CCAR-21部

©2015绿盟科技www.nsfocus.comnsfocus.comwww.nsfocus.comnsfocus.com基于大数据和海量数据挖掘的攻击溯源技术绿盟科技资深安全顾问肖岩军1.网络安全事关国家安全2.发达国家如何进行态势感知预警溯源3.团队态势感知、预警、溯源的成果–已知威胁的感知溯源–僵木蠕感知–APT攻击态势感知–DDOS态势感知4.绿盟大数据网络溯源系统–APT未知威胁的感知溯源5.结语目录网络空间安全-国家安全•党的十八大报告指出：世界仍然很不安宁。……，粮食安全、能源资源安全、网络安全等全球性问题更加突出。•党的十八大报告要求：建设下一代信息基础设施，发展现代信息技术产业体系，健全信息安全保障体系，推进信息网络技术广泛运用。……高度关注海洋、太空、网络空间安全。党的十八大报告•习近平总书记提出：•“一观一路”，即“总体国家安全观”和“中国特色国家安全道路”。•“要构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。”中央国家安全委员会成立•2014年2月27日，中央网络安全和信息化领导小组成立。•该领导小组将着眼国家安全和长远发展，统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题，研究制定网络安全和信息化发展战略、宏观规划和重大政策，推动国家网络安全和信息化法治建设，不断增强安全保障能力。中央网络安全和信息化领导小组成立•2015年7月1日，第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近平签署第29号主席令予以公布。构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。以法律形式确立总体国家安全观。共7章84条，自2015年7月1日起施行。清华大学法学院院长王振民评论说，这部法第一次明确了‘网络空间主权’这一概念，这可以理解为国家主权在网络空间的体现、延伸和反映。从这个法的内容可以看出，国家针对建设网络与信息安全保障体系，加强安全情报收集处置，建立风险预警，以及基础设施供应链管理准入方面针对网络安全做了强制要求和增强。国家安全法•7月6日起在中国人大网上全文公布，并向社会公开征求意见。草案强调，国家坚持网络安全与信息化发展并重，遵循积极利用、科学发展、依法管理、确保安全的方针，推进网络基础设施建设，鼓励网络技术创新和应用，建立健全网络安全保障体系，提高网络安全保护能力。网络安全法草案•2011年7月首次发布网络安全战略报告，将网络空间确定为继陆、海、空、宇宙空间之后的新的第五个战场。国防部宣布，美国政府和相关设施遭受网络攻击时，不排除实施军事报复的可能性。据说美军已经发展了1000多种网络武器，该战略提出了21世纪的一种新的战争方式，主要针对中国和北朝鲜。•2013年5月23日，美国国防部23日发布了一项网络战争新战略，首次明确讨论了美国在何种情况下，可以使用网络武器来对付攻击者，并且还列出了美国自认为威胁最大的国家：中国、俄罗斯、伊朗和朝鲜等。为了实现以上目标，美国防部决定大力投资网络能力建设，组建一支包括１３３个小组的网军。美国网络战争的整体行动能力，包括宣示政策、预警能力、防卫部署、反应程序以及美国网络与系统恢复能力等，将阻止那些损害美国利益的网络攻击。网络武器禁运电影的场景•恐怖分子托马斯和他的女友梅，他们都曾是美国政府的特工，准备利用黑客技术，在美国独立日当天让全美国的计算机系统集体瘫痪。•他们瘫痪了华盛顿特区的交通系统（交通），进一步瘫痪纽约股票市场(金融)，全国因此陷入混乱。•接下来要针对民生部分下手，前往西维吉尼亚发电厂。从而达到他们控制全球的阴谋。•据《纽约时报》等美国媒体报道，美国当局起诉一名中国商人，称其通过黑客手段2009年到2013年间成功从波音和洛克希德·马丁公司的网络，窃取了包括F-22、F-35战斗机和C-17运输机等先进机型图纸在内的65个G的军事项目资料。•2014年7月10日中国外交部发言人洪磊在例行记者会上说，中国政府一直强调，中方坚决反对网络黑客攻击行动。这样的报道和评论是不负责任的，也不值一驳。•2014年6月10日外交部发言人华春莹主持例行记者会，说：我对美方这种贼喊捉贼的做法很不以为然。众所周知，斯诺登案发生以后，大量披露和曝光的事实已经明白无误地表明，美国政府和其相关部门长期以来对包括中国在内的很多外国政要、个人和企业进行了大规模、有组织的网络窃密和监听监控活动，甚至达到了无孔不入、无所不用其极的地步。美国不必把自己装扮成受害者，它自己就是“黑客帝国”，这是地球人都知道的事实。美方不思反省，不思检点，反而仍在无理指责和攻击别国，这样的做法不具任何建设性。美起诉中国商人盗取战机机密中方曾多次驳黑客论1.网络安全事关国家安全2.发达国家如何进行态势感知预警溯源3.团队态势感知、预警、溯源的成果–已知威胁的感知溯源–僵木蠕感知–APT攻击态势感知–DDOS态势感知4.绿盟大数据网络溯源系统–APT未知威胁的感知溯源5.结语目录•2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术（RSA的根证书）及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击，重要资料被窃取。•据《纽约时报》等美国媒体报道，美国当局起诉一名中国商人，称其通过黑客手段2009年到2013年间成功从波音和洛克希德·马丁公司的网络，窃取了包括F-22、F-35战斗机和C-17运输机等先进机型图纸在内的65个G的军事项目资料。我们分析这个65G数据就是溯源来的。据说美国政府提供的证据已经溯源到上海电信的那个路由器那个端口。国家级APT高级持续性威胁-如何发现，如何溯源•Cross-AgencyPriorityGoalonCybersecurity.•跨联邦部门的网络安全优先目标项目•形成3个优先能力帮我们知道•那些数据和信息进出联邦网络。•那些电脑和设备在联邦网络中使用。•谁在使用联邦网络。目标•可信互联网连接（TIC）•巩固外部互联网流量和确保一套情境意识的通用安全功能，并加强监测。•持续监控联邦信息系统（ISCM）•将传统静态安全控制评估和授权过程变成一个动态的全企业风险管理过程的一个组成部分。此更改允许各部门和机构保持不断接近实时提高认识和信息安全风险评估，并迅速作出反应，以支持组织的风险管理决策。•强身份验证（PIV）•确保只有获授权的雇员获得联邦信息系统所需要的保证之后的总统令12个人身份核查标准更高的水平。组成美国2013财年的网络安全重点FISMAFISMA2.0爱因斯坦1,2,3联邦桌面计算机核心构造(FDCC)国家漏洞数据库重要的配置管理脆弱性发现标准2004年2002年国家网络靶场可信互联网接入持续监控ISCM强身份验证（PIV）2004年2010年•基于流的统计分析技术，2004年启动,通过分析网络的流量信息查找可能的恶意活动，采用政府网络出口路由器的netflow技术实现。爱因斯坦1•基于特征的入侵检测系统。可以通过分析网络的流量信息来查找以发现非授权的访问和恶意的内容，这是通过对进出美国政府网络的流量自动进行全封包检查来实现的。当联邦网络流量中出现恶意或可能有害的活动时，爱因斯坦2能够向US-CERT提供实时报警，并对导出数据提供关联和可视化能力。爱因斯坦2•基于威胁的决策系统。采用商业技术和专门为政府开发的技术来对进出行政机关网络的流量实施实时的全封包检查，目标是发现恶意的网络流量并对其进行特征化表示，以增强网络安全分析、态势感知和安全响应能力。由于采用的入侵防御系统支持动态防御，它能在网络威胁造成损害之前对其自动检测并正确响应。爱因斯坦3还为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力。国土安全部将采纳国家安全局通过外国情报工作以及国防部在信息保障工作中发现的威胁特征，以支持国土安全部的联邦系统安全。爱因斯坦3美国的网络核武器---爱因斯坦计划•爱因斯坦奠定了国家级的安全防护体系的基础架构，DPI+DFI+态势感知（基于威胁的决策系统），为美国奠定了态势感知追踪溯源的基础。•“爱因斯坦计划”于2009年初正式更名为“全面的国家网络安全行动（CNCI）”，其职能和功能得到进一步的提升和强化。被美国一些媒体称为信息安全的“曼哈顿计划”。•2013年，国土安全部和跨部门的小组开发了面向移动计算和云架构的TIC2.1相关架构。美国的爱因斯坦用netflow进行流量分析，并溯源。可信互联网连接（TIC）通过MPLSVPN将各个部门连起来部署了安全技术手段部署了Soc爱因斯坦专用设备洛克希德马丁公司网络查杀链CyberKillChain方法阶段描述检测拒绝中断降级欺骗摧毁侦察对目标进行研究，识别和选择，典型的方法往往用爬行互联网网站，收集如会议记录、电子邮件地址、社会关系，或用特殊技术收集的信息。web分析防火墙acl改装武器将利用漏洞的远程访问木马植入可交付载体，典型用自动化的工具来进行改装。越来越多的客户端应用数据文件如果PDF文件或者office文件担当了攻击工具载体。NIDSNIPS交货该武器传输到目标环境。由洛克希德马丁公司的计算机事件响应小组（lm-cirt）2004-2010年来观测。APT攻击者使用的三个最流行的武器封装交付载体，是电子邮件附件，网站，和U盘。用户警惕代理过滤网络防病毒排队利用这些武器传送到受害者主机后，溢出攻击触发入侵者的代码。大多数情况下，溢出攻击目标为应用程序或操作系统的漏洞，但它可能也更加简单地利用用户自己或利用操作系统的功能，自动执行的代码。HIDS补丁DEP数据执行保护安装在受害者系统安装远程访问木马或者后门，从允许在对手环境里来保持持续性活动HIDS根目录变更限制防病毒命令和控制典型的，受控主机必须建立航标向互联网控制服务器来建立C&C命令和控制信道。APT恶意软件尤其需要人工交互而不是自动进行的活动。一旦C&C信道建立，入侵者拥有“键盘上的手”来访问内部目标环境。NIDS防火墙aclNIPSTarpitDNS重定向在目标行动现在，经过上述的6个阶段后，入侵者可以采取行动来达到他们的本来目的。典型，这些目标是将收集的资料汇总、加密和压缩数据以便于从受害环境中进行数据泄露。妨碍数据的完整性和可用性也是潜在的目标。或者，入侵者可能只希望访问初始受害者主机作为一个跳板攻击更多的系统和网络内部使用进行横向移动。日志审计高质量的服务蜜罐NASA通过持续监控的方法挫败了针对其的APT攻击黑客首先攻击了RSA，获取NASA的RSA的根证书。开始APT攻击NASA美国国家航空航天局，但是黑客还需要一个重要的个人因子（个人pin码）没有获取。此时RSA发现被攻击后，不得已向联邦政府进行了汇报，联邦政府立刻发布相关预警，于是NASA接受到预警后，派在大数据方面最有经验的地球观测系统（EOS）安全小组进行监控，EOS小组采用Splunk进行分析，成功的阻断了攻击，因此，美国的绩效监督管理中心为表彰美国航空航天局的网络防御成功，将其作为信息安全连续监测（ISCM）的一个联邦网络安全最佳实践予以确认，并给予资金和研究方面的资助，并将成果公开。1、领导能力。OMB和NASA高级IT安全官员给了NASAEOS安全小组重要的授权。2、人和软件能力。有效的持续监控需要复合NISTSP800-53技术控制点要求的人力资源和软件3、实时监视和分析。IT安全专家能够持续不断的监控和分析多源安全日志是不可替代的。NASA开始承认他们以前的风险管理策略“等待”事件发生，如果发现，就高效的响应，然后重复。这通常意味着NASA的反应“非常缓慢，而且几乎总是在发生入侵，数据或系统完全破坏之后。”此外，APT的0day攻击使得持续风险管理策略根本没有起作用，因此，数据、信息和系统的在风险面前不断的退让。在2010年，美国颁布fis