董 娜,张君艳,刘伟娜,常 杰

(国网河北省电力公司电力科学研究院,石家庄 050021)

电网企业APT攻击防御存在的问题及防御措施

董 娜,张君艳,刘伟娜,常 杰

(国网河北省电力公司电力科学研究院,石家庄 050021)

介绍电网运行易遭黑客APT攻击的现状,针对APT攻击流程分析了现有的防护体系存在的问题,从管理手段和技术手段2个方面提出防御的安全措施。并对目前电网企业如何防范APT攻击提出建议。

APT攻击;大数据;APT防御

1 概述

2015年12月,乌克兰电网遭受APT攻击造成大面积停电,这是世界首例因黑客攻击造成的大规模停电事故[1]。同时随着我国智能电网的发展,以及云计算,大数据,移动互联及物联网技术的结合,信息安全成为电网安全的重要组成部分。电网遭受APT攻击,不仅会造成大规模停电,影响生产生活,还会造成敏感信息外泄,如电力运营数据、用户信息等,带来巨大的经济损失。

电网运行容易遭到黑客发起的APT攻击包括以下几个方面[2]:供应商,电网行业供应商多样,电网所使用的软硬件设备多种多样,供应商可能来自系统内外、国内外,除设备被预装后门或恶意软件外,设备本身设计缺陷或存在的安全漏洞都可以被黑客利用;终端,终端分布广,分布式电源、用电信息采集、电动汽车等终端设备或系统的运营主体繁多、应用场景复杂,增加了其被恶意监听、渗透、控制的风险,移动设备的攻击正在逐步成为APT攻击的新方向,而移动设备的安全技术保障也不充足,无论是Android系统还是iOS系统均被爆出过不少漏洞,存在安全问题;通信网络,黑客利用技术手段通过通信网络进行假冒终端、违规接入、网络流量劫持、信息窃取等,导致信息泄露或通信网络设备运行异常、中断;应用服务,黑客利用安全漏洞或恶意病毒入侵应用系统,可导致服务异常或中断,信息泄露,甚至破坏应用系统的软硬件设备,工控系统正在逐步成为APT攻击的新目标,此前,被曝光的NSA武器库拥有大量可以攻击工控隔离网络的手段;员工,大多数员工信息安全意识仍然不足,而APT攻击往往会采用社会工程利用人性的弱点对员工进行渗透。在这一大背景下,如何防范APT攻击应引起电网行业的重视。

2 APT攻击防御存在的问题

目前电网企业已经拥有较全面的信息安全管理体系,对物理环境、终端安全、边界安全、网络安全、应用平台安全及数据安全等方面的安全管理采取了相应的安全防护手段,但是在面对APT攻击时仍然存在一些问题[3]。同时APT攻击以其

隐蔽性强、潜伏期长、持续性强、攻击渠道多样等特点,降低了传统安全产品对其防御的效果。下面将从APT攻击的一般流程来分析电网企业面临的问题[4-5]。

第1步为信息收集,攻击者有针对性的通过各种途径收集网络系统和员工的相关信息,包括从外部利用网络隐蔽扫描了解信息以及从内部利用社会工程学了解相关员工信息。虽然电网企业已经制定了安全管理制度,但是人员安全意识依然需要提高,尤其是部分员工存在侥幸心理或是不知情情况下造成信息泄露或被黑客利用。

第2步为单点攻击,收集足够信息后,攻击者通过包括恶意代码、漏洞攻击、Web攻击等各种攻击手段入侵目标系统,这个过程通常是采用低烈度的攻击模式,以避免被目标系统发现,从而控制目标系统。攻击者利用0day漏洞、未及时修复的已知漏洞、多态病毒木马等来绕过电网企业已部署安装的防病毒及其他检测工具,导致此类攻击难以被防范。

第3步为建立控制,攻击者通过突破内部某一台终端渗透进内部网络,模拟网络常见协议如DNS、HTTP、HTTPS并进行加密来构建C&C通信(命令与控制)与终端联系,让C&C通信变得难以被电网企业部署的IDS、防火墙,IPS等安全设备检测。在这个过程中,攻击者还会降低通信频率及频繁变更域名和IP地址。由于目前电网企业缺少对网络异常流量的关联分析工具,使得检测出被控终端变得困难。

第4步为横向、纵向渗透,攻击者以突破的终端为跳板,逐步了解全网结构,在获取更高权限后锁定目标。目前电网行业主要的检测方式是对网络边界和主机边界进行检测,在对内部安全防护上相对薄弱,虽然部署了堡垒机和数据防护等手段,但攻击者可以模拟正常用户行为进行长期、少量资料收集工作。

第5步为数据回传,攻击者在内部网络中长期潜伏,收集网络中各服务器上的重要数据信息后,将这些数据进行压缩加密,通过隐蔽通道进行回传,以绕过电网企业部署的审计设备或其他安全设备。

目前电网企业的网络是内外网隔离的,针对这种网络隔离,APT攻击者在实施控制与数据回传时,一般使用移动介质摆渡的方式,进行数据的传送。另外一些破坏性的APT攻击,则不需要进行控制和数据回传,如震网攻击,攻击者将震网病毒传递到工作人员家庭主机,并通过U盘震网病毒被工作人员带回到隔离的主机上,最终攻击核电站系统。

综上所述,面对APT攻击时,无论是电网企业现有的防御体系还是目前已形成的检测思路,诸如恶意代码检测思路、主机应用保护思路、网络入侵检测思路等,都存在一定的困难和局限性。而理想的APT安全解决方案应该基于大数据分析的检测、防御方案,目前已有厂商与研究人员推出并提出了相应的安全产品和架构[6-8]。

3 安全防御措施

电网企业在防御APT攻击时所面临的上述问题,可以从管理和技术方面分别进行防御[9]。

3.1 管理手段

a.制度管理,落实国家标准、行业标准以及公司的规章制度,严格执行相关安全管理方面的要求,尤其是对终端安全、边界安全、网络安全及数据安全等方面的要求认真落地执行,同时研究现有的安全防护要求是否全面,查漏补缺,根据实际情况及时更新。

b.人员管理,人往往是信息安全防护过程中的最不可控因素,攻击者通常会使用社会工程利用人性的弱点针对人员进行渗透,因此提高员工的安全意识显得十分重要。定期对员工进行安全培训及安全教育活动,根据安全管理制度确定可执行的策略,让每名员工都清楚什么可以做,什么不可以做。安全培训是长期且重要的工作,因为人的安全防范意识非一朝一夕能树立起来。

c.对外信息管理,限制公开显示的信息量,包括电话簿、员工名单、过于具体的人员和领导介绍、项目计划、业务和渠道合作伙伴以及客户名单。同时从制度上禁止企业员工个人信息以及与工作相关的信息被公布到社交网站上。

d.最小权限原则,把控每个员工可以接触到的信息,采用最小权限原则,切不可越权访问、使用资源。同时,对员工在被限定的权限下可以进行的操作有明确的规定,避免违规操作。

e.预警机制,安排人员随时关注相关安全部门和网站发布的安全公告,建立预警机制。针对社会上最新发现的各种安全问题及时对企业内部

进行验证,查看是否存在,若存在及时制定整改计划消除缺陷。

f.建立应急机制,根据各种可能发生的情况制定应急方案,当发现疑似APT攻击时,能及时启动应急机制,将损失降低到最小。

g.注重终端安全,统一管理终端杀毒软件,及时更新,修复漏洞。采用安全手段检查并检测可疑邮件中的URL链接和附件,防范可能的APT攻击。重视数据层安全,对敏感数据一是要作权限管理,定期更换用户认证;二是要做信息加密,包括存储加密和传输加密等。

h.专业技术人员,培养专业技术人员或是邀请专家对历史数据、当前记录进行分析并对定期开渗透测试,预估安全趋势,及时发现安全风险。提升企业内部安全人员能力,定期排查和评估潜在风险,不断增加主动发现风险和排查故障的技术能力。同时,在有条件的情况下聘请专业安全机构定期进行监测,提高风险防范水平。

通过上述的管理手段不断加强网络防御APT攻击的能力。

3.2 技术手段

在信息网络中部署APT攻击检测防护产品,对主机、边界、网络、应用等进行全方位防护,防护技术手段如下。

a.物理防护。防范电磁泄漏,信息系统设备在工作时通过电源线、信号线等辐射出去的电磁信号或谐波,可以经过提取处理恢复为原信息造成信息泄密,所以需要防电磁泄露,可以采用电磁屏蔽或防干扰等措施进行安全防护。

b.恶意代码检测。在互联网出口和核心交换机之间部署引恶意代码检测引擎,实时监测有关恶意代码的威胁攻击。APT攻击发起者修改已有的恶意代码来形成新型未知恶意代码或开发全新恶意代码,来绕过基于特征码的检测系统。因此,在防御APT攻击时,应增加动态检测技术,如采用沙箱技术。其原理是在虚拟机或沙箱中运行引入的实时流量,通过监控沙箱中的文件系统、进程、注册表、网络行为等,来判断流量中是否包含恶意代码。

c.终端安全管理。包含但不限于安全准入、安全加固、病毒防护、补丁管理、违规外联管理、访问控制、保密监测、数据防护监控、外设管理、IP地址管理、移动存储介质管理、桌面资产管理、软硬件安装管理、恶意代码过滤。控制终端是APT攻击渗透内部网络的重要环节,所以终端安全防护是防范APT攻击的重要关卡。

d.漏洞扫描。对终端、应用系统、数据库、操作系统、网络设备等定期进行漏洞扫描,及时修复发现的漏洞。APT攻击者通常利用已知漏洞和未知漏洞进行单点攻击入侵目标系统,在进行防御时,可以使用现有的漏洞扫描工具或是手工验证等方式进行漏洞发掘,发现漏洞及时修复。

e.入侵检测。通过监控整网流量,来监控网络内各种攻击行为。入侵检测系统主要用来检测APT攻击的命令和控制通道。

f.全流量审计。全流量存储的条件下,通过回溯分析相关流量,对流量进行协议解析和应用还原,判断识别是否存在攻击行为。对于不能被实时检测出来的攻击行为,可以回溯分析相关流量并进行多次检测。这种采用长时间、全流量数据进行深度分析的防范,主要用于对抗APT攻击的可持续特性特性。

g.大数据分析。通过单一的安全设备告警信息无法判定是否存在APT攻击,需要对覆盖所有检测技术的安全信息进行收集分析,形成关联分析,这需要大数据分析技术。包括对防火墙、入侵检测、入侵防御、审计系统、日志系统、防病毒系统信息进行收集分析。大数据分析技术通过关联分析来判断异常情况,发现异常后,利用全流量存储,建立告警库,对捕捉到的信息进行综合关联分析,将告警信息会形成规则。

目前各厂商已经发布了相应的APT防御产品,对APT的检测防御各有侧重,电网企业在进行选择时,可以根据网络实际情况,选择一个或多种组合部署,在技术手段上加强对APT攻击的防御能力。

4 结束语

综上所述,在防御APT攻击上可以采用以上手段,尤其在大数据的基础上多种方式联合使用,才能有效的检测防御APT攻击。但仍有很多问题需要进一步研究解决,如沙箱技术占用大量的本地资源和处理时间,会拖慢系统;入侵检测技术需要解决如何获取APT攻击的命令和控制通道特征的问题;全流量审计需要解决高性能的数据捕获和快速回溯分析能力;大数据分析技术还未完全成熟,需要解决异构海量数据存储、分析技术,关联场景的建立等问题。

[1] 童晓阳,王晓茹.乌克兰停电事件引起的网络攻击与电网信息安全防范思考[J].电力系统自动化,2016,40(7):144-147.

[2] bjx-zndx.乌克兰电网遭遇黑客攻击,有何警示意义[OL]http://toutiao.com/a6243917163524423938/,2016-01-26.

[3] 张富华,普 钢,张 睿,等.电力企业APT安全防护策略研究[J].网络安全技术与应用,2015,7:86-87,90.

[4] 佚 名.大数据分析APT攻击防护下一代演进之路[OL].http://sec.chinabyte.com/452/12916952.shtml,2014-04-12.

[5] 张百川.APT:攻击容易,防御不易,且行且珍惜[OL].http:// www.youxia.org/apt-cnw-zhenxi.html,2014-04-16.

[6] 王丽娜,余荣威,付楠,等.基于大数据分析的APT防御方法[J].信息安全研究,2015,1(3):230-237.

[7] 付 钰,李洪成,吴晓平,等.基于大数据分析的APT攻击检测研究综述[J].通信学报,2015,36(11):1-14.

[8] 趋势科技.演化的APT治理战略[OL].http://www. trendmicro.com.cn/cloud-content/cn/pdfs/20150624.pdf, 2015-06-24.

[9] 蒋 明,方 圆,丁家田.大数据时代下电网企业安全防护策略研究[J].信息安全与技术,2015,(10):11-15,37.

本文责任编辑:罗晓晓

Problem and Countermeasures on APT Defense in Power Grid Enterprises

Dong Na,Zhang Junyan,Liu Weina,Chang Jie
(State Grid Hebei Electric Power Research Institute,Shijiazhuang 050021,China)

This paper introduces the present situation of the Power Grid operation which is vulnerable to APT attacks.The existing problems of current protection system are analyzed from the process of APT attacks.This paper analyzes the security measures of defense from management means and technical means.For the current Power Grid enterprises how to prevent APT attacks should cause the attention of the power industry.

APT attacks;big data;APT defense

TP311.56

B

1001-9898(2016)04-0025-03

2016-06-13

董 娜(1986-),女,工程师,主要从事电力信息化相关工作。