)和全流量數(shù)據(jù)采集技術(shù),為企業(yè)提供全流量的威脅檢測與溯源取證。
