点亮零日攻击防御之光

network

点亮零日攻击防御之光
   2007-10-18 14:00:37




对零日攻击而言，主动防御技术似乎是最有效的武器。目前来看，主动防御技术的发展经历了很长的时间，但其实现仍较为复杂。对此，企业的IT人员需要对主动防御技术进行充分了解，以求获得安全体验。


威胁不容小视

根据9月份美国《Network World》和IDC开展的一项联合调查显示，在全球近300位企业CIO、CSO、IT负责人和网络管理员提交的结果中，有一半的人认为漏洞和由此引发的零日攻击是最大的安全问题。排在后面的则分别为黑客威胁、恶意软件和间谍软件。

此前IDC研究室主任Charles Kolodgy先生表示：零日攻击将给各种规模的企业带来重大安全隐患。如今，那些受利益驱动的攻击者们正不断制造出各种专用且复杂的恶意软件，为的就是在相应的漏洞补丁出现之前利用它们。

有意思的是，新华人寿集团的IT经理杜大军曾对零日攻击的问题进行过精辟的总结：零日攻击与人为因素是威胁被放大的源泉。他说，由于各种零日漏洞涉及了大量的人为因素，从而导致问题更加复杂化。对企业来说，用户的行为总是很难控制，而很多黑客正是利用了用户的判断失误实现自己的恶意行为。

对此，TippingPoint高级网络安全顾问李毅在接受采访时表示，针对零日攻击进行防御的最大挑战在于时间差。他认为，零日攻击就是黑客和安全厂商之间的一场竞跑，他们站在同一起跑线上，谁先冲到终点线，谁就赢得了比赛。如今的零日攻击已经从最初的几个月发展到几天，甚至几个小时。

而南车集团的安全专家杨奇军提醒国内用户要提高警惕。他说，很多发动零日攻击的黑客都对国内企业的IT计算环境非常了解：人手不足、工作繁重、企业的IT人员没有多余精力顾及频发的漏洞风险。这些因素使得国内企业缺乏积极防御零日攻击的手段，资源的不足客观上促使了国内零日攻击的发生数量远超国外。

从目前的情况看，越来越多的零日攻击已经和非法牟利捆绑在一起。就此问题，熊猫安全的CEO Jorge Dinares先生在接受本报独家专访时指出，当前的黑客习惯于进行不可见人的零日攻击：利用漏洞安装恶意软件，获取非法收益，而整个过程用户难以发觉。正是这种无察觉的感染导致了零日攻击的影响面不断扩大。据统计，目前即使大多数的计算机已经安装了一个防病毒工具，但是仍有25%的计算机被某种类型的零日攻击入侵。

对此，RSA公司中国区市场经理万军先生表示，随着各种计算机漏洞的不断出现，零日攻击的形势也在不断变化。从早先单一的单点逐渐发展到桌面型，随后慢慢过渡到网络型，甚至目前有向全网型发展的趋势。在这种复杂的形式下，对于零日攻击的防御手段也在不断进化。

主动防御出击

不难看出，通过传统的威胁判定方法难以对抗零日攻击的影响。事实上，无论是传统的反病毒软件还是网关安全产品，大都以病毒/威胁特征库来判断，识别攻击行为。当出现了一个新的病毒或者恶意程序，安全公司在收集到相关样本后提取特征码，并添加到特征库中去，更新之后，该公司的产品就有了对该病毒的防御能力。

但实际情况是，这种做法对威胁的防御是被动的。此前TippingPoint中国区业务总监贾泉海曾公开表示，对零日攻击的防御必须走“主动”之路。这里的“主动防御”并不是指一个单纯的产品，从宏观上说，它包含了一个全方位的技术体系，像协议异常检测、流量异常检测（Traffic anomaly）、漏洞检测、模式匹配、命令限制、系统伪装、报头过滤/拦截都是其中的代表技术。

据李毅介绍，主动防御中的协议异常检测技术规定了在一切正常的情况下，两个系统间该如何进行某种数据交换。目前来看，协议异常检测有助于在发生未知攻击和新攻击时进行检测，可用于修补基于特征签名系统（这些系统可使网络保持不安全状态，直到特征签名发布）中的固有漏洞。事实上，由于某些服务器不能有效处理异常流量，许多攻击会通过违反应用层协议，使黑客得以进行零日攻击，或者获得对服务器的访问权限。除处理违反协议的情况外，这种机制还可截获命令中的非法参数，阻止许多缓冲溢出攻击的发生。

而恶意软件要进行有效攻击，就必须进入计算机系统。这就意味着，恶意软件需夹带在能将其带入目标计算机的文件类型中。模式匹配技术可自动拦截通常会携带这些攻击的文件类型（缺省设置），可以阻止病毒文件进入网络，从而为企业和各机构避免网络安全的困扰。

另外，万军也认为，通过限制某些应用协议，比如通过阻止FTP站点命令和SMTP 调试命令等包含潜在威胁应用，可以抵御这一类型的所有零日攻击。而系统伪装可隐藏重要的服务器信息，使黑客无迹可循。例如，在SMTP中能伪装域名、隐藏邮件服务器类型和补丁级别，或去除信息ID和MIME边界串中的信息。这样，黑客就无法找到特定的服务器，无法将它们作为攻击目标，发起会破坏服务器正常运行的攻击。

此外，瑞星公司的技术负责人马杰表示，有一种攻击类型须创建畸形报头，以此发现不严谨的服务器配置。主动防御中的预防御保护机制可帮助企业阻止这种报头。除可针对各种零日攻击类型提供预防御保护外，这一功能还是基于企业安全政策决定的，因此不会造成误报的问题。

除了技术上的铺垫，主动防御还包括了一系列安全管理策略和理念。之前，Symantec的安全专家就曾表示，仅仅靠技术是无法解决网络安全问题的。应对零日攻击需要将主动防御技术部署在企业的组织结构之中，有些时候甚至要求安全厂商帮助用户建立或重整一套安全管理的流程，以满足对抗零日攻击的IT计算环境。

对此，Cisco曾在其应对零日攻击的技术白皮书中一针见血地指出，主动防御的宗旨是利用一系列技术手段对抗零日攻击造成的威胁。但反过来说，零日攻击本身也并非单点威胁。从近两年的情况看，零日攻击已经开始影响到整个企业网络的安全。

事实上，纵观整个企业网络的各个节点，都是由PC、服务器、网络设备所组成。因此，零日攻击的受害者自然也会分布到整个网络中去。换句话说，从网络入口、PC端点进行各个层次的防御，才是未来主动防御技术的突破口。毕竟PC是企业安全的末梢，在这里一样需要进行控制，因此，基于端点的主动防御将会是对抗零日攻击的另一个环节。

目前，像Cisco、Symantec、TippingPoint等公司已经提出了类似NAC的主动防御架构，为的就是从网络入口和网络端点双管齐下，通过确保网关和端点两地安全措施的完整来保护整个网络免受零日攻击的影响。

不过，杜大军也强调说，这样的主动防御架构对企业IT部门要求较高，而且所需要的投入也不小，要做到全面防御，并非一蹴而就的事情。目前来看，要实现这样的主动防御架构，一方面需要在网关处部署相应的主动防御设备，并应用一系列主动防御技术，力求减少从网络入口进入内网的未知安全隐患。另一方面，需要在网络节点接入网络时，对接入系统的安全状况及系统用户的身份进行充分的分析、评估、认证，以此确认该系统是否符合网络的内部安全策略，是否达标，最后再决定是否需要给予该网络节点系统的接入权限，还是拒绝接入或是安全升级后再接入。

network

网关防御入手

前面已说过，一个完整的主动防御架构包括了网关和桌面两个层次。其中，像Cisco、Symantec和TippingPoint都更  
加看好网关防御的效果。

对此，Cisco的安全专家指出，在各种零日攻击中，最常见的就是蠕虫攻击。像著名的Blaster蠕虫就会牵扯到网络安全的很多方面。在这种攻击首次发生时，现有的网络安全组件，如普通的网络入侵检测系统（NIDS）、主机入侵检测系统（HIDS）和防火墙，都可能无法识别攻击。因为很多这样的系统都依靠一个攻击特征数据库检测攻击，但是在某个新型攻击刚刚出现时，这个数据库并不能立即进行更新。这样，进入某个企业的攻击就可以在企业网络的专有侧大肆传播，导致这些安全设备无法发挥应有的作用。

美国《Network World》的安全编辑曾在专栏中提到，他发现在很多企业的安全管理人员读到SANS（专注于系统管理、审核、网络安全研究的协会）的报告之前，企业网络已经遭受了破坏，需要用很多天的时间进行修复。要解决制止零日攻击的难题，需要采用一种全新的网络安全管理方法。

对此，Cisco提出了实时安全威胁防御STM的方法。这种方法具有通过检测包含异常网络行为的事件发现零日攻击的功能（即使该行为并不处于监控网络的安全设备的特征库中）。事实上，STM可以发现攻击的来源，最重要的是，它可以找出制止攻击的位置和方法。

而TippingPoint的看法是，通过完善现有IPS的功能，实现网关的零日攻击防御。李毅表示，相对于被动防护的防火墙、旁路监听的IDS，IPS具有主动性和及时性的特点，预先对入侵活动和攻击性网络流量进行拦截，避免造成损失，因此，能够弥补深层防御和即时更新的不足。

据介绍，TippingPoint IPS基于“在线模式”，可以透明地部署到网络当中，对所有流经的流量进行深度分析与检测，实时阻断攻击，同时对正常流量的通过不产生任何影响。应该说，其理念的核心价值在于其提供的数字疫苗服务，也就是在第一时间内将基于新发现的安全漏洞开发出来的IPS安全过滤器和漏洞特征库，以数字疫苗的形式更新到在线运行的IPS设备中，从而使得用户的IPS设备在漏洞被发现的同时立刻具备防御零时差攻击的能力。

当然，仅仅这样还不够。李毅表示，IPS可以根据对象的行为进行判断，而并非仅仅依靠特征库。依靠基于FPGA的处理能力，IPS可以在很大程度上提高行为判断的性能，从而提高对于未知威胁的防御。事实上，不论是何种威胁，IPS只需要判断出某种行为是否会产生有害的结果，即可以采取行动。这样，可以从网关上降低零日攻击的影响。

与Cisco和TippingPoint不同的是，Symantec提出了利用一种协同方技术ManHunt来管理安全。Symantec ManHunt 可使用其混合检测体系结构发现恶意活动，实时识别网络入侵并对常见攻击和异常攻击作出迅速响应。

据悉，这种混合检测体系结构使用一组检测方法来有效检测攻击和准确识别攻击。它集成了协议异常检测、状态签名、事件细化、通信速率监控、IDS逃避处理、数据流策略冲突、IP 地址拆分重组以及自定义特征签名来收集恶意活动的证据。

桌面防御配合

除了网关层的主动防御，桌面层的主动防御也是非常关键的一环，而且竞争也非常激烈。目前在这一领域集中了反病毒、HIPS（主机型IPS）、中间类产品等多种类型。

不过可惜的是，许多安全产品都将其具有庞大的病毒库作为宣传的卖点。对此，万军解释说，依赖病毒库进行特征码检测的“零日防护”产品基本毫无意义。就算其病毒库再大，对“零日攻击”也是无能为力的。

目前来看，在此领域以特征值扫描和行为分析两大技术为代表。特征值扫描是目前国际上反病毒公司普遍采用的查毒技术。其核心是从病毒体中提取病毒特征值构成病毒特征库，杀毒软件将用户计算机中的文件或程序等目标与病毒特征库中的特征值逐一比对，判断该目标是否被病毒感染。

而行为分析则以程序行为自主分析判定法为理论基础，其关键是从反病毒领域普遍遵循的计算机病毒的定义出发，采用动态仿真技术，依据专家分析程序行为、判定程序性质的逻辑，模拟专家判定病毒的机理，实现对新病毒提前防御。

传统的反病毒软件都是由病毒特征库、反病毒引擎、监控模块三个部分组成。通过扫描，将系统中文件的特征码与其病毒特征库的特征码进行比对，如果特征码相符，则被判定为病毒，并通过杀毒引擎清除或删除。

network

HIPS也需要具备规则、监控、拦截三个模块。以EQ或中网为例，若某个程序在运行过程中触发了HIPS设定的某个规则，则HIPS会予以询问，并提示用户操作，而不论这个程  
序是否有害。即使正常的程序，也有可能被询问。

而中间产品则具有行为库、监控模块、拦截模块，同时外加一个包过滤墙，像微点就是此类产品的代表。所谓行为库，是由程序的连串行为构成，病毒通常具有类似的连串行为，比如释放驱动、改写注册表、释放系统文件、自启动等等，这类产品便是以这样的方式来判断攻击行为的。所以，某些单一的行为或者未知的行为，不论是有害还是无害，只要不触发行为库，便会被放行。

此外，还有一类特殊的HIPS，就是常说的“沙盘”，其中比较著名的就是DefenseWall。这类产品会虚拟一个环境，让未知攻击在虚拟的环境中发作。事实上，零日攻击并没有达到真正的目标，一切都是南柯一梦。所有的攻击行为都在虚拟环境中完成，不会真对系统构成威胁。

从实际的情况看，反病毒软件可以依靠病毒特征码，进行部分的事前防御。但对于一切系统所不知道的病毒或者因为加壳改变了代码的病毒均不会被识别。换句话说，其对于零日攻击的防御能力较弱。

而HIPS可以做到事前防御滴水不漏，但事事要求用户决定是否放行。对于零日攻击来说，如果用户基础知识不足，错误放行，那么攻击将会侵入系统。另外，HIPS没有查杀能力，也许可以继续拦截攻击的行为，但不能围剿病毒本身，更不能修复被感染的文件。

中间产品的事前防御根据病毒行为库判定，并不会对所有单一行为报警，只有当连串行为构成危险并触发其行为库的时候，系统才会报警。但如果某种程序的连串行为不在系统的行为库之内，即系统无法识别这种行为是否有害时，系统也会被入侵。同样，此类产品不具备查杀能力，最多只能拦截零日攻击的部分行为。

另外，为了克服传统特征值扫描的弊端，一些安全厂商开始加入启发式行为检测技术。据ESET的安全专家介绍，这种技术能够分析应用软件的执行过程来判断是否存在恶意企图。如果一个新出现的病毒B和已知的病毒A有类似的行为，系统就能自动判定这个病毒B是已知病毒A的变种，在病毒库更新之前就能对其进行有效侦测并拦截，从而在一定程度上消除了零日攻击的威胁。

目前来看，NOD32、Dr.Web、McAfee、VBA32等都采用了启发式行为检测技术，从而可以较好地应对零日攻击的威胁。不过限于系统性能有限，所有的启发式杀毒引擎必须要在速度和效率上找平衡，这也是当前所有采用启发杀毒技术的杀毒软件的无奈。

最后，对于主动防御的两个层次，李毅总结说，从技术的角度来看，防火墙、IPS、客户端代理、反病毒系统等，这些产品和技术如果能够得到最佳实施，可以最大限度地保护用户资源和抵御网络攻击。但从实际的角度讲，最重要的因素是非技术的，即企业要建立明确的企业信息安全策略和安全危机应对方案，并贯彻到每个员工。在安全防御战斗中，人永远是最重要却又是最薄弱的一环。

相关链接一

主动防御类产品一览

■ Cisco ASA 5500

Cisco ASA 5500系列IPS版在一个易于部署的平台中提供防火墙、应用安全性和入侵防御功能，将防火墙技术的功能和稳定性，与IPS技术的高级检查功能有机地结合在一起，防止各机构的服务器和基础设施遭受攻击。

■ ESET NOD32

NOD32 拥有一个高度优化的引擎，担任统一的安全保护，防止病毒、蠕虫、间谍程序的恶意攻击，并且在不断的更新。此外，NOD32拥有先进的ThreatSense技术，这种基于虚拟机的启发式杀毒技术可以有效侦测未知的病毒。NOD32的ThreatSense技术，对于未知病毒的侦测准备率高达70%～90%

■ Symantec ManHunt 3.0

Symantec ManHunt 3.0可使用其混合检测体系结构发现恶意活动、实时识别网络入侵并对常见攻击和异常攻击作出迅速响应。这种混合检测体系结构使用一组检测方法来有效检测攻击和准确识别攻击。

■ TippingPoint X505

TippingPoint X505具有全面的入侵防御系统，不断地清理网络，使其不受诸如蠕虫、病毒、木马、网络钓鱼的尝试、间谍软件、网络电话VoIP威胁以及其他恶意网络流量的侵害。为了确保实时的保护，TippingPoint数字疫苗安全团队不断地开发出新的攻击过滤器，以预先防护新的零日攻击漏洞的被利用。

■ 东方微点主动防御套件

微点的主动防御套件以行为杀毒技术为基础，依靠分布在操作系统的众多探针，动态监视所运行程序调用各种应用编程接口（API）的动作，自动分析程序动作之间的逻辑关系，自动判定程序行为的合法性。

network

相关链接二

关注：漏洞扫描与补丁管理

从零日防御的角度讲，最有效的技术非主动防御莫数。但零日攻击的出现也在于漏洞扫描工具无法及时  
发现漏洞并为系统打上补丁。因此，对于企业来说，要做到完整的零日防御，对这两方面也不能忽视。

根据工作模式，漏洞扫描分为主机漏洞扫描和网络漏洞扫描。前者基于主机，通过在主机本地的代理程序对系统配置、注册表、系统日志、文件系统或数据库活动进行监视扫描，搜集它们的信息，然后与系统的漏洞库进行比较，如果满足匹配条件，则认为安全漏洞存在。后者基于网络，通过远程检测目标主机TCP/IP不同端口的服务，记录目标给予的应答来搜集目标主机上的各种信息，然后与系统的漏洞库进行匹配，如果满足匹配条件，则认为安全漏洞存在。

漏洞扫描通常以三种形式出现：单一的扫描软件、基于CS或BS模式、其他安全产品的组件。

相对于扫描，补丁管理是IT人员应对零日攻击的好帮手，它可以简化IT人员工作强度。目前主流的自动补丁管理方案通常分为两类：独立的补丁管理工具和集成在企业管理系统中的补丁管理工具。

独立的管理工具包括BigFix、微软在内的众多独立软件厂商都提供功能丰富的补丁管理工具。不过，大多数产品缺乏与企业管理系统的有效集成，游离在网管系统框架之外。而集成的管理工具则是在相应的软件产品中加入补丁管理的功能，比如常见的在企业管理产品中集成补丁管理模块，并通过对软件本身的维护对其进行升级。

应该说，这两类方案各有优缺点，企业的IT人员可以结合自身的实际需求、网络环境来进行选择。

相关链接三

安全防御之自我检查

从目前的情况看，不论是对大企业还是中小企业，零日攻击的威胁都是公平的。对当前的国内用户而言，对抗零日攻击并非一蹴而就，因为其中涉及了太多理念、资源调配、技术手段的方方面面。

不过，企业自身对待零日攻击的态度与防御警惕性仍然不能降低。为此，记者特别与一些国内外著名安全企业的技术专家进行了交流，总结出八点经验，供企业用户日常自我检查之用。需要指出的是，这些经验可以算是企业应对零日攻击的一个参考，但如果需要进行全面防御，部署主动防御架构仍旧是最佳选择。

第一，是否能够在网络病毒攻击前取得警告信息。

第二，企业有没有精准的方法预防病毒爆发。

第三，企业是在网络层扫描数据包时进行病毒筛查，还是非要等到病毒兵临城下时才在应用层加以扫描。

第四，企业能否找到其中哪一台机器是感染源，是否有能力远程清除受感染的机器。

第五，补丁程序的安装能否赶上随漏洞而来的病毒速度。

第六，企业能否判定自身网络中的脆弱环节。

第七，企业能否在网络攻击的第一时间内，将易受攻击的装置加以隔离。

第八，在网络病毒爆发前，企业是否有过由于时间因素或是对补丁程序无法100％信任而没有将补丁程序安装在所有机器上的情况。

前三个问题主要是判断企业自身业务与零日攻击的关系是否能够理清。而后五点则是判断导致零日攻击的漏洞是否会让企业网络的边界出现安全隐患。