3.高級威脅的終端守護者潘劍鋒

數(shù)字時代，軟件定義了一切。而軟件漏洞本身是不可避免的，千行代碼就可能出現(xiàn)幾個漏洞。漏洞會跟每個人的生活，甚至國家安全都息息相關。小的漏洞可以干擾我們的日常生活，嚴重的可以控制汽車從而造成交通事故，更嚴重的甚至可以導致核電站泄露。終端是是數(shù)字化時代一個最基本、最常用的神經(jīng)元，是人與機器交互中與人最近的計算資源和接口。高級威脅發(fā)動者“寄生”于終端漏洞進入我們的現(xiàn)實生活，并在我們的生活中肆意“流動”和“破壞”。高級威脅研究者們發(fā)現(xiàn)，面對高級威脅攻擊，“看見”漏洞是根本，而對終端側的防御是最基礎、最快速、最有效的應對方法。

——潘劍鋒

網(wǎng)絡威脅無處不在

網(wǎng)絡威脅無處不在。2003年，當你發(fā)現(xiàn)新裝的Win 2000系統(tǒng)還未完成補丁下載，電腦就進入了循環(huán)重啟模式，這時你可能就中了“沖擊波病毒”（Worm.Blaster）。2007年，你只是通過互聯(lián)網(wǎng)瀏覽了新聞網(wǎng)站，你的屏幕便出現(xiàn)了滿屏的“熊貓燒香”圖案。2010年，伊朗核設施受到“震網(wǎng)病毒”襲擊，伊朗核設施中的鈾濃縮設備被破壞，致使伊朗“核計劃”被延遲了很長時間。2018年，媒體曝出一家名為劍橋分析的公司盜取Facebook公司超過5000萬名客戶的個人數(shù)據(jù)用于影響美國大選。Facebook股價也因這樁丑聞暴跌，市值蒸發(fā)360多億美元。2019年，我國部分政府部門和醫(yī)院等公立機構遭遇國外黑客攻擊，此次攻擊中，黑客組織利用勒索病毒對上述機構展開郵件攻擊。2020年，某些黑客組織利用新型冠狀病毒的大流行來傳播惡意軟件或者進行敲詐勒索?？v觀近年來發(fā)生的網(wǎng)絡安全事件，絕大部分不再是制造木馬、盜竊QQ號的“小毛賊”，而是有組織、有背景，行動縝密、手段高超的高級威脅發(fā)動者。

漏洞是數(shù)字時代重要的戰(zhàn)略資源

所有的網(wǎng)絡攻擊都是基于漏洞的，漏洞已經(jīng)成為網(wǎng)絡安全最重要的命門，也是數(shù)字化時代最重要的戰(zhàn)略資源（Strategic Resources）。在數(shù)字化時代，小到智能生活家居，大到智慧城市建設，方方面面都在進行數(shù)字化轉型。一切皆可編程，軟件定義了世界，軟件就像人的身體一樣，先天性缺陷是不可避免的。軟件本身的缺陷叫“漏洞”，千行代碼里可能就會出現(xiàn)幾個漏洞。小的漏洞可以干擾我們的生活，嚴重的可以控制汽車從而造成交通事故，更嚴重的甚至可以導致核電站的泄露。隨著新型基礎設施的全面鋪開，各行各業(yè)數(shù)字化轉型也在加速進行。新技術越用越多，帶來的安全沖擊就越來越大。如果不識別漏洞，不研究漏洞，不想辦法給漏洞打上補丁，將很難從根源上鏟除不安全因素。

如果漏洞是網(wǎng)絡攻擊的重要資源，那么0day漏洞就是威脅最大的資源，捕獲0day漏洞攻擊的能力是今天網(wǎng)絡防護的關鍵點（0day漏洞是一種沒有補丁、應對措施，只有少數(shù)攻擊者知曉的漏洞）。借由0day漏洞發(fā)動的攻擊不可預知、極難防御。2017年，美國國家安全局泄露的0day漏洞被一群“小毛賊”利用，由此引發(fā)了WannaCry勒索病毒事件。據(jù)不完全統(tǒng)計，全球有超150個國家的20多萬個機構的電腦因此中毒。該病毒還造成出入境及車管業(yè)務中斷、加油站及醫(yī)院“罷工”等“現(xiàn)實危機”。

終端是最接近人的計算資源

終端（Terminal）是數(shù)字化時代一個最基本、最常用的神經(jīng)元，人利用終端與外部設施進行交互，如互聯(lián)網(wǎng)訪問、電子郵件傳輸、音視頻接入、游戲互動等，終端是人與機器交互中與人最近的計算資源和接口。例如，政府公務人員通過終端進行優(yōu)政業(yè)務操作，銀行工作人員通過終端操作金融數(shù)據(jù)，生產企業(yè)通過上位機對工業(yè)生產設備進行操作，等等。據(jù)《中國互聯(lián)網(wǎng)發(fā)展狀況統(tǒng)計報告》顯示，截至2020年6月，我國網(wǎng)民規(guī)模為9.4億，相當于全球網(wǎng)民的五分之一，互聯(lián)網(wǎng)普及率達67%，5G終端連接數(shù)已超過6600萬，三家基礎電信企業(yè)已開通5G基站超40萬個，已分配IPv6地址客戶數(shù)達14.42億，IPv6活躍客戶數(shù)達3.62億。目前，我國NB-IoT（新一代物聯(lián)網(wǎng)）終端數(shù)已突破1億（含智慧生活、智能表計、智慧物流、農業(yè)與環(huán)境等）。未來，會有更多的終端種類和終端類業(yè)務接入互聯(lián)網(wǎng)，且被人類快速接受和使用。

當漏洞和終端相遇

高級威脅發(fā)動者“寄生”于終端漏洞進入我們的現(xiàn)實生活，并在我們的生活中肆意“流動”和“破壞”。2010年，伊朗納坦茲核燃料濃縮工廠的濃縮鈾的產量停滯不前，甚至每況愈下?？茖W家們用試驗排除了由機電故障引發(fā)的可能性，甚至將工廠的離心機數(shù)量翻倍，但是濃縮鈾的產量仍然停滯不前。后來，他們在一臺裝有控制軟件的終端上發(fā)現(xiàn)了帶有惡意軟件的U盤。事實證明，長期以來，一個名為震網(wǎng)的秘密軟件一直在暗中干擾。病毒最終導致1000臺鈾濃縮離心機廢棄，直接摧毀了伊朗“核計劃”。據(jù)分析，震網(wǎng)設計者精心構置了微軟操作系統(tǒng)中4個在野0day漏洞，并和工控系統(tǒng)的“在野”0day漏洞進行組合，以實現(xiàn)精準打擊、定向破壞。

有效利用終端側的漏洞是高級威脅發(fā)動者發(fā)動攻擊的首選路徑。終端側的漏洞是最容易被忽視（如隔離網(wǎng)絡未及時更新、個人或管理員放棄補丁更新等），且有一部分漏洞是難以修復的（如供應商不具備漏洞修復能力、漏洞修復后系統(tǒng)不穩(wěn)定等）。據(jù)360全視之眼——0day漏洞雷達系統(tǒng)和360高級威脅研究院統(tǒng)計，全球80%的網(wǎng)絡攻擊行為，都是利用終端側漏洞直接或間接對關鍵應用和業(yè)務發(fā)起的。

下面的案例是近期高級威脅攻擊者利用終端側Office軟件漏洞，通過IE瀏覽器訪問惡意網(wǎng)頁觸發(fā)“雙星”漏洞（0day）的過程。攻擊者通過郵件將精心制作的誘餌文檔（使用office公式編輯器漏洞（CVE-2017-11882））投擲至客戶終端。當受害者打開漏洞文檔觸發(fā)漏洞后，惡意代碼會啟動公式編輯器，再利用公式編輯器進程打開IE瀏覽器訪問惡意網(wǎng)頁觸發(fā)“雙星”漏洞。最終的木馬程序會接受固定URL地址的C&C命令，在受害者計算機中執(zhí)行任意操作。

看得見是防護的根本

為更好地應對網(wǎng)絡攻擊問題，“看見”是1，其它是0。第一時間“看見”漏洞，是有效“亡羊補牢”的首要條件。如果不能看見漏洞，堆砌再多的網(wǎng)絡安全產品也是徒勞。在B端、G端網(wǎng)絡安全市場里最常用的漏洞發(fā)現(xiàn)工具是漏洞掃描系統(tǒng)（漏掃系統(tǒng)）。漏掃系統(tǒng)通過漏洞樣本庫比對的方式獲取在線設備的漏洞信息并集中反饋至管理控制臺，由管理員根據(jù)漏洞的重要程度和有效性來決定系統(tǒng)漏洞是否需要修復。互聯(lián)網(wǎng)接入的漏掃系統(tǒng)，能夠根據(jù)廠商提供的漏洞樣本庫進行實時更新，而隔離網(wǎng)絡部署的漏掃系統(tǒng)，一般在二周或更長時間手動執(zhí)行漏洞樣本庫更新。在隔離網(wǎng)環(huán)境下，更新頻率為高級威脅攻擊者，提供了產生“1day漏洞”的機會。目前，市場上有些廠商的漏掃系統(tǒng)存在漏洞樣本數(shù)量收納不足的情況，這樣，依舊會給高級威脅攻擊者提供“Nday漏洞”利用空間。

為提升漏洞樣本的質量和數(shù)量，在過去的五年時間里，360通過360全視之眼——0day漏洞雷達系統(tǒng)和高級安全專家，共同對漏洞進行發(fā)現(xiàn)和挖掘工作。為更好地研究和修復漏洞，360建立了國內領先的漏洞云平臺。360為注冊的研究人員提供了360BugCloud開源漏洞響應平臺進行漏洞提交和驗證，并對研究員的心血成果給予尊重。

終端是防護的基礎

在終端側實施漏洞發(fā)現(xiàn)、反病毒、異常行為檢測/分析/響應等措施，是最基礎、最快速、最高效應對高級威脅的方法。在終端側部署輕量級安全防護措施如EPP、EDR等，能夠對終端的安全性進行基礎評估，識別出終端存在的安全漏洞、錯誤的安全策略、可能感染的病毒/木馬/惡意代碼等，并提供引導建議協(xié)助客戶進行修復。對于無法修復或者不能修復的漏洞，可通過異常行為監(jiān)測技術，對漏洞的利用行為進行實時監(jiān)測、關聯(lián)分析，以判斷是否存在漏洞被高級威脅攻擊者利用的情況。如果存在攻擊行為，預警信息將快速上報至安全管理/運營中心，通知相關的安全技術人員進行處置。對于無法應對或處置的事件，可聯(lián)系第三方專業(yè)的安全廠商前往現(xiàn)場進行應急處置。

從整個“雙星”漏洞的觸發(fā)過程中可以看出，安裝了EPP的終端，是能夠識別CVE-2017-11882漏洞的。對于沒有進行修復的漏洞，EDR能夠對漏洞的利用行為進行實時監(jiān)測、關聯(lián)分析和預警信息推送。對于通過CVE-2017-11882漏洞下載的木馬程序，EPP能夠通過查殺云和沙箱云進行初次研判，在判斷出該程序為“木馬程序”后，EPP會阻斷它的運行，并將木馬樣本程序上傳至360高級威脅研究院進行詳細分析和溯源。

高級安全專家是防護的關鍵

高級安全專家是有效防止威脅蔓延，快速止損的關鍵。高級安全專家能夠利用多年的攻防經(jīng)驗，通過對事故現(xiàn)場進行勘探和分析，快速確定攻擊手段、攻擊路徑和受損范圍，并擬定有效的應急處置方案，以協(xié)助客戶進行快速止損和業(yè)務恢復。事后，高級安全專家會根據(jù)該威脅處置經(jīng)驗，對外通告同類安全事件的處置建議，以協(xié)助潛在的被攻擊客戶進行威脅預防和處置。