电力企业APT安全防护策略研究

2015-03-19张富华汪林娇

网络安全技术与应用 2015年7期

张富华普钢张睿汪林娇

（1.云南电网有限责任公司云南 650011；2.云南云电同方科技有限公司云南 650217）

0 引言

根据目前网络空间的发展情况可以看到，APT攻击由于具备攻击的复杂性、针对性、长期性和隐蔽性，从而使其成为最佳的网络攻击武器。而电力行业因在国民生产生活中的关键性和重要性，则被动成为APT攻击的最佳目标。

APT攻击对电力行业所造成的安全威胁是显而易见的。其中包括直接造成发电企业停止运转，区域内大规模停电，严重影响国民生产生活。对电力运营企业而言，则可能导致电力运营数据的泄露，间接导致国家生产经济数据的泄露以及用户身份信息的泄露。此外由于今年来APT攻击还存在着以彻底破坏为目的的攻击方式，因此对于电力行业而言，如果发生此类行为而导致生产经营中关键系统、系统配置信息、生产经营数据信息的删除或损坏，即便相关企业具备相应的安全灾备措施，但由于电力行业的复杂性、关联性和庞大性，该攻击也势必造成生产经营的严重损失，产生巨大的社会负面影响。

因此，对于电力行业而言，必须要加强和重视APT攻击，切实通过相关的管理及技术措施提高对 APT攻击的安全防护能力。

1 某电力企业APT防护安全现状分析

本项目据APT攻击链路模型，从APT攻击链路模型的七个阶段（情报收集阶段、攻击进入阶段、命令与控制阶段、横向扩展阶段、资产/资料发掘阶段、资料窃取阶段、潜伏与撤离阶段）梳理出各个阶段过程中的信息安全应对措施。通过组对某电网公司信息安全防护安全现状进行了实地调研并根据APT防护措施进行了针对性的安全现状分析。

经过评估，某电力企业经过多年持续的信息安全建设已基本建立较为全面的信息安全管理防护体系。其中管理制度相对较全，具备了网络边界防护、主机终端防护、网络准入防护、漏洞补丁管理、数据加密、安全审计等安全防护技术手段，但面对APT攻击时仍然存在以下问题。

1.1 信息收集阶段的安全防护现状

由于攻击者首先会锁定某一内部员工作为潜在受害者，一方面，通过社交网站，如微博、博客等，广泛搜集其信息，包括了解其兴趣爱好，爱逛的网站，朋友圈，甚至于受害者平时的行为模式等；另一方面，会尽量搜集其所使用的全部电子设备，包括PC、手机、路由器、智能电器，甚至于智能插座、体重计等的型号，操作系统的类型和版本、办公软件的类型和版本、工作网络环境的情况以及所安装的移动应用等各种IT信息存在的漏洞。目前相关信息并未列为敏感信息，因此员工在这些方面的安全意识有待加强。

1.2 攻击进入阶段的安全防护现状

根据收集到的信息，利用当前系统或已安装应用软件、常去网站存在的漏洞，包括已发布的，或者寻找尚未发布的0day漏洞，再结合当前设备所安装的杀毒软件以及其他检测工具版本所使用的漏洞库，将渗透工具进行免杀处理，从而绕过安全防御系统的检测。目前现有的杀毒软件基本难以防御此类攻击，安全审计系统由于缺少数据来源也无法发现相关问题，导致个人终端极易被攻破。

1.3 命令与控制阶段的安全防护现状

攻击者获取个人终端控制权后，将采取措施维持控制权，通常采用僵尸网络。目前僵尸网络已出现各种加密通信信道、利用现有协议冗余字段进行控制，以避免 IDS、防火墙或其他方式的网络侦听。在这种形势下，缺少网络流量异常分析工具，将难以检测到终端被控事件。

1.4 横向扩展与资料发掘阶段的安全防护现状

在受害人被控制后，攻击者会不断搜集其计算机里的资料，通过访问通讯录等功能，轻易获取目标网络中更多的受害者。当攻击者获得足够多信息的时候，在目标网络中找出放有敏感信息的重要计算机，就会利用受害者社交或办公账户向更近的目标，采用社会工程学、0Day工具、Pass the Hash以及暴力法等手段获取管理员权限。而目前单位防御体系注重网络边界防护，对内部的防护和审计相对较弱，虽然企业启用了运维堡垒机，但攻击者可以通过正常用户的访问方式长期、少量的发掘资料。

1.5 资料窃取阶段的安全防护现状

在资料窃取阶段，攻击者主要在发掘自己有用的数据，紧接着，通过控制的客户端，分布式地使用合法加密的数据通道、Tor 匿名网络甚至基于时间的隐蔽信道等隐蔽、长期的把偷窃到的数据上传到控制服务器，完全绕开了企业的安全审计和安全设备的保护。

1.6 潜伏/撤离阶段的安全防护现状

在潜伏阶段，攻击者为躲避安全设备检测或反病毒软件检测，往往采用反向控制手段，由受控端定期检测某看似合法的服务器，获取进一步指令。更有甚者，利用了虚拟机沙盒检测技术，在检测到上述环境后会自动销毁或完全停止运行，从而达到长期潜伏或撤离的目的。目前在恶意代码检测和网络异常检测方面都没有较好的防御手段。

综上所述，现有安全制度与技术的不足，给APT防护工作带来极大困难。

2 电力企业APT防护安全策略研究

2.1 安全策略设计思路

2.1.1 立足实际、查缺补漏

APT攻击是目前世界上各国政府、各大企业以及信息安全界非常关注的一个信息安全热点，对于APT攻击的研究和防护建设目前仍处在研究、跟踪和不断改进的过程中。因此在设计方案时需要对企业的信息安全现状进行深入调研和全面理解，仔细认真评估现有安全措施在应对 APT攻击情况下的安全防护不足和防护效果。根据评估情况有针对性的提出安全解决方案。安全防护设计方案应尽量不对企业现有的网络架构做出重大改变，设计产品在提高整体安全性的同时应不影响企业业务应用的习惯性、可靠性和可用性。

2.1.2 管理为辅，技术为主

APT本身一种高级的信息安全威胁行为，已发现的攻击案例多次证明这是一种以利用复杂技术手段为主的信息安全综合攻击行为，常见的安全技术手段在APT攻击面前防护效果不明显，甚至有些形同虚设。在被曝光的伊朗核电站、美国RSA公司的案例中可以看到这些组织都有严格的安全管理制度，但是安全管理制度在执行中存在未严格执行的情况，而更为严重的是缺乏相应的技术防护措施。因此在APT的解决方案设计中应该采用三分管理、七分技术的策略。一方面应强化信息安全管理制度的执行和检查；而另一方面则应将防护重点集中在先进的技术安全防护措施上，通过增加和加强现有安全防护技术手段来应对APT威胁。

2.2 安全管理策略

2.2.1 定期开展社会工程学的安全培训与安全测试

APT攻击在对目标对象发起攻击的过程中，往往采取精心设计的社会工程学陷阱，诱骗被攻击者打开恶意文件、点击恶意连接网站或者告知敏感信息。因为人的因素是信息安全中最为薄弱的一个环节，从而使得利用社会工程学的威胁攻击行为具备事半功倍的效果。因此在防护APT的攻击过程中，需要持续不断的、定期的对所属员工开展社会工程学的安全培训，使员工建立和巩固对社会工程学的安全防护意识，让攻击者无机可乘。

此外为了检测员工对社会工程学的防护意识和防护效果，可以通过第三方公司或自行组织适时开展进行社会工程学的安全测试或安全演练。安全测试和演练的内容应包括但不限于以下：

（1）测试员工对未知邮件的打开反应；

（2）测试员工对未知网络连接的点击反应；

（3）测试员工对未知移动介质的使用反应；

（4）测试员工对未知电话通话的接听反应；

（5）测试员工对未知即时通讯的通信反应；

（6）测试员工对未知可疑人员的关注反应。

2.2.2 加强员工网络行为规范管理

由于网络行为访问管理规范的缺失，员工在访问互联网的时候缺乏安全指导和行为约束，因此在实际工作中极有可能点击了由于APT攻击者精心伪造的包含恶意代码的网站；打开了包含恶意代码的文件和邮件；在网络中私自使用代理无线WIFI等，给企业带来了安全威胁。

因此建议企业加强员工网络行为的管理，通过制定网络行为管理规范，引导员工树立安全、健康的网络访问意识，规范员工安全、合理的使用互联网资源。

网络行为管理规范的内容应包含但不限于以下：

（1）合理使用网络资源；

（2）注重个人信息保护；

（3）积极、健康的互联网访问；

（4）安全的互联网访问；

（5）浏览器的安全设置；

（6）下载文件或电子邮件的安全鉴别；

（7）知识产权、软件版权的保护和使用。

2.2.3 完善电力安全基线内容

近年来，各单位均制定和颁发了符合自身实际及需求的安全基线。安全基线的制定和执行不仅有力的提高了企业整体的安全防护能力，而且对IT系统而言也较好提高了对APT的攻击防护效果。

然而，由于不少APT攻击者常利用互联网网站诱骗受害者访问虚假网站，执行包含恶意代码的web插件，使受害者终端感染恶意代码并为下一步攻击行为埋下伏笔。目前主流的终端浏览器，如IE、Firefox、Chrome、Safari、Opera等都具备相应的安全功能并可进行相应安全设置。如用户开启使用安全功能及进行安全设置后，则可以提高网络访问的安全性，一定程度上降低APT攻击的成功概率。可以参考美国FDCC规范并结合以上主流浏览器厂家的安全配置建议，增补桌面终端关于浏览器的安全配置基线。

终端浏览器安全配置基线的内容应包含但不限于以下：

（1）网络安全区域的安全级别设置；

（2）Net Framework的设置使用；

（3）ActiveX的控件和插件使用；

（4）脚本程序的使用；

（5）Cookie的设置使用；

（6）证书的设置使用；

（7）用户身份验证；

（8）文件下载的使用设置。

2.2.4 加强终端补丁管理

在APT攻击过程中，员工个人终端往往是APT攻击漏洞利用的直接对象，也是终端控制攻击得手后进行恶意代码扩散和展开后继攻击行为的内部源头。

企业应加强对桌面终端的补丁管理，定期对所有终端的补丁更新情况进行检查和督促，增加APT攻击防护过程中桌面终端这一安全环节的防护能力。

2.3 安全技术防护策略

2.3.1 未知恶意代码检测防护策略

未知恶意代码检测防护系统的不依赖传统的签名检测技术，而是基于先进的动态检测技术，即基于沙箱虚拟执行的方式。根据软件在虚拟环境中的代码行为特征进行实时分析，来判断是否存在攻击特征，这种检测方式不需庞大的检测签名库，同时检测已知和未知威胁，并且可以防止各种针对静态检测的逃避技术。目前该检测方式是高级可持续威胁监测最有效的技术。

除此之外未知恶意代码检测防护系统还可集成其他多种已知威胁检测技术帮助系统更为全面的检测已知、未知恶意软件。这些已知威胁检测技术包括she11code的智能识别、AV检测和基于漏洞的静态检测。

2.3.2 终端安全防护策略

对于 APT攻击来说，攻击控制终端是攻击的最终落地环节，之后的所有攻击步骤，包括内部网络扩散、资料窃取和回传都依赖于该环节的成功与否。因此通过部署使用终端安全防护软件是APT攻击防护的一个关键手段和步骤。

2.3.3 开展网络异常行为分析

由于APT攻击多利用0Day漏洞，未知恶意代码，因此在实际中未知恶意代码检测防护系统和终端安全防护软件很难做到百分之百的安全检测和实时清除。一旦由于未知恶意代码检测防护系统以及终端安全防护软件未能识别和清除恶意代码，导致恶意代码已攻入电网网络内部，那么网络异常行为分析系统将是发现和阻断APT攻击行为的另一个关键技术手段。

网络异常行为检查系统需具备扩宽的检测时间域，对网络中的全流量数据进行存储分析。这样在检测到可疑行为时，可以回溯与攻击行为相关的历史流量数据进行关联分析。之前已发生过、未能引起分析人员注意的报警，有可能隐藏着蓄意攻击意图，通过这种回溯关联分析就有可能进行有效识别。有了全流量的存储，就有可能回溯到任意历史时刻，采用新的检测特征和检测技术，对已发生的流量进行任意粒度的分析。对流量数据进行细粒度协议解析和应用还原，通过大数据挖掘技术建立业务应用场景、攻击场景和关联知识库，精确识别异常行为以及伪装成正常业务的攻击行为。

此外，该系统应具备和 SIEM（安全信息事件管理系统）或SOC（安全运维中心）进行方便集成的功能，从而完善网络数据的收集范围。系统应具备文件类型、内容的分析识别以及Sand-Boxing（沙箱）模拟运行监测技术提高网络行为的安全甄别能力。

2.3.4 部署网络蜜罐系统

APT攻击是一种综合攻击方式，因此对其实施的安全防护场景应从整个攻击链来的角度进行综合考虑。在APT的资料收集/窃取阶段中，攻击者需要操纵客户端对网络内部资源进行手工或自动化的搜索、探寻及尝试登陆控制等一系列行为。如何在海量的网络信息背景中有效侦测此类探测活动，准确捕获攻击的源头、使用的手段，攻击的目标就显得尤为重要。尽管日志类网络安全审计系统可以审计到一些登录访问的日志，但是一个专门设置的蜜罐系统（诱捕系统），因为其是企业内部已知的系统，在正常情况下内部人员或终端不会对其进行访问，而只有恶意攻击者才会去尝试对其进行访问并展开攻击行为。因此其工作效率和准确性与日志类安全审计系统相比则效率更高、准确性更佳。总体而言，蜜罐系统对于网络审计系统来说是一种有益和有效的补充，且本质上，蜜罐系统也属于网络审计系统的一类。

2.3.5 定期开展渗透测试

尽管渗透测试是一项严重依赖于渗透测试人员技巧的安全技术措施，但是渗透测试由于是人工行为，因此更能真实的反映黑客的攻击行为。通过渗透测试可以帮助安全运维人员发现一些疏漏的安全环节，帮助安全运维人员更好的理解黑客攻击路径、攻击方式和攻击工具。因此渗透测试在某些场合中是一种有效的安全手段。

一些 APT攻击行为在攻击过程中也并非全部采用完全未知的安全漏洞和恶意代码，相反是一些厂家早已公布和验证的漏洞及恶意代码。只不过因为攻击者做足了前期的信息收集，因此攻击仍然具备针对性和有效性。

定期开展渗透测试在应对APT攻击的过程中仍然是一个值得投入的安全举措。当然在开展渗透测试的过程中应具备针对性，以模拟APT攻击为主要测试方式，这样的渗透测试才更有效果。