安全威脅對抗進入新的階段

一、 安全威脅對抗進入新的階段
1.1 威脅：四面圍城
從整體上看，當前的安全威脅呈現出四個方面的演進趨勢，可稱之為四面圍城：
第一，***面不斷擴大。從傳統IT的基礎設施擴展到供應鏈、工控、云以及BYOD和IoT設備。
第二，***成本不斷降低。在2015年5月27日發布的報告 中披露了越方針對我方的***，其特點是使用了美方所生產的商用***平臺Cobalt Strike。本次WannaCry事件和偽裝成勒索蠕蟲的“必加”事件，所采用的都是美國NSA在2017年4月14日被“影子經紀人”披露的軍火級的漏洞。
第三，***支撐點不斷增加。黑產大數據當前已經成為一個地下的情報體系，僵尸網絡提供了大量的僵尸節點，同時比特幣又提供了一種新的不可追溯的牟利方式。
第四，***方式不斷立體。過去，簡單的在網絡上達成進出的***正在演變成立體的***，比如，在“烏克蘭停電事件”中，其作業方式實際上是由線上的惡意代碼***與線下的對應急電話的DDoS***組合構成的。包括我們所看到的大量針對前置供應鏈的預制，以及有人帶入和傳統電磁的手段。
在此情況下，單點的安全產品均不能應對全面的安全問題，因此，更需要全面建設系統性的態勢感知能力。但在傳統的態勢感知中存在大量的top或者“地圖炮”的情況，且一些人仍以產品防御了多少億次的***作為衡量。如果在DDoS時代和蠕蟲時代，事件的傳播次數或者***次數是事件強度的度量衡，那么在APT這種高隱蔽性的***下，這種統計是完全沒有意義的，正如在2016年5月25日總書記所說的“易于看見的***往往不是更高風險的威脅，更高風險的威脅往往是難以被看到的***”。
1.2 傳統的對抗
從另一角度來看，***和安全手段之間的對抗也進入到了一個新的歷史階段。對于傳統的對抗可以概括成三類：
第二，***成本不斷降低。在2015年5月27日發布的報告中披露了越方針對我方的***，其特點是使用了美方所生產的商用***平臺Cobalt Strike。本次WannaCry事件和偽裝成勒索蠕蟲的“必加”事件，所采用的都是美國NSA在2017年4月14日被“影子經紀人”披露的軍火級的漏洞。第一類是對載荷檢測的對抗，主要是對傳統檢測引擎歸一化機制的穿透。
第二類是對主機系統的場景對抗，我們將其稱為Rootkit，當然其也演變出了BIOSkit或Bootkit等，其核心就是使***載荷無法被安全產品的IO能力獲取，從而無法進入到產品的內部循環中。
第三類是網絡側的逃逸技術。是通過各種加密、編碼、偽裝、夾帶等方式來對抗相應的感知和分析手段。
1.3 對能力點和能力閉環的***
總體來看，傳統的對抗還是單點對抗，所對應的是安全產品內建的從IO到檢測，再到處置的循環，以免殺、隱蔽、逃逸、對抗作為其基礎***點。
目前，該***已經演變成了一種體系性的***，不僅可以***“IO→檢測→處置”的小閉環，還能***安全廠商和其產品之間的大閉環。首先，各種產品本身是可以被***方獲取來進行相關模擬測試的，包括搭建相應的場景；其次，無論是安全廠商向客戶的能力發布，還是客戶向安全廠商的感知上行，本身都是可以被干擾的。此外，類似Duqu2.0（毒曲）***卡巴斯基的事件說明了安全廠商也是高級威脅的直接目標，而且安全廠商每日所接收的大量數據中也存在大量的干擾。
1.4 ***裝備針對主動防御、物理隔離等的穿透
可以看到，高等級***者的穿透是有機理性質的，并非簡單的一對一的特征免殺對抗，而是針對主動防御機制基于行為特性加權的弱點展開的。比如，美方將其主機作業拆解為原子化作業，使其任意模塊都無法構成告警；***者采用專用的投放硬件設備達成***的注入和信息的回傳，這就繞開了網絡內的監測場景（后端具有***平臺的支撐）。
1.5 ***者的感知覆蓋和能力前出
實際上，在防御方具有態勢感知的情況下，***者也具有態勢感知。根據斯諾登泄露的文檔可以看到，自2007年起，NSA開始制定CamberDaDa計劃，其所關注的目標包括俄羅斯國防產品出口公司等。該計劃如何保證對***目標的***有效性？實際上是利用了其已經在俄方電信體系中建立的持久化節點去關注***目標和卡巴斯基之間的通訊，當***目標向卡巴斯基的告警中含有美方的樣本或者***信息時，則認為***已經暴露；當在告警中含有第三方樣本時，美方則會嘗試第三方樣本是否可以被二次利用。
1.6 網絡靶場——防御能力的搭建和模擬
同時，目前廣泛使用的網絡靶場技術，使得傳統的對殺毒軟件進行免殺處理或者對單一安全產品進行穿透的方法變成了模擬防御方的整個防御體系，從而研究如何有效繞過防御方體系的方法。
1.7 建立應對安全問題的有效“敵情想定”
在***方系統性的能力演進的情況下，如果仍采用傳統的“物理隔離+好人假定+規則推演”的思路去思考安全問題，將構成當前最大的自我安全麻痹，因此，無論是研發態勢感知還是具體的安全產品，都需要建立在有效的“敵情想定”的基礎上。總書記在4.19講話中也明確告誡我們“物理隔離防線可以被跨網***”，使用單一產品保安全的思路已經過時了。