您现在的位置是:首页 > 特别推荐 >

中关村实验室首席科学家云晓春:强化APT防御 需打通数据壁垒 加强技术攻关

2024-04-22 09:59:02作者:路沙来源:中国信息化周报

摘要在日前召开的智见·破镜—网络安全运营实战大会上,中关村实验室首席科学家云晓春带来了“APT防御关键技术及应用探讨”的主题演讲。云晓春表示,随着我国互联网技术的普及应用,经济、社会等方面对其依赖性越来越大。与此同时,网络空间持续遭到来自境外APT攻击,国家网络安全受到严重的威胁。...

  在日前召开的智见·破镜—网络安全运营实战大会上,中关村实验室首席科学家云晓春带来了“APT防御关键技术及应用探讨”的主题演讲。云晓春表示,随着我国互联网技术的普及应用,经济、社会等方面对其依赖性越来越大。与此同时,网络空间持续遭到来自境外APT攻击,国家网络安全受到严重的威胁。

  事实上,APT攻击并不是一次性攻击,而是由七个阶段组成:初始入侵、建落脚点、提升权限、内部侦查、横向移动、保持存在和完成任务,总体称为APT杀伤链。

  现在,世界各国都非常关注APT攻击,并且都在研究如何应对来自境外的其他国家的APT攻击。尽管目前很多国家都实施了APT防御项目,但通常以综合分析为主,很少有专门针对APT的项目。

  云晓春表示,从技术的角度来看,虽然国外知名IT厂商都有APT解决方案,各自有不同的应用场景,但分析发现技术上是趋同的。目前看,现在国外APT防御技术趋向于规则匹配,都在尝试引入AI技术用于主动防御。

  “总体来说,在APT防御技术上,国外的研究及技术能力是攻防并举的,而且是呈体系化的。国内相关职能部门、头部厂商、科研院所从不同角度也在开展APT研究,但与国外相比,能力上稍显落后,对于APT攻击的防御有些后知后觉,而且各个单位形成的能力更具独立性,相互之间的协作和交互较弱。因此,从APT防御技术研究角度来说,亟需打通数据壁垒,加强关键技术的攻关,构建国家级APT威胁情报库和防御平台。”云晓春解释道。

  在云晓春看来,现在,防御APT攻击,从技术角度来说主要面临两大类三个难题。对于已知APT攻击面临检测难题。现在APT样本不是一成不变的,自身变化非常快,而且反侦查能力非常强,因此对它持续跟踪将非常困难。对于未知攻击主要面临两个难题,一是发现难,APT攻击具有高隐蔽、高对抗的特性,很难做到事先发现主动防御;二是防御难。

  总的来说,APT攻击数量多、技术能力强,呈现高对抗、高隐蔽的特点,我们如何实现对APT攻击的全面防范?

  “我们提出了APT冰山防御。针对高变化APT攻击持续跟踪检测,我们提出开展样本养殖技术研究,来实现APT攻击及时检测。针对未知APT攻击线索发现难题,我们提出多步攻击检测技术路线,来实现针对未知APT攻击前置发现。针对未知APT攻击危害消解,我们提出数字替身来实现对APT攻击全面防范。”云晓如此说道。

  样本养殖技术本质是希望建立协作式、全链条的运行环境,便于检测和养殖。对于APT样本建立沙箱,通过沙箱检测行为,但这只是一次性的检测。APT攻击或者样本是持续变化的,如何应对这种变化?通过建立一套养殖体系,本身样本能够持续运营起来,基于此形成高危样本长期观测和线索生产能力,来实现高变化APT攻击持续检测。

  针对未知攻击线索发现提出多步攻击检测技术路线。APT攻击本质是复杂多步攻击,一个高级攻击者针对目标开展APT攻击并不是一次性完成的,而是通常采用多步方法实现攻陷目的。为了检测多步攻击,需要考虑整体策略,来突出显示网络收集空间因果关系。

  多步攻击检测技术路线主要基于对大量真实APT攻击数据的学习检测,并且关联不同阶段的攻击行为,挖掘背后多步攻击链,并且映射到基站式层面进行智能研判,实现海量告警发现APT攻击线索的目标。

  对于APT攻击来说如果你不知道威胁来自于什么地方,什么时间会产生这种威胁,我们有没有可能借鉴历史上替身的思想,让保护的目标为本体承受APT攻击的损害,这就是数字替身的基本思路。具体来讲,期望数字替身防御模型,由替身替代本体,诱导APT攻击者在替身系统中开展攻击,达到延迟、分散攻击效能,最终实现消解本体危害防御效果。

  云晓春表示:“我们开展关键技术研究的同时建立相应的技术平台,在各个主要网络中开展了相应的示范应用。目前能力可以在全球范围内持续跟踪检测80%以上对华APT攻击组织,特别是针对养殖系统实践,我们养殖了诱饵文件截取境外APT组织鲜活的二阶码、三阶码,初步形成了高价值的生产能力。”


(本文不涉密)
责任编辑:路沙

站点信息

  • 运营主体:中国信息化周报
  • 商务合作:赵瑞华 010-88559646
  • 微信公众号:扫描二维码,关注我们