對抗網絡威脅演化建立“網絡平安城市”

□ 童 寧

對抗網絡威脅演化建立“網絡平安城市”

□ 童 寧

當前，智慧城市、智慧生活已成為移動互聯網、物聯網、云計算等技術與O2O、C2C、共享經濟等商業模式交叉融合的產物，也是科技巨擘爭相布局的創新熱土和現代城市發展演化的重要方向。在智慧城市建設過程中，智慧應用與網絡安全密不可分，二者往小處說有可能涉及個人隱私泄露，往大處說，事關危機處理、決策判斷。因此，在與不斷演化的網絡威脅對抗中，就需要將網絡安全防護系統納入到智慧城市管理系統之中，建立和建成“網絡平安城市”。

智慧城市不是說建就建 安全威脅如影隨形

當今“大數據是‘鉆石礦’，人在干、數在轉、云在算”。在2016年中國大數據產業峰會上，李克強總理這樣強調大數據的意義。推進大數據、云計算、物聯網的發展不僅有效促進經濟結構調整，也推動著百姓日常生活質量的大幅提升。目前，我國已經有超過500個城市在進行智慧城市試點，均出臺了相應規劃，計劃投資規模超過萬億元。智慧城市建設不僅有利于技術更新和科技成果轉化速度加快，更能利用智慧化的城市管理、城市生活以及城市生產，將更便捷的網絡化、智能化的系統慢慢滲透到市民的生活中，真正實現為民而建。

智慧城市是多應用、多行業、復雜系統組成的綜合體，多個應用系統之間存在信息共享、交互的需求。而云計算恰好可以打破信息孤島，充分利用大數據來實現各個系統之間的協同運行，但云計算是需要無處不在的網絡連接和隨時隨地可用的大數據來支撐。但是，在遍布智慧城市每一個角落的網絡中，設備上、系統內都可能存在大量的已知和未知漏洞，無論是“數在轉”，還是“云在算”，不法分子都會盯上這些價值不菲的數字資源，暴力或者恐怖分子更會借機對智慧城市發動毀滅性的網絡攻擊。

國家互聯網應急中心公布的第15期安全周報顯示，我國境內感染網絡病毒主機數量達到86.8萬，同比增長13.8%，境內被植入后門網站總數為4441個，同比大增71.1%，新增信息安全漏洞數量為106，同比增長14.0%……，這么一連串觸目驚心的數字并不簡單，暗藏著可以威脅智慧城市建設的巨大陰影。例如，通過信息安全漏洞黑客可能會攻擊交通、水利、電力等基礎設施系統，造成經濟損失、社會秩序混亂乃至威脅國家安全，智慧城市的建設目標自然也就無從談起。

平安城市的泛化：“網絡平安城市”

城市的誕生書寫了人類聰智的文明史，預計到2050年，大約超過70%的人口將會生活在城市當中。而中國的城市化進程發展更為迅猛，隨著大量人口涌入城市，城市規劃和管理、社會穩定與安全、民生及可持續發展等各方面都面臨著嚴峻的挑戰。正因為如此，我們必須建立一個更加和諧的理想家園、一個更加智慧的城市、更加平安的城市。

平安城市不僅僅是指治安管理、災難預警、安全生產、社會監控等城市物理空間安全，同樣也應該指網絡空間的安全性。而目前我國城市級網絡空間安全管理的現狀并不樂觀，其問題突出體現在缺少城市一級的總體安全態勢監控、對公眾網絡安全意識教育投入不夠、網絡安全人員培養體系缺乏、網絡安全管理邊界對象不清晰等，這些問題導致城市網絡安全管理存在著大量漏洞，安全威脅很容易乘虛而入。

需要注意的是智慧城市的安全風險又不同于傳統信息安全風險，每個層面都存在著安全風險，并且更容易受到有組織有計劃的黑客團體攻擊。首先，在智慧城市建設中通常將智慧城市劃分為感知層、通信傳輸層、應用層、智能分析等層面。這幾個層面哪個層面出現問題都有可能造成城市管理混亂，輕則數據泄露，重則事故頻發。其次，一些匿名者的攻擊行動往往出于政治性目的，他們通常使用doxes、DNS攻擊、丑化、重定向、DDoS攻擊、數據庫資料泄露等攻擊手段，破壞攻擊目標的網絡及數據。而更大的威脅在于，黑客很可能采用緩慢滲透的方式來侵入防護嚴密的智慧城市網絡防御體系，這種高級持續性威脅（APT攻擊）不僅防范難度高，而且破壞力更大。那么，到底有什么好方法可以抵御這些威脅呢？

“網絡平安城市”的任務：網絡威脅有效治理

智慧城市的建設是一項巨大的工程，牽涉眾多信息化子系統的建設，其中任何一個環節出現問題都可能影響城市的整體安全防護。而且，智慧城市是一個政府、企業、公眾有機銜接的城市體系，必須要整合各方力量，打造主動式、立體式的網絡安全防護體系。

作為云與大數據安全的技術領導廠商，亞信安全長期跟蹤、收集、分析、治理遍布全球的 網絡攻擊，幫助用戶共渡難關。亞信安全相信：“未知的威脅總是令人恐懼，但當它們被徹底揭露之后，努力尋找到最佳的防御手段則會幫助用戶重拾信心。”

當前，智慧城市應用業務集中在個人終端移動化、數據中心云化，而網絡攻擊技術也向更加高級的定向式攻擊演化：

第一，PC和移動設備構成了消費者信息終端的多樣化，用戶會面對日益增多、不斷精進的惡意程序和黑客攻擊手法，而傳統防護系統陳舊的防護模式也會在新的安全威脅下顯得“無力”。

第二，云計算數據中心的虛擬化基礎設施，即服務器、網絡和存儲設備，皆以準備完畢，它們會讓數據中心變得更為靈活，更自動化，這讓數據中心的防御環境出現了巨大的變化。

第三，高級持續性威脅（advanced persistent threat，APT）呈增長之勢，APT攻擊者采用定制化的手段、利用社會工程學，有計劃、有組織地持續窺探目標網絡弱點，長期潛伏并竊取核心機密數據，這讓智慧城市中的軟硬件系統都處于危險境地。

信息安全廠商必須針對威脅的數量、變化和速度尋找解決方案，以應對今日的威脅演進，這包括能夠對任何設備、任何應用、任何地點提供有效防護。作為防御體系發展的基礎，亞信安全的云安全技術搜集了大量的威脅相關信息，然后運用大數據分析來發掘、交叉關聯、分析新的威脅。這讓我們可以通過成熟的云端基礎架構來提供即時的防護，確保網絡威脅治理在數量、變化與速度上都能獲得有效而高效率的管理。

以最難防范的APT 攻擊為例，由于攻擊者采用了定制化的手段，利用社會工程學，有計劃、有組織地持續窺探目標網絡弱點，長期潛伏并竊取核心機密數據，這讓越來越多的數據中心處于危險境地。更可怕的是APT 攻擊會演化成為普遍的網絡犯罪，讓智慧城市中的網絡裝置處于安全風險之中。所以，預知APT 威脅將會來自哪里，察覺威脅具備怎樣的特征，進而采取與之對應的防御戰略將具有重大意義。

實際上，媒體所報道的APT 攻擊事件只能算是冰山一角，很多智慧城市網絡系統的管理者并不知道正在被APT 攻擊，或是考慮到負面影響而未披露。所以，解開APT 攻擊之謎的第1步就是充分了解黑客將從何入手、清楚他們是如何拿到數據的。通過研究和總結我們發現，APT 攻擊的來龍去脈可以分為以下6個階段，并具有非常明顯的行動特點。

圖2 APT 攻擊原理分析

第1 階段：情報收集

亞信安全的調查結果顯示，只有31% 的組織會懲罰將內部機密資料貼到公眾社交平臺上的員工，這使得黑客非常容易就能獲取到目標IT 環境和網絡架構內的重要信息。攻擊者針對需要竊取數據的企業對象，將第1個目標鎖定到員工的身上，并使用公共信息資源（網絡社交工具，如微信、微博、朋友圈等）以及社交工程學等手段收集并研究目標對象的相關信息，準備實施定向攻擊。

第2 階段：單點突破

利用電子郵件、即時通信軟件、社交網絡或應用程序漏洞找到進入目標網絡的大門。亞信安全的調查結果顯示，在87% 的組織中會有網絡用戶點擊黑客安排的網絡鏈接，這些惡意鏈接都是精心設計的APT 社交工程的誘餌。另外，超過90% 的APT 攻擊利用了社交工程釣魚郵件，這是針對性最強、設計最縝密、入侵最有效、成本最低廉的攻擊媒介。恰恰是這種簡單的技巧，使得攻擊者不費吹灰之力繞過傳統安全防御，將惡意代碼推送給目標個體，創建后門，實現單點突破進入目標網絡，從而著手進一步網絡滲透。

第3 階段：命令與控制 （C&C 通信）

目標個體一旦閱讀或點擊了“誘餌”，攻擊者的后門程序將會成功植入到目標個體的主機上，以達到持久駐留在內部網絡的目的，并伺機潛入盡可能多的主機。被入侵的計算機通過部署在互聯網的C&C 服務器與攻擊者保持通信，獲取攻擊者的指令及更多攻擊工具，用于后續階段的使用。由于 C&C 通信的特征與正常流量不同，因此這通常是APT 攻擊的第1個跡象。但是，攻擊者演進了技術，通過降低通信頻率，使用加密手段以及在極短的時間內改變域名和 IP 地址，讓C&C通信變得難以檢測。

第4 階段：橫向移動

攻擊者立足之后會滲透更多的內部主機，收集憑證、提升權限級別，實現持久控制。為此，攻擊者會試圖獲取大量的普通賬戶以及管理員賬戶。攻擊者通常會跟蹤 Active Directory 之類目錄服務或Root 權限的賬號，使用一定的技巧和工具（例如可以傳遞哈希值算法的工具）將攻擊者權限提升到和管理者一樣。這個過程一旦成功，攻擊者便會為自己創建合法的賬戶和訪問權限，以訪問托管所需信息的服務器，從而加快敏感數據的發掘和泄漏。由于最終數據竊取利用了合法的管理憑證，這使得數據竊取檢測變得更加困難。

第5 階段：資產/ 資料發掘

為確保以后的數據竊取行動中會得到最有價值的數據，攻擊者會長期低調地潛伏，并使用一些技術和工具手段識別有價值的服務器及存放在這些服務器上的重要信息資產，以挖掘出更多敏感資料。這個過程通常不是重復自動化的過程，而是人工對數據作分析，尋找雇傭者需要的或是可以高價販賣的“數據”。

第6 階段：資料竊取

APT 是一種高級的、狡猾的伎倆，高級黑客可以利用APT 入侵網絡，逃避“追捕”，隨心所欲對相關數據進行長期訪問，最終挖掘到想要的信息。而在收集了敏感信息之后攻擊者將把數據歸集起來進行壓縮和加密，再通過外部暫存服務器將數據外傳出去。攻擊者主要的行為將放在長期控制上，可如果他們發現事件敗露便會破壞信息的完整性及可用性，以起到“毀尸滅跡”的目的。但此時泄密信息早已進入到地下黑市交易，或是被雇傭方非法占有。

那么，問題來了！面對APT 攻擊，用戶真的無法進行有效的預防和抑制嗎？能否在APT 攻擊生命周期的時間線軸上進行防御和治理呢？

“螺旋迭代”的立體化治理結構

亞信安全提出：“一個中心，四個過程”的“螺旋迭代”的APT治理模式，實現針對性極強的立體化治理結構。一個中心：是以監控為中心，實現威脅可視化、策略下發以及威脅情報共享，它是治理戰略的中控系統，貫穿整個治理周期的始終。四個過程分別是偵測、分析、響應和阻止。

1）偵測是治理戰略的神經系統，亞信安全深度威脅發現平臺（deep discovery，DD）產品平臺構成網絡神經中樞，亞信安全全線安全產品構成網絡神經元，用于檢測攻擊者所使用的傳統防御無法識別的惡意程序、通信及行為等威脅。

2）分析是治理戰略的取證分析系統，通過Deep Discovery Endpoint Sensor確認威脅是否發生，分析風險、攻擊和攻擊者的本質，回溯攻擊場景，評估威脅的影響和范圍。

3）響應是治理戰略的聯動治理系統，亞信安全管理平臺負責制定及分發治理策略，亞信安全全線安全產品及其他第三方安全產品負責執行補救措施，清除威脅，實施聯動保護，適應防護變化的要求。

4）阻止是治理戰略的預防系統,主要針對APT攻擊的第5階段和第6階段實施安全防御，通過數據發掘了解信息資產的分布，通過數據加密、防泄漏、應用控制、APT追蹤等技術，防止信息資產被非法訪問或外泄。

圖3 亞信安全APT治理戰略“雙回路”解決方案

“螺旋迭代”的APT治理模式與之對應的是亞信安全APT治理戰略“雙回路”解決方案。

1）本地威脅情報回路。以亞信安全深度威脅發現平臺為主的亞信安全全線產品不僅實現安全節點的全面覆蓋，具備已知威脅的攔截能力以及可疑威脅的偵測能力，最重要的是有別于基于傳統特征碼檢測的未知威脅發現以及聯動分析機制，所有安全節點偵測到的可疑對象都將提交至亞信安全深度威脅分析設備（DDAN），使用擴展的深度動態沙箱作進一步分析，用以確認新型威脅，并生成新型威脅特征：如文件Hash、IP、域、OpenIOC 以及C&C 黑名單等；DDAN 將新型威脅特征提交給Control Manager，Control Manager 通過策略將新型威脅特征下發到本地的網關、虛擬化、服務器以及終端等各個安全節點，以提高新型威脅的偵測和阻斷能力，并開啟新一輪的威脅偵測，實現本地威脅情報回路。

2）全球威脅情報回路：本地新型威脅特征也會提交給云端SPN，共享給亞信安全全球用戶使用。另外，通過部署在本地SPN 以及亞信安全云端SPN 的實時威脅情報共享機制，了解其他地方發現的相同C&C 惡意服務器或類似惡意軟件的攻擊，使得各個安全節點可以對C&C 惡意回連等APT 特征行為進行偵測和阻斷。

已有的APT治理成功案例可以證明，以亞信安全深度威脅發現平臺為神經中樞，以亞信安全全線安全產品為神經元的全方位偵測體系，可以充分利用云端及本地威脅特征偵測并阻止已知威脅，同時利用高級威脅掃描引擎偵測可疑威脅，并通過進一步分析和確認，最終通過Control Manager在本地和云端共享這些威脅特征，讓客戶不僅能夠檢測APT，還能對企業IT 進行聯動保護和智能修復，保護企業免受攻擊，消除APT對組織戰略發展的不利影響。實際上，本地和全球威脅情報“雙回路”的暢通，最終形成了可以支持APT 治理戰略落地的整體方案，這也是APT 攻擊威脅防御演化為威脅治理的“基本條件”。

多年之前，網絡安全軟件很難甄別攻擊是如何發生，但隨著信息安全技術的不斷創新，網絡攻擊正在得到有效攔截，黑客的進攻路徑也可以在最新的安全產品下顯露無疑。這些創新的網絡安全技術必將成為“網絡平安城市”的重要組成部分，為智慧城市、智慧中國護航。

強化城市級網絡空間態勢感知 亞信安全在行動

在建設智慧城市的過程中，我們建議相關管理部門最好能夠建立網絡威脅的預警防護體系以及城市一級的總體安全態勢監控，一旦發生安全威脅能夠及時進行處理。城市管理者還應該加強公眾網絡安全教育，讓公眾認識到網絡安全的嚴重威脅，并能在生活中主動強化安全防御意識。此外，智慧城市還應該建立網絡安全人才培養基地，為平安城市的構建提供充足的人才資源支撐。

從智慧城市的實踐來看，強化城市級網絡空間態勢感知至關重要，這要求智慧城市打造高效的公共安全服務平臺，能夠及時感知網絡安全威脅的變化，提供病毒木馬、釣魚詐騙、網絡安全預警、漏洞報告在內的安全情報，幫助政府單位、企業、個人應對安全風險。

亞信安全正在通過以云安全實驗室為核心的安全威脅情報搜集系統，來幫助政府強化網絡空間態勢能力。云安全實驗室整合了全球云安全資源以及完全本地化的安全服務，能提供及時的安全威脅響應服務。此外，亞信安全還與成都市政府等地方政府進行廣泛合作，通過建設高級威脅情報中心、培養網絡安全人才、強化公眾網絡安全教育、網絡安全聯合研究等措施，全面提升智慧城市的網絡安全防護能力。

童 寧

亞信安全業務發展及產品研發總經理.負責亞信安全TSG產品管理團隊，包括產品管理，業務發展以及產品研發管理。歷任趨勢科技中國研發中心項目經理、軟件測試總監、研發中心運營總監、全球產品維護資深總監、趨勢科技中國產品管理及市場發展總監，直接領導美國、德國、日本、中國臺灣，以及中國研發中心的產品維護研發團隊，對全球客戶進行服務；負責中國區銷售產品的市場戰略、營銷計劃、價格策略以及合作伙伴。2015年9月起，隨亞信安全收購趨勢科技中國，加入亞信安全。tongning@asiainfo-sec.com

Defense the Evolutionary of Cyber Threats to Build a Cyber Security of Smart City

Tong Ning