那些即将到来的安全黑科技

　　黑客正在专门为某个政府部门或企业编写病毒，传统防病毒理念已死，如何面对这些不可预知的安全威胁？

　　在今年4月的一整个月中，掌管美国退伍军人信息的美国退伍军人事务部遭受黑客攻击3亿多次。无独有偶，拥有政府雇员大量敏感信息的美国人事管理局，两年前开始遭受黑客攻击，资料泄露数已从最初的400万笔飙升到2100万笔。

　　除了政府部门，主流企业遭受黑客入侵，继而影响社会的事件也在近几年愈演愈烈。2013年3月20日，韩国多家银行和电视台同时遭受攻击，人们在ATM上取不出钱，电视台也播不出节目。四、五天之后，这些业务才全面恢复，这期间给民众带来了极大的恐慌。

　　这些攻击不是大众之前遇到的普通电脑病毒，而是高级可持续性威胁（APT）攻击。“它很难防，因为黑客会为攻击目标专门编写一个病毒，从传统防病毒概念来讲，根本没有病毒特征码可以识别。” 安全和服务领导厂商趋势科技全球研发长暨大中华区执行总裁张伟钦说。

　　成为黑客目标

　　APT被看成是以商业和政治为目的的一个网络犯罪类别，在APT攻击中，攻击者是有组织的，他们来自政府、极端主义组织或者黑客团体，也包括企业内部人员。他们的目的很明确，就是要窃取国家情报、企业商业机密、组织核心信息资产或进行欺诈交易。因此，它的攻击面既涉及政府和军事部门，也涉及高科技制造、金融、能源、运输、通信和媒资等重要行业。

　　“在APT攻击中，只要黑客想攻击你，他就一定能得手。”台湾骇客年会 HITCON组织者李伦铨说。HITCON是由台湾最大的黑客高手团队组成的黑客年会。APT攻击与最近两年新闻中经常提到一个词“0Day（零日）”有关。

　　“0Day”是指企业还没来得及知道或修补安全漏洞，攻击者就已经利用该漏洞制作攻击程序并实施网络攻击。在伊朗核计划停止事件和斯诺登事件中，“0Day”都是重要的攻击手段。

　　除了利用漏洞外，APT攻击还会利用“社交工程钓鱼邮件”这种新型攻击媒介实现对目标个体的单点突破。攻击者会使用从社交网络和 Internet 收集来的个人及职业信息来诱导目标个体，说服收件人毫无警觉地打开恶意文档附件或点击某个指向恶意站点的URL链接。如果你喜欢时尚挎包，他会给你发送关于挎包的邮件，收件人一旦就范，高级恶意程序将会在其计算机中落地并执行，麻烦就这样开始了。

　　在2013年韩国多家银行遭受的APT攻击案例中，攻击者伪装成信用卡公司，给银行员工发送信用卡账单钓鱼邮件。而在美国退伍军人事务部的攻击事件中，黑客偷到了其承包商的电脑，假冒承包商登陆到系统中。

　　前美国中央情报局首席技术官 Bob Flores曾在中情局任职31年，现任Cognito 公司创办人。据Cognito统计，23%的收件人会打开钓鱼邮件，11%的人会打开邮件中的附件。

　　APT攻击的另外一些特点也引人关注。趋势科技威胁分析团队通过大量的APT案例研究发现，从2013年到2015年7月所调查的376例APT攻击事件中，从攻击发起到攻击被发现，攻击的平均潜伏时间多达559天。在极端案例中，潜伏时间超过了2000天。

　　这个数字很惊人。因为典型的APT攻击分为6个阶段：信息收集、单点突破、C&C外联、横向移动、资料发掘和资料窃取。由于潜伏时间长，79%的攻击在被发现时，已经到了后期——攻击者已渗透到目标环境中进行各种活动——控制更多主机，发掘并窃取资料。在半数这类攻击事件中，被入侵的主机里并没有恶意程序，黑客的目标是获得权限，继而窃取机密。

　　伴随APT攻击的兴起，也出现了一批灰色的专业机构，像位于意大利的黑客团体Hacking Team，专门收购安全漏洞，卖给各国政府或需要的人。李伦铨把这些漏洞称为“失衡的数字军火”。甚至“军火商”Hacking Team在今年7月也被黑，造成多达400G的“数字军火”外泄。

　　“糟糕的是，99%的安全漏洞在发现一年内还可以被利用，76%的漏洞在两年内仍可用，9%的漏洞在10多年之后还有效。”Bob Flores说，“造成这个现象的原因是，有74%的企业或组织没有安全事件应急计划，也没有漏洞管理计划。”这给黑客提供了很多可乘之机。更糟的是，现在攻击已不仅限于PC，智能手机和APP的流行，让攻击无处不在。你用手机浏览网页，很可能已经中了后门，类似事件越来越多。

　　未曝光的攻击事件远比大众所知道的多得多。考虑到商誉，被攻击企业通常选择隐忍不报。但实际上，APT攻击已全面启动。

　　“如果你的企业已经很久没有收到恶意邮件，别高兴得太早，你可能已经被升级了。”趋势科技全球研究开发部资深研究员翁世豪说，“看不到的威胁，才是最大的威胁。”现在，全球范围内每36分钟就会发生一次敏感资料外泄事件。

　　应对威胁的黑科技

　　美国人事管理局两年前即被入侵，但直到最近才被发现。Bob Flores认为，这是他们没有针对新型威胁建立起新的防御体系所致。例如，美国人事管理局的系统只能侦测已知病毒，对敏感资料没有加密，也未对远程登录监控。这让APT攻击得心应手。

　　“传统防病毒已死。”Bob Flores说，“面对不可预期的威胁，政府、组织与企业应该有新的防御思维”。他建议，要有相关人员监控公司内部的日常网络行为，及时发现异常，最好能设置首席安全官职位——判别企业需要优先保护的信息，依据优先级建立安全防御体系。由于安全解决方案并非万能，黑客有时用很简单的方法就能让员工上当。因此，对员工的安全教育和训练也变得非常迫切。

　　“既然新型威胁无法预防，就要从提高攻击门槛来思考防御策略。” 趋势科技台湾暨香港区总经理洪伟淦建议，企业从安全教育、安全检查、及时侦测、通报告警、事件应急、调查分析以及改善流程等环节入手。其中，事件应急小组与应急流程的建立是当务之急。应急小组不仅包含技术人员，还应包含人事、法务、公关等。一家公司引入这套机制后，APT攻击潜伏期从2284天降低到2天，这有效降低了安全威胁与损失。

　　与安全防御策略有关的预算如何评估？根据Bob Flores的调查，目前平均只有5%的IT预算花在安全上。他认为这一比例至少要达到10%，并建议，中小企业可以先尝试第三方提供的安全服务，一旦发现第三方机构的应急速度跟不上，你就知道应该有自己的事件应急小组。当然，在这一过程中，要考虑对服务公司的信任度问题。

　　面对新型威胁，新理念和新技术需要被引入。趋势科技已采用大数据分析技术，协助调查与处理攻击事件，降低组织的损害和恢复成本。“由于APT攻击所使用的病毒（恶意程序）都是为特定攻击目标而定制化编写的，传统特征码侦测病毒的方式失效了，我们后来想到一个新思路，因为病毒都有控制母体（外部C&C命令与控制服务器），而控制母体不易改变，我们就按图索骥去侦测控制母体。”张伟钦说。他们购买了大量资料库，分析C&C命令与控制服务器的数据。在2013年韩国那起银行遭受攻击的事件中，仅有韩国国民银行的ATM能取钱。原来，在事件发生前几天，趋势科技发现该银行有电脑中毒，于是切断了银行与病毒控制母体的相关通信，从而令该银行逃过一劫。

　　沿着大数据这条线，趋势科技正在尝试新科技。过去，大数据帮助企业提供安全预警。现在，在不可预知的环境下，它正把大数据变成一个分析平台，希望帮助客户解决部分问题——在不可预知的安全威胁下，我是怎么被攻击的？我的资料有没有被偷走？这也是客户最常问及的两件事。

　　这个技术思路与一家名为Palantir的硅谷初创公司一致，Palantir的估值已近200亿美元。不过，这项技术要突破难关。例如，摄像头的海量数据分析，即使对2004年就开始玩大数据的趋势科技来说也极为困难，他们正在寻找解决之道。

　　用大数据解决安全问题，数据必须是全球性的，还要区分企业级和消费者级。“因为企业行为与消费者行为不同。如果发现一个新应用程序，在消费者领域被认为是病毒的猜中几率很大；但在企业级市场，可能要犯错，它也许是一家公司开发的新程序。如果你把它列为病毒，这家公司就毁了。”张伟钦解释说，“这就是为什么很少看到一家做消费者市场的公司，马上能在企业级市场成功的原因。它的问题不在于侦测多少病毒，而在于减少多少‘误杀’。”

　　除了大数据，家庭企业化趋势也提出了安全新需求。日本一个家庭平均有18个IP——18个设备已联网。家庭是不是需要来管理安全？这个人又会是谁？这也是趋势科技正在研究的。

　　从家庭联网扩展到万物互联。一些物联网或车联网系统不能忍受时间延迟，而病毒扫描会让系统变慢。在万物互联的时代，人工已经越来越力不从心。”

　　目前，韩国已研究自动化工具，查找安全漏洞；美国在研究自动寻找并修补漏洞的机器人。越来越多的软件，越来越多的互联网，带来越来越多的网安漏洞。“机器学习也将在这一波网络安全中扮演重要角色。”洪伟淦说。

　　文/赵艳秋

关注读览天下微信， 100万篇深度好文， 等你来看……