電網企業APT攻擊防御存在的問題及防御措施

董 娜,張君艷,劉偉娜,常 杰

(國網河北省電力公司電力科學研究院,石家莊 050021)

電網企業APT攻擊防御存在的問題及防御措施

董 娜,張君艷,劉偉娜,常 杰

(國網河北省電力公司電力科學研究院,石家莊 050021)

介紹電網運行易遭黑客APT攻擊的現狀,針對APT攻擊流程分析了現有的防護體系存在的問題,從管理手段和技術手段2個方面提出防御的安全措施。并對目前電網企業如何防范APT攻擊提出建議。

APT攻擊;大數據;APT防御

1 概述

2015年12月,烏克蘭電網遭受APT攻擊造成大面積停電,這是世界首例因黑客攻擊造成的大規模停電事故[1]。同時隨著我國智能電網的發展,以及云計算,大數據,移動互聯及物聯網技術的結合,信息安全成為電網安全的重要組成部分。電網遭受APT攻擊,不僅會造成大規模停電,影響生產生活,還會造成敏感信息外泄,如電力運營數據、用戶信息等,帶來巨大的經濟損失。

電網運行容易遭到黑客發起的APT攻擊包括以下幾個方面[2]:供應商,電網行業供應商多樣,電網所使用的軟硬件設備多種多樣,供應商可能來自系統內外、國內外,除設備被預裝后門或惡意軟件外,設備本身設計缺陷或存在的安全漏洞都可以被黑客利用;終端,終端分布廣,分布式電源、用電信息采集、電動汽車等終端設備或系統的運營主體繁多、應用場景復雜,增加了其被惡意監聽、滲透、控制的風險,移動設備的攻擊正在逐步成為APT攻擊的新方向,而移動設備的安全技術保障也不充足,無論是Android系統還是iOS系統均被爆出過不少漏洞,存在安全問題;通信網絡,黑客利用技術手段通過通信網絡進行假冒終端、違規接入、網絡流量劫持、信息竊取等,導致信息泄露或通信網絡設備運行異常、中斷;應用服務,黑客利用安全漏洞或惡意病毒入侵應用系統,可導致服務異?；蛑袛?信息泄露,甚至破壞應用系統的軟硬件設備,工控系統正在逐步成為APT攻擊的新目標,此前,被曝光的NSA武器庫擁有大量可以攻擊工控隔離網絡的手段;員工,大多數員工信息安全意識仍然不足,而APT攻擊往往會采用社會工程利用人性的弱點對員工進行滲透。在這一大背景下,如何防范APT攻擊應引起電網行業的重視。

2 APT攻擊防御存在的問題

目前電網企業已經擁有較全面的信息安全管理體系,對物理環境、終端安全、邊界安全、網絡安全、應用平臺安全及數據安全等方面的安全管理采取了相應的安全防護手段,但是在面對APT攻擊時仍然存在一些問題[3]。同時APT攻擊以其

隱蔽性強、潛伏期長、持續性強、攻擊渠道多樣等特點,降低了傳統安全產品對其防御的效果。下面將從APT攻擊的一般流程來分析電網企業面臨的問題[4-5]。

第1步為信息收集,攻擊者有針對性的通過各種途徑收集網絡系統和員工的相關信息,包括從外部利用網絡隱蔽掃描了解信息以及從內部利用社會工程學了解相關員工信息。雖然電網企業已經制定了安全管理制度,但是人員安全意識依然需要提高,尤其是部分員工存在僥幸心理或是不知情情況下造成信息泄露或被黑客利用。

第2步為單點攻擊,收集足夠信息后,攻擊者通過包括惡意代碼、漏洞攻擊、Web攻擊等各種攻擊手段入侵目標系統,這個過程通常是采用低烈度的攻擊模式,以避免被目標系統發現,從而控制目標系統。攻擊者利用0day漏洞、未及時修復的已知漏洞、多態病毒木馬等來繞過電網企業已部署安裝的防病毒及其他檢測工具,導致此類攻擊難以被防范。

第3步為建立控制,攻擊者通過突破內部某一臺終端滲透進內部網絡,模擬網絡常見協議如DNS、HTTP、HTTPS并進行加密來構建C&C通信(命令與控制)與終端聯系,讓C&C通信變得難以被電網企業部署的IDS、防火墻,IPS等安全設備檢測。在這個過程中,攻擊者還會降低通信頻率及頻繁變更域名和IP地址。由于目前電網企業缺少對網絡異常流量的關聯分析工具,使得檢測出被控終端變得困難。

第4步為橫向、縱向滲透,攻擊者以突破的終端為跳板,逐步了解全網結構,在獲取更高權限后鎖定目標。目前電網行業主要的檢測方式是對網絡邊界和主機邊界進行檢測,在對內部安全防護上相對薄弱,雖然部署了堡壘機和數據防護等手段,但攻擊者可以模擬正常用戶行為進行長期、少量資料收集工作。

第5步為數據回傳,攻擊者在內部網絡中長期潛伏,收集網絡中各服務器上的重要數據信息后,將這些數據進行壓縮加密,通過隱蔽通道進行回傳,以繞過電網企業部署的審計設備或其他安全設備。

目前電網企業的網絡是內外網隔離的,針對這種網絡隔離,APT攻擊者在實施控制與數據回傳時,一般使用移動介質擺渡的方式,進行數據的傳送。另外一些破壞性的APT攻擊,則不需要進行控制和數據回傳,如震網攻擊,攻擊者將震網病毒傳遞到工作人員家庭主機,并通過U盤震網病毒被工作人員帶回到隔離的主機上,最終攻擊核電站系統。

綜上所述,面對APT攻擊時,無論是電網企業現有的防御體系還是目前已形成的檢測思路,諸如惡意代碼檢測思路、主機應用保護思路、網絡入侵檢測思路等,都存在一定的困難和局限性。而理想的APT安全解決方案應該基于大數據分析的檢測、防御方案,目前已有廠商與研究人員推出并提出了相應的安全產品和架構[6-8]。

3 安全防御措施

電網企業在防御APT攻擊時所面臨的上述問題,可以從管理和技術方面分別進行防御[9]。

3.1 管理手段

a.制度管理,落實國家標準、行業標準以及公司的規章制度,嚴格執行相關安全管理方面的要求,尤其是對終端安全、邊界安全、網絡安全及數據安全等方面的要求認真落地執行,同時研究現有的安全防護要求是否全面,查漏補缺,根據實際情況及時更新。

b.人員管理,人往往是信息安全防護過程中的最不可控因素,攻擊者通常會使用社會工程利用人性的弱點針對人員進行滲透,因此提高員工的安全意識顯得十分重要。定期對員工進行安全培訓及安全教育活動,根據安全管理制度確定可執行的策略,讓每名員工都清楚什么可以做,什么不可以做。安全培訓是長期且重要的工作,因為人的安全防范意識非一朝一夕能樹立起來。

c.對外信息管理,限制公開顯示的信息量,包括電話簿、員工名單、過于具體的人員和領導介紹、項目計劃、業務和渠道合作伙伴以及客戶名單。同時從制度上禁止企業員工個人信息以及與工作相關的信息被公布到社交網站上。

d.最小權限原則,把控每個員工可以接觸到的信息,采用最小權限原則,切不可越權訪問、使用資源。同時,對員工在被限定的權限下可以進行的操作有明確的規定,避免違規操作。

e.預警機制,安排人員隨時關注相關安全部門和網站發布的安全公告,建立預警機制。針對社會上最新發現的各種安全問題及時對企業內部

進行驗證,查看是否存在,若存在及時制定整改計劃消除缺陷。

f.建立應急機制,根據各種可能發生的情況制定應急方案,當發現疑似APT攻擊時,能及時啟動應急機制,將損失降低到最小。

g.注重終端安全,統一管理終端殺毒軟件,及時更新,修復漏洞。采用安全手段檢查并檢測可疑郵件中的URL鏈接和附件,防范可能的APT攻擊。重視數據層安全,對敏感數據一是要作權限管理,定期更換用戶認證;二是要做信息加密,包括存儲加密和傳輸加密等。

h.專業技術人員,培養專業技術人員或是邀請專家對歷史數據、當前記錄進行分析并對定期開滲透測試,預估安全趨勢,及時發現安全風險。提升企業內部安全人員能力,定期排查和評估潛在風險,不斷增加主動發現風險和排查故障的技術能力。同時,在有條件的情況下聘請專業安全機構定期進行監測,提高風險防范水平。

通過上述的管理手段不斷加強網絡防御APT攻擊的能力。

3.2 技術手段

在信息網絡中部署APT攻擊檢測防護產品,對主機、邊界、網絡、應用等進行全方位防護,防護技術手段如下。

a.物理防護。防范電磁泄漏,信息系統設備在工作時通過電源線、信號線等輻射出去的電磁信號或諧波,可以經過提取處理恢復為原信息造成信息泄密,所以需要防電磁泄露,可以采用電磁屏蔽或防干擾等措施進行安全防護。

b.惡意代碼檢測。在互聯網出口和核心交換機之間部署引惡意代碼檢測引擎,實時監測有關惡意代碼的威脅攻擊。APT攻擊發起者修改已有的惡意代碼來形成新型未知惡意代碼或開發全新惡意代碼,來繞過基于特征碼的檢測系統。因此,在防御APT攻擊時,應增加動態檢測技術,如采用沙箱技術。其原理是在虛擬機或沙箱中運行引入的實時流量,通過監控沙箱中的文件系統、進程、注冊表、網絡行為等,來判斷流量中是否包含惡意代碼。

c.終端安全管理。包含但不限于安全準入、安全加固、病毒防護、補丁管理、違規外聯管理、訪問控制、保密監測、數據防護監控、外設管理、IP地址管理、移動存儲介質管理、桌面資產管理、軟硬件安裝管理、惡意代碼過濾?？刂平K端是APT攻擊滲透內部網絡的重要環節,所以終端安全防護是防范APT攻擊的重要關卡。

d.漏洞掃描。對終端、應用系統、數據庫、操作系統、網絡設備等定期進行漏洞掃描,及時修復發現的漏洞。APT攻擊者通常利用已知漏洞和未知漏洞進行單點攻擊入侵目標系統,在進行防御時,可以使用現有的漏洞掃描工具或是手工驗證等方式進行漏洞發掘,發現漏洞及時修復。

e.入侵檢測。通過監控整網流量,來監控網絡內各種攻擊行為。入侵檢測系統主要用來檢測APT攻擊的命令和控制通道。

f.全流量審計。全流量存儲的條件下,通過回溯分析相關流量,對流量進行協議解析和應用還原,判斷識別是否存在攻擊行為。對于不能被實時檢測出來的攻擊行為,可以回溯分析相關流量并進行多次檢測。這種采用長時間、全流量數據進行深度分析的防范,主要用于對抗APT攻擊的可持續特性特性。

g.大數據分析。通過單一的安全設備告警信息無法判定是否存在APT攻擊,需要對覆蓋所有檢測技術的安全信息進行收集分析,形成關聯分析,這需要大數據分析技術。包括對防火墻、入侵檢測、入侵防御、審計系統、日志系統、防病毒系統信息進行收集分析。大數據分析技術通過關聯分析來判斷異常情況,發現異常后,利用全流量存儲,建立告警庫,對捕捉到的信息進行綜合關聯分析,將告警信息會形成規則。

目前各廠商已經發布了相應的APT防御產品,對APT的檢測防御各有側重,電網企業在進行選擇時,可以根據網絡實際情況,選擇一個或多種組合部署,在技術手段上加強對APT攻擊的防御能力。

4 結束語

綜上所述,在防御APT攻擊上可以采用以上手段,尤其在大數據的基礎上多種方式聯合使用,才能有效的檢測防御APT攻擊。但仍有很多問題需要進一步研究解決,如沙箱技術占用大量的本地資源和處理時間,會拖慢系統;入侵檢測技術需要解決如何獲取APT攻擊的命令和控制通道特征的問題;全流量審計需要解決高性能的數據捕獲和快速回溯分析能力;大數據分析技術還未完全成熟,需要解決異構海量數據存儲、分析技術,關聯場景的建立等問題。

[1] 童曉陽,王曉茹.烏克蘭停電事件引起的網絡攻擊與電網信息安全防范思考[J].電力系統自動化,2016,40(7):144-147.

[2] bjx-zndx.烏克蘭電網遭遇黑客攻擊,有何警示意義[OL]http://toutiao.com/a6243917163524423938/,2016-01-26.

[3] 張富華,普 鋼,張 睿,等.電力企業APT安全防護策略研究[J].網絡安全技術與應用,2015,7:86-87,90.

[4] 佚 名.大數據分析APT攻擊防護下一代演進之路[OL].http://sec.chinabyte.com/452/12916952.shtml,2014-04-12.

[5] 張百川.APT:攻擊容易,防御不易,且行且珍惜[OL].http:// www.youxia.org/apt-cnw-zhenxi.html,2014-04-16.

[6] 王麗娜,余榮威,付楠,等.基于大數據分析的APT防御方法[J].信息安全研究,2015,1(3):230-237.

[7] 付 鈺,李洪成,吳曉平,等.基于大數據分析的APT攻擊檢測研究綜述[J].通信學報,2015,36(11):1-14.

[8] 趨勢科技.演化的APT治理戰略[OL].http://www. trendmicro.com.cn/cloud-content/cn/pdfs/20150624.pdf, 2015-06-24.

[9] 蔣 明,方 圓,丁家田.大數據時代下電網企業安全防護策略研究[J].信息安全與技術,2015,(10):11-15,37.

本文責任編輯:羅曉曉

Problem and Countermeasures on APT Defense in Power Grid Enterprises

Dong Na,Zhang Junyan,Liu Weina,Chang Jie
(State Grid Hebei Electric Power Research Institute,Shijiazhuang 050021,China)

This paper introduces the present situation of the Power Grid operation which is vulnerable to APT attacks.The existing problems of current protection system are analyzed from the process of APT attacks.This paper analyzes the security measures of defense from management means and technical means.For the current Power Grid enterprises how to prevent APT attacks should cause the attention of the power industry.

APT attacks;big data;APT defense

TP311.56

B

1001-9898(2016)04-0025-03

2016-06-13

董 娜(1986-),女,工程師,主要從事電力信息化相關工作。