中国IDC圈1月7日报道,1月5-7日,第十届中国IDC产业年度大典(IDCC2015)在北京国家会议中心隆重召开。本次大会由中国信息通信研究院、云计算发展与政策论坛、数据中心联盟指导,中国IDC产业年度大典组委会主办,中国IDC圈承办,并受到诸多媒体的大力支持。
中国IDC产业年度大典作为国内云计算和数据中心领域规模大、具影响力的标志性盛会,之前已成功举办过九届,在本届大会无论是规格还是规模都"更上一层楼",引来现场人员爆满,影响力全面覆盖数据中心、互联网、云计算、大数据等多个领域。
阳朔国旅集团总经理冰血封情出席IDCC2015大会并在大数据应用与安全技术论坛发表主题为《APT在互联网犯罪中的历史形态及应对建议》的精彩演讲。
阳朔国旅集团总经理冰血封情
以下为冰血封情演讲实录:
大家好,我是冰雪,我很少在这样的场合跟大家见面,通知我做这个议题的时候时间不是太充裕,今天跟大家讲APT在互联网犯罪中的历史形态及其应对建议。应对建议跟各个安全厂商不大一样,我们从攻击者的角度来考虑。
关于APT,我们称呼的APT叫做高持续性威胁,我们认为它有三个特点,第一是隐蔽性,要求持续深入对目标进行深层的监控及信息数据窃取,受害人所有数据都可能是攻击者的目标,不管是图片、音频、视频还是文字,一切存储设备都可能是他的攻击目标。第二是针对性。APT之所以很难防御,是因为它是量身为你定制的,你的杀毒软件再厉害,我是根据体的杀毒软件做的免杀处理,我是针对你的电脑跟你量身定制一个没法防御的东西,这个是APT大的特点之一。第三点是综合性,针对海量的信息利用,他要针对你必须要先了解你,要充分通过信息渠道获取手段把你的生活作息、使用器官都了解清楚,搜集你所有的信息,为你量身定植破解的数据库。
最早还没有APT概念的时候,对于我们黑客来说它就是内网渗透中的一个关键环节,我拿到一个权限之后,我要对它的内网进行数据的检索甚至是窃取,首先最重要的就是要对你的内网进行整个编译。传统四段手法是分析、打点、渗透和控守。渗透是对内网、对服务器、对公司大的虚拟网络进行渗透。渗透完了之后控守,这是APT攻击的大特点,控守的关键是会持续的悄无声息地对更新的数据进行窃取,传统的四段手法是这样的。量身大枣,针对性免杀突破防御,定制开发,白盒测试,社会工程学欺骗,物理侵入等。国内也有做物理侵入的团队,到你们公司里对你们的电话线、网线进行掐线,给你们公司的网络接上一个WiFi他再回去侵入。主要工具是加密跳板、堡垒机、下载、前锋、控守、硬件植入、隔离摆渡等。下载者的目的,如果要在一个电脑上种上一个很大的程序,一两M的程序都很大了,下载者一般控制在几十K、十几K之内。攻击目标的时候,我们找到了一个IE浏览器漏洞,设法让你浏览这个网页的时候,前锋码的目的是第一时间把你的系统变异一遍。控守码是很少使用的,只有发现重点目标有价值会在里面种控守码。隔离摆渡针对安全性较差的服务器,他不上网,有种程序专门针对不上网的电脑。
APT渗透的核心原则是减少体积,提高效率,长期控制。对目标网络日常通信影响最小化,最小化是你完全没有感受到有一个人天天看着你,如果他的程序大,他的执行效率低会影响系统性能,这个很关键,一定要影响最小化,不能打草惊蛇,我说的都是攻击者的想法。
现在说历史,在中国网络安全初时代,APT是怎样的形式。中国网络安全初代是改革开放初期到千禧年之前,这技术技术比较单轨,互联网在中国开始蓬勃发展,黑客技术掌握在极少数人手中,一个小群体中大家相互交流。缺乏网络安全概念普及,老百姓不知道,他们只会上网,在网络上做简单的聊天交流,从来没有想到安全威胁对他的电脑甚至人生产生很大的影响。缺乏技术多极化并行制约,技术掌握在少数人手里,少数人在互联网上说了算,没有并行制约。运维单纯,网站管理人员缺乏网络安全意识,显著目标也很少遭到残酷打击,中国互联网处于淳朴的和谐共享开放状态,这个时候对技术人员来说是很怀念的,那时候大家没有任何私心,共享技术,提高也很快。手段单一,单漏洞横行吃遍天下,都是简单粗暴低级的漏洞。支持单薄,国内专业安全公司极少,行业难以提供整合式的安全服务,需教育客户认知安全拓展业务困难。
国内互联网犯罪处于学习阶段,境外国家和地区的互联网犯罪已经逐步影响境内,到千禧年前国内已经开始出现有组织的互联网黑产和灰产。我解释一下黑产和灰产,黑产是互联网犯罪,赤裸裸的犯罪,是明摆着的就是诈骗,灰产就是既不犯法也不合法,或者是不触犯所在国法律的一种犯罪行为。APT在这个时期的形态,已经长期存在掌握在少数黑客泰斗手中。互联网淳朴状态致使互联网犯罪成本低。APT极少应用于这个时期的互联网犯罪。在高级黑客常规活动中,他们入侵安全性较高的网络,一直用此手法,就像暗网一直存在,APT不是新话题,只是今天赋其名字,给他光环。
第二个时期是互联网犯罪萌生和发展期。萌生发展期是千禧年之后的八到十年间。这个时候技术开始普及了,国内互联网上各种网络安全技术交流和安全社区蓬勃发展人才池形成。特点是深入浅出,大量优秀的信息安全研究团队相互碰撞并促进安全商业化发展。各种各样的安全团队开始交流,整个安全行业向前快速发展,这个时候已经有资本侵入了。因为开始有蓬勃发展了,这个行业开始嗅到现金的味道,商业化感染黑客给APT技术在互联网犯罪中运用以谋取暴利机会。沟通密切,国际技术交流频繁互联网犯罪团体和国内的不法商人勾结日益密切。资本侵入是双刃剑,有利有弊,安全领域催生大量襁褓中优秀的新生代企业,开放公益的互联网生态遭到赏金和资本的破坏。当技术共享触犯灰色产业的利益时即遭到恶毒攻击反扑。2005年末开始2010年中这种形势状态达到顶峰。
互联网犯罪形势,APT技术手法逐渐公开趋向完善,传统的漏洞已经被扫光了,开始有新的突破。APT开始广泛应用到互联网犯罪领域,与灰色产业成鱼水之势,这是很严重的时期。灰色产业蔓延的后果是使大量的不法商人开始在互联网寻求黑客合作。他在公司几千块钱,出来给人干几万块钱,他就没办法好好干了,他想出去挣钱了。灰色产业的存在已经严重影响到安全人才的转化输出,不管是专业的要使用的人才还是第三方公司要使用人才,都受到了影响。
第三个时期是泛滥与急刹。时期是2010年开始到2013年,态势恶化,互联网犯罪和灰色产业境内外勾结,黄赌和诈骗类尤其明显。各行业网络安全事件频发上升趋势更为明显,互联网犯罪和灰色产业已经成为安全进步的巨大逆流。加强打击,对互联网犯罪的打击逐年加大力度,大量典型案例侦破并公诸天下。
有几个特点,收效显著,迫使互联网犯罪得到有效控制,大量团伙转型侧重境内外勾结的灰色产业。灰色产业不合法也不触犯所在国法律的边缘。触犯法律量刑难或法条不足。交易特点,暗网也就是网络黑市、比特币、地下钱庄、赌场冲抵、第三方支付等。反恐局势,APT攻击大量被应用于灰色产业,赏金猎手为了巨额诱惑甚至不惜与类似的ISIS这样的魔鬼交易。一定程度上边缘的灰色产业已经开始影响到国家安全,黑帽SEO有个特点,做黑帽SEO的人到境外做,深入政府网站、高校网站,这些网站权重高,通过黑帽的手段把它的权重引到它的灰色产业网站上来,但他们通常做的权重高的网站有一部分政府网站很可能落到国外政府网站上。一种新型的网络恐怖主义就诞生了,前段时间我在朋友圈看到了网上的软绑架,交易服务开始与恐怖接轨。
现在是网络安全中兴盛世新纪元。2004年至今,国家政策扶持,十二五规划中的重点电子商务电子政务安全问题凸显。国际网络安全合作期,针对国际互连网犯罪和网络恐怖主义国际联手合作打击。新生代网络安全企业,新模式和新架构的网络安全企业得到催生和蓬勃发展。全民网络安全的培养,安全公司和高校培训机构等的网络安全普及教育媒体宣传。整体深化网络安全带,互联网犯罪、商业间谍、隐私管控、反恐、舆情等立体式净网。灰色产业转为更为深刻的APT技术运用。灰色产业的目标不再是简单的公司,都是世界一流的公司,你们可能听过安全专家的意见,我的总结是根据我们作为一线渗透者、一线攻击的人总结出来的防护,我不会像安全公司做防护,我也没办法给你提供具体的完整的解决方案,但我告诉你我是怎么攻击的,哪些环节是我攻击的要点。
大量措施可以查资料,传统安全体系,杀毒软件和软硬墙和密码等的设置和更新,尽管都是马后炮也要做。指令重复确认,非面对面请求均更换通信重复核实对方身份,有效防止欺骗。第三是重要数据要物理隔离,保密数据非对称加密物理隔离存储尤忌云。严格交换审计,针对保密数据的交换设备要严格区分定期检查,U盘不混,刻录盘片。移动设备禁入,保密数据的物理隔离内网对一切移动设备禁入,笔记本、手机等。互访加密代理,允许访问公网的机、内对外、内对内都上加密VPN,大部分控守马。定期安全检查,聘请专业的第三方安全公司定期对自身做白盒安全审计。
APT技术其实早期主要应用于政治军事对抗,而后开始金属商业领域,进儿接触互联网犯罪,衍生入灰色产业链,通过暗网接轨国际犯罪组织,当前的态势已在互联网黑市形成规模甚至与恐怖组织合作,渐成独特的互联网恐怖主义。APT从一种网络安全里的高级技术供防手段,变成与魔鬼做交易的筹码。APT攻击的前世今生,是充满了魔幻色彩的,暗网的曝光也必然逐渐会让APT为众人熟知,供防技术的公开是为了对一个事物进行了解并更好的驾驭。APT在互联网犯罪理的应用精细已可权衡军事政治应用,甚至超越之。
我的演讲完了,谢谢大家。