网络安全研究报告.ppt

2012中国互联网 安全研究报告,翟光群,总体情况,由于免费安全软件的快速推广，截至2012年上半年，国内电脑安全软件的普及率已经达到96.5%，绝大多数的个人电脑都能得到可靠的安全保障。个人电脑的病毒感染率大幅下降，单个病毒的大规模感染事件已经绝迹，黑客针对个人电脑发动攻击变得越来越困难。一些新型的互联网安全问题开始逐渐凸显：钓鱼欺诈取代网页挂马攻击，成为个人电脑安全的首要威胁；超过7成的国内网站存在高危漏洞，政府、高校等正规网站安全性尤其薄弱；另外，针对高科技企业的APT攻击（高级持续性威胁）显著增多，更具商业价值的企业机密数据成为黑客攻击目标。,新增木马逐月减少,根据360云安全数据中心统计，去年1至6月，国内日均约2835.3万台电脑遭到木马病毒等恶意程序攻击。与此同时，木马病毒攻击的成功率有着显著降低，一般在千分之五以内。根据360用户调查显示，电脑中毒的主要原因是用户在木马病毒诱导性提示下关闭了安全软件的防护功能，集中在游戏外挂和诱惑视频播放器使用人群上，中国互联网用户因此被分为两大群体：大部分网民几乎与木马病毒隔离，很少遇到木马病毒攻击；另外一部分人群则频繁冒险中毒、杀毒。,钓鱼网站威胁加剧,2012年上半年，360安全卫士共截获新增钓鱼网站350149家（以host计算），已经达到去年全年截获新增钓鱼网站总量的75%，拦截钓鱼网站访问量更是高达21.7亿次，比去年全年拦截量还高2000万。,钓鱼网站,从钓鱼网站的类型分布上来看，虚假购物仍然以41.53%的比例蝉联钓鱼网站排名的榜首，紧随其后的是虚假中奖和模仿登录类钓鱼网站。排名前三的钓鱼网站占到钓鱼网站总量的74.09%。值得一提的是，去年排名靠前的各种博彩类钓鱼网站的排名明显下降，而模仿登录类钓鱼网站比例却大幅上升，排名也大幅提前。,信息安全变化趋势,一、从经常杀毒到很少中毒6年前正是恶意软件、木马病毒集中爆发的时期。不仅规规矩矩上网的电脑会频繁中毒，例如动辄出现倒数60秒关机的蠕虫感染，不上网的电脑也时常被U盘病毒骚扰。时至今日，免费安全软件已经能够实现对各种盗号和入侵攻击的有效防护，除了经常使用不良外挂、诱惑视频播放器的高危人群，普通用户如果没有在恶意诱导下关闭安全软件，基本不会担心电脑被木马病毒入侵。与此同时，经常给电脑体检、打补丁，以及对系统进行清理优化成为网民普遍接受的电脑使用习惯。,信息安全变化趋势,二、超级病毒已经绝迹2006年之前，冲击波、熊猫烧香等蠕虫病毒席卷全国。这种在今天看来只要打好补丁就能轻易防范的病毒，却在当时造成了极大的影响和危害，其主要原因就在于安全软件的普及程度很低，大量电脑处于裸奔状态。而随着云查杀技术的出现，使得木马病毒的平均传播范围已经从动辄成千上万，缩小到20台左右。如熊猫烧香、机器狗、犇牛等感染量过百万的超级木马病毒已几乎绝迹。,信息安全变化趋势,三、重装电脑频率降低 360推出之前，木马病毒、流氓插件等恶意程序争相霸占用户电脑，劫持系统和浏览器，不仅严重拖慢电脑速度，更是对用户帐号和隐私数据造成极大风险，普通网民对此却束手无策，只能每隔几个月就重装一次电脑。在免费安全高度普及的今天，安全软件不仅可以拦截木马病毒，还提供如清理垃圾、优化加速和修复注册表等电脑“保健”功能，电脑的健康运行周期大大延长，根据360的用户调查统计，用户重装系统的平均周期已经从六年前的2-3个月，大幅延长到如今的22个月以上,现阶段网络安全的主要威胁,（1）钓鱼欺诈成为网络安全首害挂马和钓鱼是恶意网站攻击用户的两大手段。由于以往用户电脑很少打补丁，也很少有网民购买收费杀毒产品防范0day漏洞，木马能轻易通过浏览器自动下载到用户电脑中实施攻击，挂马网页因此一度疯狂泛滥，人们耳熟能详的AV终结者、熊猫烧香、机器狗、磁碟机、犇牛等顽固病毒主要是通过挂马网页传播。不过，随着免费安全的不断普及，挂马攻击变得越来越困难。而钓鱼网站，只要不携带恶意代码，而只是模仿套用正规网站的模板，一般难以被传统杀毒引擎识别。从最近两年的统计来看，钓鱼欺诈已经从网络犯罪的配角变成主角，成为恶意网站攻击个人用户的主要手段。,现阶段网络安全的主要威胁,（2）网站拖库成为黑客主流盗号手段由于个人电脑的防护越来越严密，很多黑客转向攻击网站，直接窃取网站数据库获取用户密码（拖库）。与个人电脑相比，网站系统要庞大得多，存在安全漏洞的可能性也更大。加之很多网站程序员缺少安全编程的经验，致使高危的安全漏洞在网站系统中普遍存在。根据360网站安全测试平台（)的统计，超过75%的国内网站带有高危漏洞。去年下半年多起大网站泄密事件的集中爆发，使网站安全问题进入公众视野。2012年上半年，网站拖库问题还在持续发酵。,超七成网站存在高危漏洞,WebScan对现有用户的安全评级的分析结果统计。从图中可以看出，能够达到安全和警告这两个相对比较可靠级别的网站，占比仅为7%左右，而达到高危或超高危程度的网站却超过了75%。也就是说，中国的网站环境正处于极度不安全的发展状态。,现阶段网络安全的主要威胁,（3）APT攻击日渐增多，并呈现诸多新特点APT是指高级持续性攻击,是针对特定组织的多方位的攻击。由于针对普通用户和操作系统的一般性攻击成本越来越高，相应产出的黑客利益也比较低，因此，有针对性的攻击某些价值较高的企业甚至基础工业设施，成为黑客新的主攻目标。火焰病毒、暴雷漏洞以及之前的震网病毒，都是APT攻击的典型案例。,移动互联网恶意程序,2011 年移动互联网迅速发展，手机网民数量不断增长，移动互联网恶意程序数量和感染规模也在不断提高。恶意程序已经严重威胁到用户的切身利益和移动互联网的健康发展。工业和信息化部于 2011年11月出台移动互联网恶意程序监测与处置机制，进一步加强移动互联网安全监管工作。CNCERT持续对移动互联网进行安全监测，根据监测结果，2011 年国内移动互联网安全事件数量呈现增长趋势。,移动互联网恶意程序,移动互联网恶意程序是指运行在包括智能手机在内的具有移动通信功能的移动终端上，存在窃听用户电话、窃取用户信息、破坏用户数据、擅自使用付费业务、发送垃圾信息、推送广告或欺诈信息、影响移动终端运行、危害互联网网络安全等恶意行为的计算机程序。移动互联网恶意程序的内涵比手机病毒广的多，如手机吸费软件不属于手机病毒，但属于移动互联网恶意程序。,APT攻击及其防御,高级持续性威胁,高级持续性威胁（Advanced Persistent Threat）是指组织（特别是政府）或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT全称：Advanced Persistent ThreatAPT简述：APT是指高级的持续性的渗透攻击，是针对特定组织的多方位的攻击；APT不是一种新的攻击手法，因此也无法通过阻止一次攻击就让问题消失。,案例一、,Google极光攻击：2010年的Google Aurora（极光）攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终获成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。,Google极光攻击过程,1.搜集Google员工在Facebook、Twitter等社交网站上发布的信息；2.利用动态DNS供应商建立托管伪造照片网站的Web服务器，Google员工收到来自信任的人发来的网络链接并且点击，含有shellcode的JavaScript造成IE浏览器溢出，远程下载并运行程序；3.通过SSL安全隧道与受害人机器建立连接，持续监听并最终获得该雇员访问Google服务器的帐号密码等信息；4.使用该雇员的凭证成功渗透进入Google邮件服务器，进而不断获取特定Gmail账户的邮件内容信息。,案例二、,RSA SecurID窃取攻击：2011年3月，EMC公司下属的RSA公司遭受入侵，公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe 的0day漏洞植入臭名昭著的Poison Ivy远端控制工具控制感染客户端，并利用僵尸网络的命令控制服务器在感染客户端下载指令进行攻击任务。,RSA SecurID窃取攻击过程,1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2011 Recruitment plan.xls”；2.在拿到SecurID信息后，攻击者开始对使用SecurID的公司展开进一步攻击。3.其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的 Adobe Flash的0day漏洞（CVE-2011-0609）命中；4.该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务；5.首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑；6.RSA发现开发用服务器（Staging server）遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹；,案例,夜龙攻击：夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是：利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码，并被安装远端控制工具（RAT），最终传回大量机密文档。超级工厂病毒攻击（震网攻击）：超级工厂病毒的攻击者并没有广泛的去传播病毒，通过特别定制的未知恶意程序感染相关人员的U盘，病毒以U盘为桥梁进入“堡垒”内部，随即潜伏下来。病毒很有耐心的逐步扩散，利用多种0 day一点一点的进行破坏。Shady RAT攻击：2011年8月份，Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中，通过植入未知木马程序渗透并攻击了全球多达70个公司和组织的网络,APT攻击特征,1)攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现;2)攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，邮件内容分析也难以奏效;3)还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;,APT攻击特征,4)初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;5)在攻击者控制受害机器的过程中，往往使用SSL链接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可疑连接的分析能力;6)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;,APT攻击特征,7)还有的企业部署了内网审计系统，日志分析系统，甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。8)受害人的防范意识还需要进一步提高。攻击者往往不是直接攻击最终目标人，而是透过攻击外围人员层层渗透。例如先攻击HR的人，或者首轮受害人的网络好友，再以HR受害人的身份去欺骗(攻击)某个接近最终目标人的过渡目标，再透过过渡目标人去攻击最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。,APT攻击特征,APT攻击往往是通过多个步骤，多个间接目标和多种辅助手段最终实现对特定目标的攻击，经常结合各种社会工程学手段APT攻击是一种比较专业的互联网间谍行为，攻击者往往带有商业、军事或政治目的，而被攻击的目标，也大多为商业企业，军事机构或各国政府。某些APT攻击会持续数年，直到被发现时才终止。综合分析以上典型的APT攻击，可以发现对内网终端进行隐蔽性的未知恶意程序和僵尸网络感染，后门木马植入和0 day 漏洞利用是APT获得成功的关键,APT攻击的普遍性,任何规模的公司，只要员工可以访问网站、使用电子邮件（尤其是HTML邮件）、传输文件等，就有可能受到APT威胁，这些活动可以被利用来传输APT组件，例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击，例如通过内部接入被感染的可移动驱动器（U盘、闪存卡）、其他地方被感染的笔记本电脑等。,APT对传统检测技术形成的挑战,正如其名称所体现出来的含义，APT为传统检测技术带来了两大难题：A（Advanced）难题：即高级入侵手段带来的难题。相比传统攻击手法，APT攻击具有单点隐蔽能力强、攻击空间路径不确定、攻击渠道不确定等特点，使得传统的基于特征匹配的边界防御技术难以施效。P（Persistent）难题：即持续性攻击带来的难题。典型的APT在攻击时间上具有长持续性，一旦入侵成功则长期潜伏，寻找合适的机会外传敏感信息，而在单个时间点上却无明显异常，使得基于单个时间点的实时检测技术难以应对。,当前业内APT检测方案对比,沙箱方案：为解决特征匹配对新型攻击的滞后性而产生的解决方案。其原理是将实时流量先引入虚拟机或沙箱，通过对沙箱的文件系统、进程、注册表、网络行为实施监控，判断流量中是否包含恶意代码。同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，但其难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发，造成漏报。,当前业内APT检测方案对比,异常检测方案：为解决特征匹配和实时检测不足而产生的解决方案。其原理是通过对网络中的正常行为模式建模而识别异常。核心技术包括元数据提取、正常行为建模和异常检测算法。该方案同样能够检测未知攻击，但检测效率依赖于背景流量中的业务模式，如果业务模式发生偏差，则会导致较高的漏报与误报。,当前业内APT检测方案对比,全流量审计方案：同样是为解决传统特征匹配不足而产生的解决方案。其原理是对链路中的流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，回溯分析相关流量，例如可将包含的http访问、下载的文件、及时通信信息进行还原，协助确认攻击的完整过程。这种方案具备强大的事后溯源能力和实时检测能力，是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的完整解决方案。,防范APT威胁的必要措施,1)控制用户并增强安全意识 一条通用法则是：你不能阻止愚蠢行为发生，但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险，这是一项需要长期坚持的措施。2)对行为进行信誉评级 传统安全解决方案采用的是判断行为好或坏、进而允许或拦截之类的策略。不过，随着高级攻击日益增多，这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。由于攻击者的目标是先混入系统，因此，需要对行为进行跟踪，并对行为进行信誉评级，以确定其是否合法。,防范APT威胁的必要措施,3)重视传出流量 传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑，这对于截获某些攻击还是有效的，而对于 APT，传出流量则更具危险性。如果意在拦截数据和信息的外泄，监控传出流量是检测异常行为的有效途径。4)了解不断变化的威胁 对于您不了解的东西很难做到真正有效的防范。因此，有效防范的唯一途径是对攻击威胁有深入了解，做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩，将不能做到根据威胁状况有效调整防范措施。,防范APT威胁的必要措施,5)管理终端 攻击者可能只是将侵入网络作为一个切入点，他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险，控制和锁定终端将是一项长期有效的机构安全保护措施。如今的威胁更加高级、更具持续性、更加隐匿，同时主要以数据为目标，因此，机构必须部署有效的防护措施加以应对。,基于记忆的智能检测系统,对于APT这种攻击模式，传统的检测技术难以应对，我们的对抗策略是以时间对抗时间，对长时间、全流量数据进行深度分析，以解决传统的特征匹配与实时检测的不足。全流量存储与现有检测技术相结合，形成了新一代基于记忆的智能检测系统，这使得我们可在长时间窗口上对流量进行回溯分析，提升对APT攻击的检测能力。,