以“发现”为中心的对策已经到达极限 公司如何防御强烈的网络攻击

根据报告，2016年11月28日，日本防卫省和自卫队的通信网络基础设施遭受网络攻击。这只是日益增加的针对日本的网络攻击现实的一部分。完善网络安全对策已经成为最重要的国家问题。我们应当采取哪些措施？我向富士通网络安全业务战略单位布道者Taishu Ohta先生提出了这个问题。多年来，Taishu Ohta先生一直向日本公司提供安全对策支持，并曾担任富士通安全方案中心的第一负责人。
(采访人：Tomio Kikyobara，日经BP ICT创新研究所主任)

目标是保密信息-网络攻击的目标是情报评估

-如果攻击者的目标发生变化，那么管理层可能需要重新考虑现有的安全对策。

迄今为止，管理层已经制定了主要目标“信息保证”，旨在预防信息泄漏。着眼未来，他们需要建立以“任务保证”为重点的安全对策，确保业务的连续性，即使是在发生网络攻击时。

2015年12月，日本经济贸易产业省发布了《网络安全管理指导方针》，其中的“网络安全管理10项重点”表明，需要制定“考虑风险的主动对策，以预防网络攻击”。

在今后几年内，将网络空间与现实世界紧密相连的网络-物理系统将会更加普及，因此网络空间的攻击事件将会导致现实企业遭受巨大损失。管理层需要认识到“网络攻击威胁企业的每个方面”。

-对于某些企业或行业，网络攻击是否具有独特的特征？

在攻击过程中几乎没有差别，但是对于不同的行业，攻击者的目标有所不同。例如，针对销售行业的攻击旨在窃取信用卡信息。另一方面，我们推断，针对制造行业的攻击旨在窃取设计图纸以及包含制造技术诀窍的文件。

即使攻击过程相同，对于不同行业的攻击战役(一系列连续的攻击行为，开始于未经批准侵入网络，结束于窃取信息或销毁系统)也有所差别。因此，所建立的系统必须能够在整个行业共享信息，并且主动地处理攻击。

“即使恶意软件已经潜入，也要防范其运行”的对策

-与前些年相比，公司需要的网络攻击对策的种类是否发生了变化？

实际上，自从互联网开始发展以来(自从大约2000年开始)，关于安全对策的问题一个都没有解决。现在，人们在说着同样的事情：“无法防御病毒的侵入和感染”；“攻击者的行为无法可视化”；“从感染中恢复需要很长时间”；“处理安全对策的技术人员缺乏经验”。

不幸的是，今天仍然是这种情况。

大多数公司收集和分析来自网络和其它设备的各种日志，调查已经潜入组织的恶意软件进行的攻击造成的损失。然而，完全了解遭受的损失需要花费时间和资金。例如，收集和分析病毒感染的一台个人电脑储存的电子数据作为证据的成本据说约为100万日元。一些方法收集整个网络的通信日志，然后予以分析，但是成本很高。

目前，以“发现恶意软件”为重点的安全对策已经到达极限。现在，每天几乎产生100万种新恶意软件(包括变种)，而基于模式匹配的发现率低于50%。恶意软件悄悄滑过或逃脱，所以对于恶意软件的防御已经落后。我认为我们需要意识到以下事实：建立能够完全预防恶意软件侵入和信息泄漏的系统是不可能的。

公司现在需要的是以下对策：假设恶意软件侵入，能够识别已经潜入组织网络的恶意软件的，并且将恶意软件的行为可视化。

然后公司需要监控阻塞点(通信必须经过的点)，知悉来自C&C(命令和控制)服务器的远程命令，预防病毒运行，即使病毒已经潜入网络。

根据对于攻击者行为过程的观察建立“攻击者行为转换模型”

—为了使恶意软件的活动失效，富士通开发了哪些安全技术？

制定安全对策的公司必须选择和使用符合对策目标的技术，这是很难做到的。

为此，富士通正在开发的安全技术分为四个方面，T1-T4(图1)。T1包括进出点安全对策。通常使用沙盒、防火墙和基于签名的方法发现定点攻击的迹象，但是仍然不够。我们已经开发了一个新技术，称为“恶意侵入过程扫描”，聚焦于攻击者的行为过程。

该技术实时检测攻击者的活动，也就是将攻击行为的过程与模型(攻击者行为转换模型)进行对比，该模型基于对于过去潜入组织的攻击者行为的观察。

—因此你关注攻击者，而非恶意软件。

是的。无论攻击的规模或窃取的信息类型如何，通过定点攻击窃取信息的过程在许多方面都是类似的。通常开始于发送具有UR的诈骗电子邮件，让收件人点击，从而下载恶意软件。恶意软件到达个人电脑后，自我传播至其它个人电脑，来自C&C服务器的远程命令用于监听网络，从组织盗取信息。

富士通的“恶意侵入过程扫描”监控收到定点电子邮件的个人电脑的通信，根据攻击者行为转换模型检查一系列活动(从侵入行为到窃取信息的活动)，从而发现攻击。在个人电脑被感染后立即持续监控个人电脑可以实时了解攻击者的行为，提高发现的准确率。

T2使用被称为“iNetSec Intra Wall”的技术隔离已经潜入组织系统的恶意软件。该设备监控网络通信量，实时检测恶意软件的活动，自动隔离被感染的设备。该技术能够有效发现不明恶意软件的位置，因为它能够评估定点攻击的常见通信行为(图2)。

专有技术立即创建网络攻击的完整情景

—对于大型公司和组织来说，也存在以下可能性：一台设备感染恶意软件之后造成巨大损失。2015年发生了针对日本养老金机构的定向攻击，100多万人的个人数据泄漏，几乎花费了三个月时间才获得攻击的全部情况。

“以较低成本快速取证”是我们面临的重大挑战。T3方面提供新的踪迹收集和影响分析技术。我们已经开发了高速取证技术，能够自动分析大量网络通信，在短时间内显示定点攻击的执行过程和状态的完整情况。该技术包括踪迹收集和攻击进展状况提取技术。

踪迹收集技术捕捉网络数据包，从其内容推断在被感染的个人电脑上执行的命令，然后分析被感染个人电脑与被攻击个人电脑之间的通信，从而创建被执行命令的踪迹日志。接下来，攻击进展状况提取技术分析踪迹日志(命令操作)，立即确定这些通信是否很有可能构成攻击。

值得注意的是，富士通的高速取证技术能够以菊花链形式显示攻击中各台设备之间的关系。例如，通过分析用作跳板的设备的命令运行，你可以立即发现以前用作跳板的设备，当你沿着菊花链追溯时，你会发现发起设备(图3)。通过可视化，你可以获得攻击的鸟瞰图，从而迅速了解攻击的每个方面。顺便说一下，对于日本养老金机构遭受的定点攻击，该技术可以在一个小时内创建一般相关图。

—这真是一项了不起的技术。

我们的客户经常作出这种反应。引进这种技术的公司可以在很短的时间内完成取证专家才能胜任的工作。据了解，日本缺乏100,000名安全工程师，但是我们相信我们的技术能够解决这个问题。

最后一个方面T4包括信息共享技术。富士通已经建立“网络威胁情报(CTI)应用系统”，能够高效分享和利用网络威胁情报。该系统将网络攻击的5W1H(攻击者，时间，目标，攻击对象，入侵路线和方法等)以及处理网络攻击的信息转换为计算机能够处理的形式。

建立该系统之后，可以系统地解释和共享威胁信息，毋需人员参与。我们现在所处的时代存在太多的威胁信息，以至人类无法评估；该技术旨在通过“机器对机器”实现这一目标。

-这些技术是否将会改变攻击者目前的优势地位？

我们希望如此。我们最担心的是这些技术落入他们手中。在攻击前，攻击者将会购买市场上现有的一切网络安全产品，研究其设计以及超越攻击者技术的技术，从而避开这些技术。我们需要采取措施防止这样的事情发生。

通过“OODA循环”应对意外事件

-如果网络攻击使公司遭受损失，则公司应当如何应对？

网络攻击就像一场灾难。换言之，需要从以下立场进行思考：在网络攻击发生后，应当采取哪些措施才能尽快使企业恢复运营。公司应当基于任务保证和业务连续性考虑对策，第一要务是思考如何减少业务中断时间，迅速恢复正常运营。

因此，公司必须建立一个系统，能够在下一个事件发生之前处理意外事件。我认为，公司必须建立一个“观察，调整，决策，行动(OODA)循环”，独立于目前使用的“计划，实施，检查，行动(PDCA)循环”。

OODA循环是一种模型，实时连接以下循环：积极持续地观察不断变化的情况；根据具体情况进行调整；迅速作出决策；采取行动作出反应。我们现在尝试将该模型用于安全侵入。即使我们不知道谁是攻击者，并且不了解损失的全部情况，我们也能积极地“观察”不断变化的情况，根据可用信息“调整”自己，作出关于如何反应的“决策”，然后“行动”。“计算机安全事故反应团队(CSIRT)”负责观察和调整，管理层负责作出决策。

许多公司目前将OODA循环用作危险管理反应方案，而非安全对策。迅速发现问题、根据情况立即进行判断以及作出决策是对策的重要方面，我认为，从现在起，公司应当一直使用OODA循环。

-安全解决方案是否发挥重要作用？

富士通提供的技术能够实现OODA循环的“实时”观察和适宜的“调整”。我们也提供提高危机管理技能的咨询服务以及支持运营的全球管理服务。这些解决方案支持公司迅速“作出决策”，从而提高公司的竞争力。

*2017年1月，本内容出现于ITpro Active。