網(wǎng)絡(luò)滲透與防御技術(shù)現(xiàn)狀與趨勢

網(wǎng)絡(luò)滲透與防御技術(shù)現(xiàn)狀與趨勢國家信息安全標(biāo)準(zhǔn)化技術(shù)委員會專家翟勝軍內(nèi)容互聯(lián)網(wǎng)上的生存環(huán)境在悄然變化網(wǎng)絡(luò)攻擊技術(shù)趨勢防御思路及其驗證我的幾點思考與建議先看幾個數(shù)據(jù)2014年是我國正式接入國際互聯(lián)網(wǎng)20周年。據(jù)中國互聯(lián)網(wǎng)網(wǎng)絡(luò)信息中心發(fā)布的報告，截止2013年底，我國網(wǎng)民規(guī)模突破6億，其中通過手機(jī)上網(wǎng)的網(wǎng)民占80%；手機(jī)用戶超過12億，國內(nèi)域名總數(shù)1844萬個，網(wǎng)站近400萬家，全球十大互聯(lián)網(wǎng)企業(yè)中我國有3家。2013年網(wǎng)絡(luò)購物用戶達(dá)到3億，全國信息消費整體規(guī)模達(dá)到2.2萬億元人民幣,同比增長超過28%,電子商務(wù)交易規(guī)模突破10萬億元人民幣。中國已是名副其實的“網(wǎng)絡(luò)大國”。這是共知的事實Microsoft、Oracle、Apple、IBM、Intel、EMC、希捷……Ethernet互聯(lián)網(wǎng)標(biāo)準(zhǔn)、GSM、WCDMA包括4G等無線通信網(wǎng)絡(luò)標(biāo)準(zhǔn)都是國外進(jìn)口；大量核心底層通信設(shè)備也來自國外，例如思科。DNS的頂層服務(wù)器多數(shù)在美國……微軟說，他會對用戶的利益負(fù)責(zé)到底。但是聽命于美國政府關(guān)掉的古巴的MSN服務(wù)；Google關(guān)掉了中國大陸業(yè)務(wù)的背后故事很多；微軟為了逼迫中國用戶升級WIN8，宣布將停止對于WINXP的支持。VISTA由于其架構(gòu)高度不可控，未列入國家采購目錄，WIN8的不可控程度遠(yuǎn)超VISTA。斯諾登事件告訴了我們什么斯諾登某運營商某大學(xué)美國安全局的“安全門”路透社20131220獨家報道，NSA（美國國家安全局）向RSA（美國網(wǎng)絡(luò)安全巨頭）支付1000萬美元，在其旗下Bsafe安全軟件中植入后門這個信息我“無法證明”美國國安局下設(shè)的這個黑客部門名為“定制入口行動辦公室”(TAO，簡稱“行動辦公室”)。用國安局的話說，這個部門的任務(wù)就是“獲得無法獲得的東西”?！靶袆愚k公室”1997年設(shè)立。當(dāng)時，互聯(lián)網(wǎng)處于萌芽階段，全球只有不到2%的人口能接觸互聯(lián)網(wǎng)。設(shè)立之初，“行動辦公室”就與國安局其他部門完全隔離，而且任務(wù)明確：夜以繼日地找辦法入侵全球通訊網(wǎng)絡(luò)。

《明鏡》周刊報道，一份有關(guān)職責(zé)描述的內(nèi)部文件明確將網(wǎng)絡(luò)攻擊行為列入“行動辦公室”的任務(wù)范疇。換句話說，美國政府授權(quán)這些人員去“黑”全世界的通訊網(wǎng)絡(luò)。秘密文件顯示，2010年，“行動辦公室”在全球范圍內(nèi)實施了279次網(wǎng)絡(luò)入侵行動。愛因斯坦計劃(網(wǎng)絡(luò)風(fēng)暴)已經(jīng)公開I:2003：流量感知II:2008：檢測攻擊并預(yù)警III:2010：即時感知，主動處置2008.1.8，美國總統(tǒng)布什以54號國家安全總統(tǒng)令和23號國土安全總統(tǒng)令的形式部署《國家網(wǎng)絡(luò)安全綜合計劃》(CNCI)，此計劃被稱為信息安全的“曼哈頓計劃”。此計劃預(yù)算高達(dá)300-400億美元，在5-7年內(nèi)打造一道網(wǎng)絡(luò)安全的國家防線。2010.3.24，美國參議院商務(wù)、科學(xué)和運輸委員會全票通過由伊杰.洛克菲勒和斯諾.蓋恩提交的《網(wǎng)絡(luò)安全法案》(CybersecurityAct)，法案進(jìn)入立法審批程序。2010年5月，美軍建立網(wǎng)絡(luò)司令部，統(tǒng)一協(xié)調(diào)保障美軍網(wǎng)絡(luò)安全、開展網(wǎng)絡(luò)戰(zhàn)等與電腦網(wǎng)絡(luò)有關(guān)的軍事行動。2011.5.16，美國白宮網(wǎng)絡(luò)安全協(xié)調(diào)員施密特發(fā)布《網(wǎng)絡(luò)空間國際戰(zhàn)略》(InternationalStrategyforCyberspace)，闡述美國“在日益以網(wǎng)絡(luò)相聯(lián)的世界如何建立繁榮、增進(jìn)安全和保護(hù)開放”。該戰(zhàn)略是美國的網(wǎng)絡(luò)外交政策。2011.7.14，美國國防部副部長威廉·林恩在美國國防大學(xué)發(fā)表演講，正式公布美軍第一份《網(wǎng)絡(luò)空間行動戰(zhàn)略》，并將“網(wǎng)際空間Cyberspace”正式列為與陸、海、空并列的第四大行動領(lǐng)域2012.6.21，歐美日聯(lián)合發(fā)布《政府網(wǎng)絡(luò)安全推薦準(zhǔn)則》歐洲電子產(chǎn)業(yè)組織“數(shù)字歐洲”(DIGITALEUROPE)、美國信息技術(shù)行業(yè)協(xié)會(ITI)以及日本電子與信息技術(shù)行業(yè)協(xié)會(JEITA)在比利時布魯塞爾共同發(fā)布了名為《政府網(wǎng)絡(luò)安全推薦準(zhǔn)則》的聲明，提出12條準(zhǔn)則，力圖向各國政府清晰地傳達(dá)網(wǎng)絡(luò)安全政策所應(yīng)涵蓋的內(nèi)容。2013.1.4，奧巴馬簽署2013國防預(yù)算法案932.b：下一代網(wǎng)絡(luò)安全系統(tǒng)不應(yīng)依賴于簽名技術(shù)(特征檢測)，F(xiàn)ireEye公司的“沙箱”動態(tài)還原監(jiān)視技術(shù)成為熱門。2014.1，公司FireEye以10億美元股票與現(xiàn)金收購Mandiant安全公司美國政府的政策是一貫性的菜鳥職業(yè)黑客黑客組織黑客部隊這“或許”只是個傳說國家網(wǎng)絡(luò)防御能力排名CountryDefenseRankings數(shù)據(jù)來源：McAfee2013年的防御能力排名這次或許是“真”的重視了2014年2月27日，中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組成立。該領(lǐng)導(dǎo)小組將著眼國家安全和長遠(yuǎn)發(fā)展，統(tǒng)籌協(xié)調(diào)涉及經(jīng)濟(jì)、政治、文化、社會及軍事等各個領(lǐng)域的網(wǎng)絡(luò)安全和信息化重大問題，研究制定網(wǎng)絡(luò)安全和信息化發(fā)展戰(zhàn)略、宏觀規(guī)劃和重大政策，推動國家網(wǎng)絡(luò)安全和信息化法治建設(shè)，不斷增強(qiáng)安全保障能力。

中共中央總書記、國家主席、中央軍委主席習(xí)近平親自擔(dān)任組長；李克強(qiáng)、劉云山任副組長。據(jù)IDC2011年的報告顯示，在全球排名前20位的安全公司中，美國便占了15個席位。此外，以色列、俄羅斯、英國、荷蘭以及中國臺灣也各占一席，而在這之中，卻難覓中國大陸安全廠商的身影。

技術(shù)得不到資金與人才的眷顧，是無法一枝獨秀的，靠個人科學(xué)家推動社會進(jìn)步的時代早已經(jīng)過去了…環(huán)境很惡劣，“黎叔”很生氣技術(shù)落后是飽受欺凌的根本原因！不是有沒有被入侵過而是根本就不知道是否被入侵過！安全是雙方對抗的技術(shù)技術(shù)的對抗歸根結(jié)底是人與人之間的對抗信息安全已經(jīng)是國家間的實力對抗，是戰(zhàn)爭內(nèi)容互聯(lián)網(wǎng)上的生存環(huán)境在悄然變化網(wǎng)絡(luò)攻擊技術(shù)趨勢防御思路及其驗證我的幾點思考與建議突破電話系統(tǒng)偷源代碼做病毒/蠕蟲開發(fā)流氓軟件挖漏洞/造木馬黑站/拖庫釣魚社會工程學(xué)攻擊APT/竊取情報/破壞過去25年黑客行為的轉(zhuǎn)變網(wǎng)絡(luò)攻擊技術(shù)的新特點攻擊者：團(tuán)隊作戰(zhàn)技術(shù)組合定向性(APT)APTAET0DAY/后門攻擊手段：肉雞操作自動攻擊工具移動、公共IP躲避技術(shù)(AET)目標(biāo)：0DAY/廠家后門應(yīng)用層滲透信任鏈入侵什么是APT攻擊APT(AdvancedPersistentThreats:高級持續(xù)性威脅)什么是AET逃逸AET(AdvancedEvasionTechnique：高級逃逸技術(shù))CSRF跨站腳本請求偽造“水坑式”攻擊黑客通過分析被攻擊者的網(wǎng)絡(luò)活動規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站的弱點，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來訪時實施攻擊。這種攻擊行為類似《動物世界》紀(jì)錄片中的一種情節(jié)：捕食者埋伏在水里或者水坑周圍，等其他動物前來喝水時發(fā)起攻擊獵取食物。說不清楚：現(xiàn)狀、對手、結(jié)果、技術(shù)對安全的了解往往從安全事件開始安全事件是了解技術(shù)的有效有段大公司被入侵的安全事件頻繁出現(xiàn)2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國國防外包商——受到攻擊，重要資料被竊取。2013年10月，Adobe公司表示，黑客盜取了其一些最流行軟件的源代碼和數(shù)百萬用戶的數(shù)據(jù)。Adobe稱，黑客獲得了AdobeAcrobat以及ColdFusion和ColdFusionBuilder的源代碼。該公司首席安全官布拉德·阿金(BradArkin)表示，自兩周前發(fā)現(xiàn)此事后，他們一直在調(diào)查這次入侵，目前沒有任何跡象顯示黑客利用這次盜取的源代碼發(fā)動了攻擊。黑客還竊取了290萬Adobe客戶的信息，包括他們的姓名、用戶識別碼和加密密碼以及支付卡號。韓國主要廣播電視臺KBS、MBC、YTN，以及韓國新韓銀行（ShinNanBank）、農(nóng)協(xié)銀行（NongHyupBank）等部分金融機(jī)構(gòu)疑似遭受黑客攻擊，相關(guān)網(wǎng)絡(luò)與信息系統(tǒng)突然出現(xiàn)癱瘓。這是網(wǎng)際戰(zhàn)爭嗎？攻擊行為分析：典型APT攻擊郵件植入木馬病毒傳播病毒在2013年3月20日下午2：00以后激活Vista以上系統(tǒng)覆蓋文件、其他的破壞引導(dǎo)扇區(qū)這不是演習(xí)！2011年12月21日，以CSDN為主的多家互聯(lián)網(wǎng)用戶注冊信息庫被黑客盜取，涉及的用戶資料在5000萬以上，資料泄露的賬號可能涉及網(wǎng)易郵箱、QQ郵箱、人人網(wǎng)在內(nèi)的多家網(wǎng)站。

國內(nèi)泄漏事件的“背后效應(yīng)”Struts2漏洞事件是“烏龍”嗎？201307的ApacheStruts2漏洞發(fā)布事件---BS架構(gòu)的一次震顫關(guān)于OpenSSL“心臟出血”漏洞2014年4月7日OpenSSL發(fā)布了安全公告，在OpenSSL1.0.1版本中存在嚴(yán)重漏洞(CVE-2014-0160).問題出在OpenSSLHeartbleed模塊ssl/dl_both.c文件中的心跳部分，當(dāng)攻擊者構(gòu)造一個特殊的數(shù)據(jù)包，滿足用戶心跳包中無法提供足夠多的數(shù)據(jù)會導(dǎo)致memcpy函數(shù)把SSLv3記錄之后的數(shù)據(jù)直接輸出，該漏洞導(dǎo)致攻擊者可以遠(yuǎn)程讀取存在漏洞版本的OpenSSL服務(wù)器內(nèi)存中多達(dá)64K的數(shù)據(jù)。IP地址與路徑用戶名、cookie等手機(jī)號帳戶、郵箱、密碼內(nèi)容互聯(lián)網(wǎng)上的生存環(huán)境在悄然變化網(wǎng)絡(luò)攻擊技術(shù)趨勢防御思路及其驗證我的幾點思考與建議等級保護(hù)是基本方法：分域分級信息系統(tǒng)分級保護(hù)對信息系統(tǒng)按業(yè)務(wù)安全應(yīng)用域和區(qū)實行等級保護(hù)---防護(hù)、監(jiān)控、審計安全產(chǎn)品分級管理對系統(tǒng)中使用的信息安全產(chǎn)品實行按分級許可管理---測評安全服務(wù)分級管理對等級系統(tǒng)的安全服務(wù)資質(zhì)分級許可管理---測評安全事件分級響應(yīng)對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置---應(yīng)急能力產(chǎn)品服務(wù)外部支持內(nèi)部力量隔離防護(hù)可見(對外)可見(對內(nèi))可信任的人(用戶與維護(hù)者)可信任的人(安全管理者)防御在于考慮全面安全保障設(shè)計---“花瓶模型”等級保護(hù)涉及的安全產(chǎn)品與服務(wù)(一)安全類型安全產(chǎn)品說明邊界防護(hù)體系FW/UTM安全域邊界、安全域內(nèi)部隔離IPS/AV可選。補(bǔ)充FW隔離時的不足WAF可選。網(wǎng)站或Web服務(wù)器前防護(hù)VPN可選。出差人員、分支單位接入網(wǎng)閘可選。生產(chǎn)網(wǎng)與辦公網(wǎng)隔離終端安全三級選用。至少補(bǔ)丁管理、網(wǎng)絡(luò)準(zhǔn)入、終端審計、非法外聯(lián)等模塊服務(wù)器加固重要服務(wù)器(安全加固、強(qiáng)制性訪問控制)普通服務(wù)器選擇加固服務(wù)平臺系統(tǒng)加固虛擬化平臺加固中間件，可以部署其他安全措施監(jiān)控體系IDS隔離的網(wǎng)絡(luò)分別部署漏洞掃描網(wǎng)絡(luò)共用，或選擇安全服務(wù)防病毒系統(tǒng)主機(jī)防病毒、網(wǎng)絡(luò)防病毒異常流量監(jiān)控可選。等級保護(hù)涉及的安全產(chǎn)品與服務(wù)(二)安全類型安全產(chǎn)品說明信任體系身份認(rèn)證系統(tǒng)CA三級選用。主要是雙因子認(rèn)證需要二級系統(tǒng)可選擇動態(tài)口令系統(tǒng)網(wǎng)絡(luò)行為與數(shù)據(jù)庫審計隔離的網(wǎng)絡(luò)分別部署運維審計(堡壘機(jī)審計)三級選用。運維區(qū)域出口互聯(lián)網(wǎng)行為審計可選?；ヂ?lián)網(wǎng)出口日志審計二級選用，三級用SOC替代安全管理安全管理平臺SOC隔離的網(wǎng)絡(luò)分別部署在網(wǎng)絡(luò)核心補(bǔ)丁管理系統(tǒng)補(bǔ)丁服務(wù)器安全服務(wù)等保方案設(shè)計與咨詢服務(wù)安全加固服務(wù)安全滲透服務(wù)安全應(yīng)急服務(wù)可選。安全值守服務(wù)可選。源代碼審計服務(wù)可選。如何了解安全保障建設(shè)的效果領(lǐng)導(dǎo)關(guān)心：花多少算是夠用？管理者關(guān)心：如何檢驗戰(zhàn)斗力？實戰(zhàn)、演練…滲透性測試是一種驗證性的安全檢查，不是黑客入侵的情景再現(xiàn)，更不是黑客的友情表演。定義滲透性測試驗證安全漏洞可以被利用的程度，能給用戶造成什么樣的損害，為用戶安全管理決策提供依據(jù)；驗證用戶信息系統(tǒng)防御系統(tǒng)的實戰(zhàn)應(yīng)急能力，是信息安全對抗的一種實戰(zhàn)演習(xí)模擬。

滲透測試面臨的尷尬但真實的黑客哪兒能找到？“菜鳥”冒充、說得多做得少效果看不懂，做了還是不知道用戶內(nèi)心的糾結(jié)：上京趕考實處無奈管理者顧慮重重：滲透者可以信任嗎滲透者也在打鼓：無法度量的服務(wù)，做多做少成了良心賬滲透性測試的目標(biāo)：宕機(jī)：中斷服務(wù)或服務(wù)能力降級；竊?。焊`取到目標(biāo)內(nèi)的特定信息；篡改：修改了目標(biāo)內(nèi)的特定信息；控制：建立了遠(yuǎn)程控制目標(biāo)的后門通道；潛伏：成功潛伏在目標(biāo)內(nèi)沒有被發(fā)現(xiàn)；

效果才是我們真正的目的0級：沒有發(fā)現(xiàn)可利用的漏洞沒有發(fā)現(xiàn)可以利用的漏洞，包括技術(shù)漏洞與管理漏洞；發(fā)現(xiàn)了漏洞，但沒有利用成用成功；1級：利用漏洞成功，但滲透獲得權(quán)限有限，無法進(jìn)行深入工作發(fā)現(xiàn)了應(yīng)用類的漏洞，利用后獲得權(quán)限有限，無法獲取系統(tǒng)控制權(quán)限；發(fā)現(xiàn)了管理類漏洞，但無法獲得技術(shù)上進(jìn)一步的突破；利用漏洞時，被用戶監(jiān)控系統(tǒng)及時發(fā)現(xiàn)并阻止，無法進(jìn)一步滲透；獲得部分終端或普通服務(wù)器等的權(quán)限，但還沒有到達(dá)目標(biāo)系統(tǒng)；2級：進(jìn)入目標(biāo)系統(tǒng)，但未完成特定的任務(wù)拿到服務(wù)器控制權(quán)限，但未完成目標(biāo)任務(wù)；進(jìn)入用戶應(yīng)用系統(tǒng)，但沒有成功訪問到用戶敏感數(shù)據(jù)區(qū)域；控制了與目標(biāo)賬戶類似的賬戶，但沒有獲得目標(biāo)賬戶控制權(quán)；拿到目標(biāo)特定信息，但無法回家(與滲透著建立聯(lián)絡(luò))完成任務(wù)；3級：基本完成滲透目標(biāo)任務(wù)獲取目標(biāo)特定信息，并成功發(fā)送回家；成功修改目標(biāo)特定信息；成功安裝目標(biāo)控制后門，可以控制“肉雞”；成功潛伏在目標(biāo)內(nèi)，并設(shè)置了激活條件；4級：完成滲透任務(wù)，并在規(guī)定時間內(nèi)到達(dá)如下要求目標(biāo)特定信息已經(jīng)成功泄漏，從第三方知道自己的信息泄漏；正常的監(jiān)控狀態(tài)下，發(fā)現(xiàn)目標(biāo)信息被篡改時，篡改時間超過2小時；發(fā)現(xiàn)目標(biāo)被遠(yuǎn)程作為“肉雞”控制時，滲透者已經(jīng)成功進(jìn)行一次或多次遠(yuǎn)程控制操作，達(dá)到既定目標(biāo)；在規(guī)定滲透服務(wù)時間內(nèi)，潛伏入侵者沒有被發(fā)現(xiàn)；若用戶服務(wù)要求潛伏者必須激活動作，激活后被發(fā)現(xiàn)時的已經(jīng)時間超過2小時；滲透性測試效果的分級1級(個人)2級(小組)3級(團(tuán)隊)4級(組織)5級(集團(tuán))團(tuán)隊規(guī)模單兵作戰(zhàn)小組協(xié)作專業(yè)團(tuán)隊，滲透人員梯隊培養(yǎng)、隊員組合協(xié)作滲透具有專業(yè)后臺支撐團(tuán)隊，分工細(xì)化，具有長遠(yuǎn)團(tuán)隊規(guī)劃大型專業(yè)團(tuán)隊組織能力無組織松散合作，自由分工職業(yè)團(tuán)隊，責(zé)任明確企業(yè)級，專門人員組織管理大型集團(tuán)，后備人才基地技術(shù)保證能力非正式使用，無正式文檔管理計劃與跟蹤，過程化、文檔化管理充分定義，過程標(biāo)準(zhǔn)化定義量化控制，建立可測量的質(zhì)量目標(biāo)連續(xù)改進(jìn)，改進(jìn)組織能力與過程標(biāo)準(zhǔn)化滲透攻擊能力抵御資源較少的單個入侵者的入侵抵御擁有一定資源的小型團(tuán)隊有計劃的入侵抵御擁有豐富資源、有組織的、有針對性的入侵(如APT)抵御大型攻擊組織的組合式入侵無限制漏洞挖掘能力收集最新漏洞信息，收集漏洞利用工具具有一定漏洞挖掘能力，掌握最新漏洞利用工具，工作中可集成、組合滲透工具可獨立研究挖掘系統(tǒng)漏洞的能力，具有開發(fā)利用工具的能力具有獨立的漏洞研究團(tuán)隊，掌握“0DAY”漏洞及其利用工具無限制滲透性測試者的能力---能力成熟度滲透者扮演的角色很關(guān)鍵：測試方法針對用戶組織：自由滲透(互聯(lián)網(wǎng)、內(nèi)網(wǎng))普通用戶內(nèi)部運維人員管理人員第三方運維人員針對滲透目標(biāo)對象：門戶網(wǎng)站郵件系統(tǒng)一般業(yè)務(wù)主機(jī)特定業(yè)務(wù)主機(jī)特定業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)與安全設(shè)備網(wǎng)絡(luò)基礎(chǔ)服務(wù)系統(tǒng)滲透性測試的流程步驟合法性很重要“善待”滲透性測試者不要試圖了解滲透者的方法，關(guān)注結(jié)果是目標(biāo)；充分授權(quán)是前提，滲透的目的就是發(fā)現(xiàn)漏洞；不要認(rèn)為管理性漏洞無所謂，“合理利用”有更強(qiáng)效果；通過滲透提高防御能力，不是追究責(zé)任。安全意識落實是根本領(lǐng)導(dǎo)重視用戶有意識運維無