根據《麻省理工科技評論》的零日漏洞追蹤項目的統計顯示,2021年至少發現66個仍在使用中的零日漏洞,數量約是2020年的兩倍。日益增長且難以防范的零日漏洞,已經成為企業網絡信息安全面臨的最嚴峻的威脅之一。
正如Gartner在報告中所說“安全的一切都在變化”,威脅環境也已隨之而變。網絡攻擊正從個人行為向有組織、有國家背景的方向發展,他們目的性強且動機清晰,往往具有明確的商業、經濟利益或政治訴求;攻擊手段從傳統的隨機病毒、木馬感染、工具投遞等方式演進為社會工程、零日漏洞以及高級逃逸技術(AET)等組合方式,經常發起有針對性的網絡攻擊,具有高級化、組合化、長期化等特點,我們稱之為新一代網絡安全威脅。事實上,面對以零日攻擊為代表的新一代威脅,傳統基于特征/簽名檢測的統一威脅管理系統、入侵檢測/防御系統、防病毒系統等安全產品無法使用戶得到充分保護。
傳統安全檢測手段的失效與新技術的預見
1、基于簽名的檢測技術
國內威脅檢測的發展,可以追溯到2000年初,彼時國內網絡安全廠商陸續推出了入侵檢測產品,這類產品采用的是基于規則簽名來識別非法流量的方式,目前多數安全產品也還在沿用這種方式,該方式在發現常見的攻擊方面具有良好的效果,在互聯網發展初期發揮了重要作用。
傳統的防病毒和威脅檢測系統使用簽名驗證機制,主要針對已知的漏洞或惡意軟件進行指紋識別。但對于那些利用0day的高級威脅惡意樣本,網絡安全研究人員則無法及時獲取和分發變種后的惡意軟件簽名。
2、沙箱檢測技術
互聯網的飛速發展讓攻防兩端的對抗更加激烈,基于簽名的檢測技術在應對未知威脅、高級威脅方面已經力不從心,攻擊者只需簡單的修改攻擊代碼或多次嘗試便可以繞過入侵檢測設備。為了應對這些威脅,沙箱檢測產品開始出現。
沙箱檢測技術通過分析行為可以彌補基于簽名識別的不足。沙箱檢測技術是通過部署多種運行環境,將攻擊流量在虛擬環境中運行,通過分析代碼執行中的行為識別威脅。采用這種方式可以發現未知威脅、高級威脅,目前大多數APT檢測設備都采用這種方式。但沙箱環境和實際執行環境通常存在差異,且目前的APT攻擊隱蔽性較強,攻擊的周期跨度較大,導致沙箱類檢測技術無法有效識別這類攻擊,因此基于特征檢測和行為檢測的傳統檢測手段已經越來越難以應對新型的攻擊手法及零日漏洞的攻擊事件。
3、新一代威脅檢測技術
近年來,隨著人工智能技術的發展,攻擊方在掃描、利用、破壞等攻擊工具中對人工智能技術的應用,進一步加劇了對目標系統的破壞程度 、縮短了攻擊進程、隱藏了攻擊特征,對新技術背景下的安全威脅檢測手段提出了更大挑戰。
基于機器學習和深度學習的網絡威脅檢測技術能夠識別變種威脅和未知威脅,彌補了傳統特征檢測和行為檢測僅能發現已知攻擊的不足,但隨著攻擊方攻擊技術的不斷提升,意圖躲避新型威脅檢測技術的攻防對抗,對新一代威脅檢測技術提出了更高要求。
零日漏洞與零日漏洞利用
零日漏洞也可以稱為零時差漏洞,通常是指還沒有補丁的安全漏洞,零日漏洞利用則是指利用零日漏洞對系統或軟件應用發動的網絡攻擊。由于零日漏洞的嚴重級別通常較高,所以零日攻擊往往也具有很大的破壞性。
1、零日漏洞的生命周期
零日漏洞從產生到消亡的整個生命周期均存在被攻擊者利用的可能性:
① 產生漏洞:零日漏洞的產生的條件則是軟件開發人員在不知情的開發出了漏洞,安全測試人員在測試環境下未發現漏洞,業務人員在未發現漏洞的情況下上線了漏洞。
② 攻擊者發現漏洞:攻擊者通過技術攻擊手段對攻擊目標系統進行深入的分析挖掘,發現其存在的漏洞,從而找到繞過現有安全機制的一種技術手段。
③ 攻擊者利用零日漏洞:攻擊者利用零日漏洞通常具有特定的目標,其一旦對目標實施攻擊將會產生"一擊致命"的效果。
④ 原廠發現漏洞:原廠在系統更新迭代或測試的過程中發現該漏洞。
⑤ 公開披露漏洞:原廠公開披露此漏洞,使互聯網用戶廣泛意識到此漏洞。
2、多樣化的零日漏洞
① 文檔漏洞利用:隨著漏洞挖掘及利用技術越來越公開化,導致越來越多的黑客更加傾向于利用常見辦公軟件的文檔漏洞進行惡意攻擊,特別是在一些APT(Advanced Persistent Threat)攻擊中,更是體現得淋漓盡致。針對特定目標投遞含有惡意代碼的文檔,安全意識薄弱的用戶只要打開文檔就會中招。。
② 軟件漏洞利用:軟件存在的錯誤配置或引用第三方開源程序組件,由于業務本身需要對外提供網絡訪問行為,攻擊者同樣可以利用軟件程序漏洞實現漏洞利用攻擊。
③ 系統漏洞利用,系統漏洞也是當前比較頻發的一種漏洞,往往系統漏洞的危害程度更高。
④ 硬件漏洞利用,在網絡設備、安全設備等硬件形式的設備中,雖然在漏洞挖掘上難度系數較高,但依舊無法確保沒有零日漏洞。
3、零日漏洞利用過程
零日漏洞利用過程一般具備隱蔽性好、攻擊效果好、被檢測難度大等特點。攻擊者利用零日漏洞攻擊目標的過程一般包括:
挖掘漏洞:攻擊者挖掘目標中存在的漏洞;
識別漏洞:攻擊者發現漏洞,并編寫惡意代碼,與零日漏洞整合,驗證可行性;
收集信息:攻擊者盡可能多的收集目標信息,為其攻擊提供信息數據支撐;
執行滲透:攻擊者利用攻擊武器對目標發起攻擊,潛入其內部網絡;
遠程控制:攻擊者獲取內部重要主機的控制權限,并在內部橫向移動;
長期潛伏:攻擊者在控制的主機中植入隱蔽后門,監聽信息,盜取數據。
破局零日漏洞,基于AI的漏洞利用評估模型
或許,推動網絡技術進步的原因是多種多樣的,但當零日攻擊猶如一個強大的“敵人”一步步逼近之時,網絡安全廠商要敢于“亮劍”。
華云安是國內首家推出基于AI的漏洞利用評估模型(VEAM)進行有效的零日漏洞檢測發現的網絡安全廠商。由華云安打造的靈源·威脅捕獵與溯源分析系統從攻擊鏈的視角重現整個攻擊過程,并進行可視化展示,幫助用戶了解這些威脅事件的來龍去脈。對用戶本地流量進行深度分析,同時結合云端的威脅情報、本地的規則引擎、多種靜態檢測引擎、機器學習引擎和動態行為檢測從多個維度來發現已知和未知威脅事件。
通過網絡入侵攻擊檢測、用戶實體行為檢測、流量人工智能檢測、文件病毒木馬檢測、文件基因圖譜檢測、文件沙箱行為檢測、情報黑白名單檢測、關聯分析&威脅畫像、元數據回溯分析取證等技術構建攻擊鏈關聯檢測交叉驗證體系,以實現對掃描探測、網絡釣魚、漏洞利用、木馬下載、遠程控制、橫向滲透、行動收割等攻擊階段的檢測全覆蓋,如圖所示:
靈源·威脅捕獵與溯源分析系統的漏洞利用評估模型(VEAM)是通過構建完整的漏洞利用分析模型,使用基于行為的分析模式,將攻擊者上下文信息映射至漏洞利用分析模型中,進行匹配計算量化指標,并對未知漏洞行為進行推演預測。
系統基于漏洞利用評估模型(VEAM),能夠實現對未知攻擊的“置信度”進行評估,將基于攻擊鏈七大階段的各項威脅行為進行評分,輸出具體量化指標,并將所有評估過程以“快照”形式提交至安全分析師,通過人工分析實現零日漏洞的檢出。
靈源·威脅捕獵與溯源分析系統將人工智能、大數據與安全技術相結合、將華云安多年攻防對抗經驗進行落地,通過多重檢測引擎、漏洞利用評估模型(VEAM)和全流量數據采集技術,為企業提供全流量的威脅檢測與溯源取證。
