网络渗透与防御技术现状与趋势

网络渗透与防御技术现状与趋势国家信息安全标准化技术委员会专家翟胜军内容互联网上的生存环境在悄然变化网络攻击技术趋势防御思路及其验证我的几点思考与建议先看几个数据2014年是我国正式接入国际互联网20周年。据中国互联网网络信息中心发布的报告，截止2013年底，我国网民规模突破6亿，其中通过手机上网的网民占80%；手机用户超过12亿，国内域名总数1844万个，网站近400万家，全球十大互联网企业中我国有3家。2013年网络购物用户达到3亿，全国信息消费整体规模达到2.2万亿元人民币,同比增长超过28%,电子商务交易规模突破10万亿元人民币。中国已是名副其实的“网络大国”。这是共知的事实Microsoft、Oracle、Apple、IBM、Intel、EMC、希捷……Ethernet互联网标准、GSM、WCDMA包括4G等无线通信网络标准都是国外进口；大量核心底层通信设备也来自国外，例如思科。DNS的顶层服务器多数在美国……微软说，他会对用户的利益负责到底。但是听命于美国政府关掉的古巴的MSN服务；Google关掉了中国大陆业务的背后故事很多；微软为了逼迫中国用户升级WIN8，宣布将停止对于WINXP的支持。VISTA由于其架构高度不可控，未列入国家采购目录，WIN8的不可控程度远超VISTA。斯诺登事件告诉了我们什么斯诺登某运营商某大学美国安全局的“安全门”路透社20131220独家报道，NSA（美国国家安全局）向RSA（美国网络安全巨头）支付1000万美元，在其旗下Bsafe安全软件中植入后门这个信息我“无法证明”美国国安局下设的这个黑客部门名为“定制入口行动办公室”(TAO，简称“行动办公室”)。用国安局的话说，这个部门的任务就是“获得无法获得的东西”。“行动办公室”1997年设立。当时，互联网处于萌芽阶段，全球只有不到2%的人口能接触互联网。设立之初，“行动办公室”就与国安局其他部门完全隔离，而且任务明确：夜以继日地找办法入侵全球通讯网络。

《明镜》周刊报道，一份有关职责描述的内部文件明确将网络攻击行为列入“行动办公室”的任务范畴。换句话说，美国政府授权这些人员去“黑”全世界的通讯网络。秘密文件显示，2010年，“行动办公室”在全球范围内实施了279次网络入侵行动。爱因斯坦计划(网络风暴)已经公开I:2003：流量感知II:2008：检测攻击并预警III:2010：即时感知，主动处置2008.1.8，美国总统布什以54号国家安全总统令和23号国土安全总统令的形式部署《国家网络安全综合计划》(CNCI)，此计划被称为信息安全的“曼哈顿计划”。此计划预算高达300-400亿美元，在5-7年内打造一道网络安全的国家防线。2010.3.24，美国参议院商务、科学和运输委员会全票通过由伊杰.洛克菲勒和斯诺.盖恩提交的《网络安全法案》(CybersecurityAct)，法案进入立法审批程序。2010年5月，美军建立网络司令部，统一协调保障美军网络安全、开展网络战等与电脑网络有关的军事行动。2011.5.16，美国白宫网络安全协调员施密特发布《网络空间国际战略》(InternationalStrategyforCyberspace)，阐述美国“在日益以网络相联的世界如何建立繁荣、增进安全和保护开放”。该战略是美国的网络外交政策。2011.7.14，美国国防部副部长威廉·林恩在美国国防大学发表演讲，正式公布美军第一份《网络空间行动战略》，并将“网际空间Cyberspace”正式列为与陆、海、空并列的第四大行动领域2012.6.21，欧美日联合发布《政府网络安全推荐准则》欧洲电子产业组织“数字欧洲”(DIGITALEUROPE)、美国信息技术行业协会(ITI)以及日本电子与信息技术行业协会(JEITA)在比利时布鲁塞尔共同发布了名为《政府网络安全推荐准则》的声明，提出12条准则，力图向各国政府清晰地传达网络安全政策所应涵盖的内容。2013.1.4，奥巴马签署2013国防预算法案932.b：下一代网络安全系统不应依赖于签名技术(特征检测)，FireEye公司的“沙箱”动态还原监视技术成为热门。2014.1，公司FireEye以10亿美元股票与现金收购Mandiant安全公司美国政府的政策是一贯性的菜鸟职业黑客黑客组织黑客部队这“或许”只是个传说国家网络防御能力排名CountryDefenseRankings数据来源：McAfee2013年的防御能力排名这次或许是“真”的重视了2014年2月27日，中央网络安全和信息化领导小组成立。该领导小组将着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。

中共中央总书记、国家主席、中央军委主席习近平亲自担任组长；李克强、刘云山任副组长。据IDC2011年的报告显示，在全球排名前20位的安全公司中，美国便占了15个席位。此外，以色列、俄罗斯、英国、荷兰以及中国台湾也各占一席，而在这之中，却难觅中国大陆安全厂商的身影。

技术得不到资金与人才的眷顾，是无法一枝独秀的，靠个人科学家推动社会进步的时代早已经过去了…环境很恶劣，“黎叔”很生气技术落后是饱受欺凌的根本原因！不是有没有被入侵过而是根本就不知道是否被入侵过！安全是双方对抗的技术技术的对抗归根结底是人与人之间的对抗信息安全已经是国家间的实力对抗，是战争内容互联网上的生存环境在悄然变化网络攻击技术趋势防御思路及其验证我的几点思考与建议突破电话系统偷源代码做病毒/蠕虫开发流氓软件挖漏洞/造木马黑站/拖库钓鱼社会工程学攻击APT/窃取情报/破坏过去25年黑客行为的转变网络攻击技术的新特点攻击者：团队作战技术组合定向性(APT)APTAET0DAY/后门攻击手段：肉鸡操作自动攻击工具移动、公共IP躲避技术(AET)目标：0DAY/厂家后门应用层渗透信任链入侵什么是APT攻击APT(AdvancedPersistentThreats:高级持续性威胁)什么是AET逃逸AET(AdvancedEvasionTechnique：高级逃逸技术)CSRF跨站脚本请求伪造“水坑式”攻击黑客通过分析被攻击者的网络活动规律，寻找被攻击者经常访问的网站的弱点，先攻下该网站并植入攻击代码，等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节：捕食者埋伏在水里或者水坑周围，等其他动物前来喝水时发起攻击猎取食物。说不清楚：现状、对手、结果、技术对安全的了解往往从安全事件开始安全事件是了解技术的有效有段大公司被入侵的安全事件频繁出现2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击，重要资料被窃取。2013年10月，Adobe公司表示，黑客盗取了其一些最流行软件的源代码和数百万用户的数据。Adobe称，黑客获得了AdobeAcrobat以及ColdFusion和ColdFusionBuilder的源代码。该公司首席安全官布拉德·阿金(BradArkin)表示，自两周前发现此事后，他们一直在调查这次入侵，目前没有任何迹象显示黑客利用这次盗取的源代码发动了攻击。黑客还窃取了290万Adobe客户的信息，包括他们的姓名、用户识别码和加密密码以及支付卡号。韩国主要广播电视台KBS、MBC、YTN，以及韩国新韩银行（ShinNanBank）、农协银行（NongHyupBank）等部分金融机构疑似遭受黑客攻击，相关网络与信息系统突然出现瘫痪。这是网际战争吗？攻击行为分析：典型APT攻击邮件植入木马病毒传播病毒在2013年3月20日下午2：00以后激活Vista以上系统覆盖文件、其他的破坏引导扇区这不是演习！2011年12月21日，以CSDN为主的多家互联网用户注册信息库被黑客盗取，涉及的用户资料在5000万以上，资料泄露的账号可能涉及网易邮箱、QQ邮箱、人人网在内的多家网站。

国内泄漏事件的“背后效应”Struts2漏洞事件是“乌龙”吗？201307的ApacheStruts2漏洞发布事件---BS架构的一次震颤关于OpenSSL“心脏出血”漏洞2014年4月7日OpenSSL发布了安全公告，在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160).问题出在OpenSSLHeartbleed模块ssl/dl_both.c文件中的心跳部分，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的OpenSSL服务器内存中多达64K的数据。IP地址与路径用户名、cookie等手机号帐户、邮箱、密码内容互联网上的生存环境在悄然变化网络攻击技术趋势防御思路及其验证我的几点思考与建议等级保护是基本方法：分域分级信息系统分级保护对信息系统按业务安全应用域和区实行等级保护---防护、监控、审计安全产品分级管理对系统中使用的信息安全产品实行按分级许可管理---测评安全服务分级管理对等级系统的安全服务资质分级许可管理---测评安全事件分级响应对信息系统中发生的信息安全事件分等级响应、处置---应急能力产品服务外部支持内部力量隔离防护可见(对外)可见(对内)可信任的人(用户与维护者)可信任的人(安全管理者)防御在于考虑全面安全保障设计---“花瓶模型”等级保护涉及的安全产品与服务(一)安全类型安全产品说明边界防护体系FW/UTM安全域边界、安全域内部隔离IPS/AV可选。补充FW隔离时的不足WAF可选。网站或Web服务器前防护VPN可选。出差人员、分支单位接入网闸可选。生产网与办公网隔离终端安全三级选用。至少补丁管理、网络准入、终端审计、非法外联等模块服务器加固重要服务器(安全加固、强制性访问控制)普通服务器选择加固服务平台系统加固虚拟化平台加固中间件，可以部署其他安全措施监控体系IDS隔离的网络分别部署漏洞扫描网络共用，或选择安全服务防病毒系统主机防病毒、网络防病毒异常流量监控可选。等级保护涉及的安全产品与服务(二)安全类型安全产品说明信任体系身份认证系统CA三级选用。主要是双因子认证需要二级系统可选择动态口令系统网络行为与数据库审计隔离的网络分别部署运维审计(堡垒机审计)三级选用。运维区域出口互联网行为审计可选。互联网出口日志审计二级选用，三级用SOC替代安全管理安全管理平台SOC隔离的网络分别部署在网络核心补丁管理系统补丁服务器安全服务等保方案设计与咨询服务安全加固服务安全渗透服务安全应急服务可选。安全值守服务可选。源代码审计服务可选。如何了解安全保障建设的效果领导关心：花多少算是够用？管理者关心：如何检验战斗力？实战、演练…渗透性测试是一种验证性的安全检查，不是黑客入侵的情景再现，更不是黑客的友情表演。定义渗透性测试验证安全漏洞可以被利用的程度，能给用户造成什么样的损害，为用户安全管理决策提供依据；验证用户信息系统防御系统的实战应急能力，是信息安全对抗的一种实战演习模拟。

渗透测试面临的尴尬但真实的黑客哪儿能找到？“菜鸟”冒充、说得多做得少效果看不懂，做了还是不知道用户内心的纠结：上京赶考实处无奈管理者顾虑重重：渗透者可以信任吗渗透者也在打鼓：无法度量的服务，做多做少成了良心账渗透性测试的目标：宕机：中断服务或服务能力降级；窃取：窃取到目标内的特定信息；篡改：修改了目标内的特定信息；控制：建立了远程控制目标的后门通道；潜伏：成功潜伏在目标内没有被发现；

效果才是我们真正的目的0级：没有发现可利用的漏洞没有发现可以利用的漏洞，包括技术漏洞与管理漏洞；发现了漏洞，但没有利用成用成功；1级：利用漏洞成功，但渗透获得权限有限，无法进行深入工作发现了应用类的漏洞，利用后获得权限有限，无法获取系统控制权限；发现了管理类漏洞，但无法获得技术上进一步的突破；利用漏洞时，被用户监控系统及时发现并阻止，无法进一步渗透；获得部分终端或普通服务器等的权限，但还没有到达目标系统；2级：进入目标系统，但未完成特定的任务拿到服务器控制权限，但未完成目标任务；进入用户应用系统，但没有成功访问到用户敏感数据区域；控制了与目标账户类似的账户，但没有获得目标账户控制权；拿到目标特定信息，但无法回家(与渗透着建立联络)完成任务；3级：基本完成渗透目标任务获取目标特定信息，并成功发送回家；成功修改目标特定信息；成功安装目标控制后门，可以控制“肉鸡”；成功潜伏在目标内，并设置了激活条件；4级：完成渗透任务，并在规定时间内到达如下要求目标特定信息已经成功泄漏，从第三方知道自己的信息泄漏；正常的监控状态下，发现目标信息被篡改时，篡改时间超过2小时；发现目标被远程作为“肉鸡”控制时，渗透者已经成功进行一次或多次远程控制操作，达到既定目标；在规定渗透服务时间内，潜伏入侵者没有被发现；若用户服务要求潜伏者必须激活动作，激活后被发现时的已经时间超过2小时；渗透性测试效果的分级1级(个人)2级(小组)3级(团队)4级(组织)5级(集团)团队规模单兵作战小组协作专业团队，渗透人员梯队培养、队员组合协作渗透具有专业后台支撑团队，分工细化，具有长远团队规划大型专业团队组织能力无组织松散合作，自由分工职业团队，责任明确企业级，专门人员组织管理大型集团，后备人才基地技术保证能力非正式使用，无正式文档管理计划与跟踪，过程化、文档化管理充分定义，过程标准化定义量化控制，建立可测量的质量目标连续改进，改进组织能力与过程标准化渗透攻击能力抵御资源较少的单个入侵者的入侵抵御拥有一定资源的小型团队有计划的入侵抵御拥有丰富资源、有组织的、有针对性的入侵(如APT)抵御大型攻击组织的组合式入侵无限制漏洞挖掘能力收集最新漏洞信息，收集漏洞利用工具具有一定漏洞挖掘能力，掌握最新漏洞利用工具，工作中可集成、组合渗透工具可独立研究挖掘系统漏洞的能力，具有开发利用工具的能力具有独立的漏洞研究团队，掌握“0DAY”漏洞及其利用工具无限制渗透性测试者的能力---能力成熟度渗透者扮演的角色很关键：测试方法针对用户组织：自由渗透(互联网、内网)普通用户内部运维人员管理人员第三方运维人员针对渗透目标对象：门户网站邮件系统一般业务主机特定业务主机特定业务系统网络与安全设备网络基础服务系统渗透性测试的流程步骤合法性很重要“善待”渗透性测试者不要试图了解渗透者的方法，关注结果是目标；充分授权是前提，渗透的目的就是发现漏洞；不要认为管理性漏洞无所谓，“合理利用”有更强效果；通过渗透提高防御能力，不是追究责任。安全意识落实是根本领导重视用户有意识运维无