在这个被誉为互联网安全界“奥斯卡”的盛会上,“360全视之眼-0day漏洞雷达系统”获评世界互联网大会领先科技成果,这是360继安全大脑后第二次获此殊荣。360全视之眼可以“看见”0day漏洞攻击,并有效应对。
看不见的攻击才是最可怕的。0day漏洞,一种没有补丁、应对措施,只有少数攻击者知晓的漏洞。借由0day漏洞发动的攻击不可预知、极难防御。2017年,美国国家安全局泄露的0day漏洞被一群“小毛贼”利用,由此引发了WannaCry勒索病毒事件。据不完全统计,全球有超150个国家的20多万家机构的电脑中毒。该病毒还造成出入境及车管业务中断、加油站及医院“罢工”等“现实危机”。
而当“小毛贼”换成“APT组织”这样的超级网络攻击力量,0day漏洞的危害将超乎想象。今年来,蹊跷的大规模停电事件在南美多国频频上演;伊朗则号称攻击了美国纽约电网,造成大停电;俄罗斯电网也被曝遭遇入侵……
“当下貌似和平很久,但战争从未远离,只是形式不同”,360集团董事长兼CEO周鸿祎曾公开表示,当攻击者不用出动轰炸机、导弹就能导致大规模停电、停产时,这类来自网络的威胁已不亚于真枪实弹的战争。
值得庆幸的是,360已有了对策。
威胁网络安全的“隐形杀手”
2009年,伊朗纳坦兹核燃料浓缩工厂的科学家们苦思冥想了几个月却束手无措。他们用试验排除了由机电故障引发的可能性,还将工厂的离心机数量翻倍,但浓缩铀的产量仍然停滞不前,甚至每况愈下。
终于,他们在一台装有控制软件的电脑上发现了带有恶意软件的U盘。事实证明,长期以来,一个名为震网的秘密软件一直在暗中干扰。病毒最终导致1000台铀浓缩离心机废弃,直接摧毁了伊朗“核计划”。
震网的出现,标志着首个“超级破坏性”网络武器登上历史舞台。人们惊慌地发现,虚拟世界的网络攻击可以摧毁现实中的钢铁机器。而这次攻击之所以能得逞,都与0day漏洞息息相关。据分析,震网设计者精心构置了微软操作系统中4个在野0day漏洞,并和工控系统的在野0day漏洞进行组合,以实现精准打击、定向破坏。
实际上,震网之后,APT组织也开始浮出水面。这类组织会利用先进的攻击手段对特定目标进行长期持续性网络攻击,其背后往往是超级网络攻击队伍。近年来,360已累计发现40个APT组织,其攻击涉及能源、通信、金融、交通、制造、教育、医疗等关键基础设施行业。
0day漏洞颇受APT组织青睐。360发布的《全球高级可持续性威胁2018年总结报告》显示,2018年,比较知名的APT活动0day漏洞在野利用事件就有14个之多。报告总结说,APT组织是最有能力挖掘和利用0day漏洞的组织。
比如,2018年11月25日,乌俄两国突发“刻赤海峡”事件。四天后,360安全大脑在全球范围内第一时间发现了一起针对俄罗斯的APT攻击行动。其攻击相关样本来源于乌克兰,攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构,攻击者利用了Flash的0day漏洞(cve-2018-15982)。
更可怕的是,0day漏洞可能隐藏在任何一个稍有规模的软件系统中。据统计,平均每一千行代码中就存在着4-6个漏洞。尤其是随着“自动化”程度的加剧,系统越复杂,漏洞就会越多。而在当下的万物互联时代,各类关键基础设施联网后,漏洞的危害也随之闯入“物理世界”。
2015年12月,乌克兰国家电力部门受到了APT组织的猛烈攻击,使乌克兰西部的 140 万名居民在严寒中遭遇了大停电的煎熬,城市陷入恐慌,损失惨重。2019年委内瑞拉遭遇全球最大规模的“断电袭击”,继而停水停电,地铁停摆、电信服务、网络接入服务中断。
“看不见的才是最可怕的,这就是0day的真正威胁。从理论上讲,0day漏洞攻击不可预知、极难防御。这也是APT组织会喜欢使用0day漏洞的原因”,360首席安全架构师、360冰刃实验室负责人潘剑锋告诉笔者。他的实验室负责了360全视之眼的研发。
造“预警机”的网络安全公司
上世纪90年代初,海湾战争爆发,中国从中看到了研制预警机的紧迫性,并历经数十年研制出全球领先的预警机。国产预警机被誉为与“两弹一星”、载人航天和探月工程并列的国家重大工程。在现代战争中,预警机堪称“天空之眼”,可以大大减少雷达盲区,提供精准的远程预警和空中指挥引导。
在网络安全中,面对“隐形飞机”一样的超级网络攻击,同样需要“预警机”。周鸿祎曾多次强调:应对网络攻击,‘看见’是1,其它是0。如果不能看见攻击,堆砌再多的网络安全产品也可能是徒劳。
实际上,在网络安全领域,360是极有实力实现“看见”的公司。今年8月,在全球超级网络安全大会“Black Hat”上,360取得两项历史性突破:一是在“2019 MSRC全球最具价值安全精英榜”中,360 包揽前两名,实现亚洲人首次登顶,入选人数和综合排名蝉联世界第一;二是360荣获“最佳提权漏洞奖”(The Pwnie Awards),打破了连续12年无中国人获奖的记录,向世界展现了中国的网络安全实力。过去的五年时间里,360率先独立发现主流厂商漏洞超过2000个,独立捕获0Day漏洞7次,涉及上千个重要部门,成为全球获得致谢次数最多的网络安全公司。
即便如此,研制能看见高级别攻击的“预警机”也并不容易。“发掘0day漏洞很难,也有很强的偶然性,我们转而把目标放在追踪利用0day漏洞的攻击上,任何攻击都会留下蛛丝马迹”,潘剑锋说。
顺着这一思路,360冰刃实验室找到了方法。“0day漏洞攻击分为触发、利用、运行三个阶段,只要在三个阶段布置探测器就能发现攻击”,潘剑锋说,为了实现这一目标,360冰刃实验室将多项创新技术应用到360全视之眼中,一些技术甚至从无到有,弥补了行业空白。比如,其冰刃安全虚拟机技术(ILSVM)是从零设计开发的以实现安全检测为主的全新轻量级虚拟机系统,弥补了国内此类基础软件的空白。
在ILSVM 的基础上,360全视之眼独创了0day攻击捕获技术,即借用强大的ILSVM,在攻击的三个阶段均布置了多种全球独创的新型探测器,能把第一、二阶段捕获能力直接全天时应用到数亿用户终端的系统,使发现0day漏洞攻击的能力提升到一个新的高度。
针对传统沙箱的不足,360冰刃实验室还将ILSVM的核心安全能力复制到了KVM虚拟机之上建立多维沙箱,将大量虚拟化新型探测器(如影子页表探测器、执行路径ROP探测器等)部署于hypervisor层、Guest内核层、Guest应用层多个维度上,捕获更多类型的漏洞利用攻击,与终端子系统形成了优势互补。
整体来看,360全视之眼更像网络世界里的“预警机”,能洞察极其隐蔽的异常行为,并通过360安全大脑分析研判,精准捕捉0day漏洞攻击。
“我们的产品已广泛应用于数亿个人用户和大量政企单位,每天感知异常行为超过5亿次,成功发现和阻止了几十起高级安全威胁(APT)。相信这将是为大安全时代保驾护航的利器。”李建华说。