网络防御技术发展趋势分析

2022-11-25秦超

科学与信息化 2022年9期

秦超

战略支援部队信息工程大学河南郑州 450001

引言

在未来的网络安全或网络空间安全中，我们可以预见到一些重要的变化。我们的工作和生活越来越依赖于网络设备和服务的可靠性﹑完整性和可用性。更多的人﹑设备﹑系统通过网络连接在一起。网络中运行更多的服务。随着我们对网络的依赖日益增加，攻击者就有更多机会利用在网络空间中制造恶意行为来操纵﹑恐吓﹑骚扰和欺骗个人﹑企业和组织。可以预见，在下一个十年，网络空间安全的概念将从保护传统网络和信息安全（NIS）转变到更广泛领域，将会包括对内容和服务的保护。由于网络环境的复杂性，网络空间安全工作者面临的任务也就更加具有挑战性。未来十年，由于威胁模式的复杂性﹑对抗性生态系统和攻击领域日益扩大等原因，网络安全风险将更加难以评估和解释。面对新威胁﹑新挑战﹑探究网络防御技术现状﹑研判趋势尤为重要。

1 漏洞找寻

1.1 Windows访问令牌操纵攻击

WindowsAccessToken操纵攻击是一种常见的攻击方式，但由于它依赖于神秘的 WindowsSecurity内部机制：登录会话﹑访问 Token﹑ UAC和网络身份验证协议。防御实践者要掌握这些内部机制的具体原理比较困难，从而导致无法检测到此类攻击。

William Burgess介绍了在 Windows环境中访问令牌的方式，并说明了攻击者是如何滥用合法 Windows功能横向移动并破坏整个 Active Directory域。通过这种方式，防御实践者将理解攻击的关键信号，从而在他们自己的环境中识别访问令牌操作，从而检测和响应此类攻击。

1.2 AMD上的PSP安全问题

AMD的Zen（及更高版本）CPU包含“（平台）安全处理器”（PSP），它是x86 CPU中负责初始系统引导的嵌入式ARM内核。PSP甚至在主x86内核之前就已运行，并且可以完全访问主内存。在系统运行时，它充当AMD的“安全加密虚拟化”功能以及最近具有通用Linux内核补丁的通用TEE接口等功能的信任锚。PSP上运行的固件是完全专有的，几乎没有公共文档可用。

在过去的两年中，Robert Buhren和 Alexander Eichner对PSP固件和硬件的几个组件进行了反向工程，以了解这个关键组件的功能，以寻找可能的安全问题。最终发现了多个安全问题，使得能够在PSP上执行代码。他们为PSP开发了一个仿真器，它能够跟踪固件的执行，并使开发和测试代码变得更容易。

1.3 “Shannon”基带处理器仿真测试环境

现代手机和蜂窝网络之间最关键的接口是基带处理器。基带负责处理复杂的2G至5G协议，这给它们带来了很大的攻击界面。不幸的是，对此界面进行检测非常困难：通过无线方式发现缺陷是不可扩展的，崩溃很难重现，并且设备通常甚至都没有基本的调试接口。

为了解决这些问题， Grant Hernandez等人为 “Shannon”基带（ShannonEE）设计并构建了一个仿真环境[1]。利用并结合了两个现有框架avatar2和PANDA的优势，以提供针对漏洞研究的灵活可扩展平台。这个环境能够加载和运行ARMv7-R Shannon固件映像，该映像通常大小超过30MB，并具有65K +的功能。并且该环境精确地模拟自定义的Shannon RTOS及其外围设备，以实现任务切换和计时器中断，从而提供了强大的动态分析平台。还支持跨版本的Galaxy手机的不同版本的Shannon SoC。

为了充分利用ShannonEE，该环境还移植了Triforce AFL，从而可以进行针对性的﹑覆盖指导的﹑任务或协议的模糊测试。

1.4 PDF文件的漏洞利用

PDF是一种被广泛使用的文档格式，最近几年PDF上发现了一些重要的漏洞。

来自波鸿鲁尔大学的研究生深入研究PDF的规则并研究可被利用的漏洞。他们对所有主要PDF查看器存在漏洞的恶意PDF文档的功能进行了系统且深入的分析。

这些攻击可分为4类：

1.4.1 拒绝服务攻击，会影响在其上处理文档的主机。

1.4.2 信息泄露攻击，跟踪谁打开文档或将个人数据从受害人的计算机泄露到攻击者的服务器，例如PDF文档格式数据，本地文件或用户凭据。

1.4.3 数据操纵攻击，这些攻击会根据打开的应用程序修改表单值，在主机系统上写入本地文件或掩盖文档的显示内容。

1.4.4 通过静默启动嵌入式可执行文件，在受害者机器上执行代码。

最后，他们提出了一种基于合法但危险的PDF文档功能来系统地防御攻击的方法。

1.5 利用对抗性网络黑客的AI工具

人工智能（AI）正在对全球经济和社会进步以及普通市民的日常生活产生深远的影响。但是，随着AI技术的发展，下一代黑客已经成功建立了深度学习模型，可以更轻松﹑更有效地破坏以前坚不可摧的安全机制。

1.6 数据源比较工具

如今，典型的安全运营中心中的防御者依靠他们的SIEM对过去的日志进行取证，并定义实时检测。假定已预先配置了SIEM，以收集有用的日志子集。但是，如何确定有用的呢？此外，某些数据量如此之大，以至于以原始形式存储它们的成本过高。在存储查询之前，必须对这些数据进行预过滤和汇总。

Jose Morris提供了一种工具和一种方法，用于比较存储之前过滤和预处理实时数据源的各种选项。这可以在没有SIEM覆盖的隔离环境中完成，例如用于研究恶意软件的实验室/蜜罐或用于漏洞利用的概念验证。该方法的学习可用于理解新颖的威胁并创建可直接在事件流上工作的真实实时检测。

2 安全软件及方法

2.1 好利用Docker和Kubernetes已有的安全功能

如今，只需几个命令，任何人都可以在其计算机上运行容器。在这一点上，它们似乎既不复杂也不复杂。但是，现在我们有成千上万个节点，它们在不同的虚拟环境中扮演着不同的角色，使用不同的资源，运行不同的应用程序，必须由具有不同权限类型的不同用户远程访问，等等。复杂性是安全的最大敌人。Docker和Kubernetes的许多功能可以很好地保护这些环境。但是。Sheila Brta解释如何实现高级安全功能以保护Docker守护进程及其核心组件。他们深入研究，在容器运行时限制内核的功能，并将其重新映射到用户命名空间，直到在Swarm或Kubernetes的协调器中成功应用RBAC。

2.2 测量用户防御社会工程攻击能力的方法

近年来，社会工程攻击发生了巨大变化：它们不再局限于个人电脑，它们的作用已超出网络钓鱼的范围。尽管有所变化，但当前评估用户对社会工程攻击的方法仍主要集中在网络钓鱼攻击上，并且没有区分平台差异。

此外，目前的方法在很大程度上取决于受试者对调查的反应，这些反应往往是主观的，有偏见的，需要受试者的积极参与和协作。因此准确性较差并且消耗大量人力资源。其他解决方案基于在面对模拟网络钓鱼攻击时测量对象的瞬时行为。但是，这些方法往往对环境因素敏感，因此不能连续用于评估用户的行为。

Ron Bitton等人提出了一种方法，用于评估用户对特定类型的社会工程攻击的对抗能力。该方法包括针对安全意识用户的一组可衡量标准以及专家技术针对不同攻击类别（每个类别都是利用类似漏洞的SE攻击的集合）构建的安全意识模型。该方法从不同数据源收集和分析数据：

•Android代理，可测量用户使用智能手机进行操作时的实际行为。

•Chrome扩展程序，可测量用户使用PC进行操作时的实际行为

•网络流量监控器，它分析发送到设备或从设备接收的网络流量。

•攻击模拟器，可对用户实施多种类型的SE攻击。

为了评估这个方法的效果，进行了一项实验研究，涉及162位用户，历时7至8周。结果表明：①用户防御攻击所需的技能因不同的攻击类别而有所不同；②用户的自我报告行为与他们的实际行为有显著差异；③从用户的实际行为得出的安全意识等级与他们防御SE攻击的能力高度相关。

2.3 保护患者所托付的信息免受侵害的工具

受勒索软件，数据泄露和黑客攻击，医疗保健行业受到的影响最大。每个星期都有另一家提供商遭到黑客入侵的消息。在许多情况下，这导致医疗实践被关闭，患者甚至无法获得病历。提供给许多提供者的指南并未具体说明组织为保护患者和自身而需要采取的措施。他们没有可用来保护自己的特定列表和工具集。

另外，有许多安全公司仅提供风险评估，使较小的供应商损失了数万美元，却没有提供任何有价值的东西。

Mitchell Parker提供了一个用来帮助其保护患者所托付的信息的工具[2]。该工具可被任何人使用。

3 模拟器及虚拟容器

内核rootkit被认为是可能感染计算机的最危险的恶意软件。该超级恶意软件运行在系统最高特权级别的上，所以可以不受限制地控制整个计算机并可击败所有防御和监视机制。不幸的是，当前缺乏内核rootkit的动态分析解决方法，我们无法得知其运转的具体细节。这是因为大多数现有的动态分析工具都是为用户级别的代码构建的，而不是为操作系统（OS）级别构建的。这种局限性迫使安全研究人员转向静态分析，但是事实证明静态分析的方法非常困难且耗时。

来自新加坡的团队提出了一种处理内核rootkit的新颖方法。他们引入了Demigod，这是一个用于仿真OS环境的框架，因此内核rootkit可以在软件仿真器中运行。在此沙箱中可以使用此高级恶意软件安全地监视，跟踪，调试或执行各种动态分析。

4 防止恶意用户内存出现在分析工具中的方法

如今，安全从业人员通常使用内存获取或实时取证来检测和分析复杂的恶意软件样本。随后，恶意软件作者开始采用反取证技术，通过隐藏恶意内存区域来颠覆分析过程。这些技术通常会修改诸如访问权限之类的特征，或将恶意数据放置在合法数据附近，以防止分析工具在仍保持可访问性的同时识别内存。

Frank Block介绍了3种新颖的方法，它们可以防止恶意用户内存出现在分析工具中，并且从安全分析人员的角度来看，还可以使内存不可访问[3]。这些技术中的两种操作内核结构，即页面表条目和负责管理用户空间内存区域的结构，而第三种则使用共享内存，因此不需要提升的特权。另外还评估了几种检测颠覆技术的方法，并介绍了一些自动检测隐藏内存的Volatility和Rekall插件。