NSC2014思博倫通信高級安全顧問曲博
責編:rhliu |2014-10-23 15:24:51今天很高興我作為思博倫的代表在今天的大會上做一個《下一代網絡安全測試方法》的探討。今天上午和下午與會嘉賓從不同的視角詮釋了網絡安全,包括金融安全、電子政務網安全、移動互聯網云安全。作為傳統的測試儀表廠商,我想從測試角度來看一看網絡安全方面的情況。我今天的第一個話題就是關于測試,到底能夠給網絡安全帶來什么。
大家可能以前了解思博倫,我們在網絡安全方面,從測試角度能夠給大家帶來什么幫助,這是我們今天想要探討的一個話題。既然是硬件測試儀表,我們首先要測試網絡安全設備的性能,這個不用說了,之前大家測吞吐量、延遲,包括測后來的4到7層,這些都是主項。我們在近幾年通過收購一些安全測試的公司,在網絡攻擊方面做了一個長足的研究和支持。通過我們發送攻擊的一些流量,評估網絡安全設備對攻擊的識別以及阻斷的能力。對于像運營商,像一些企業,他們會選擇一些安全設備,比如上午提到下一代防火墻,怎么來保證我選擇的這個安全設備能滿足網絡的要求?也是可以通過測試來達到這個目的。有些像政務網,包括一些企業他們會部署一些新的網絡,在網絡部署的時候,是不是這個網絡建設以后能夠達到未來的要求?包括承載方面,包括對安全的防范能力,是不是我在這個網絡構造好以后,在上線之前做一個全面的評估來衡量這個網絡的承載能力以及安全性?對于安全體系的一個支撐,現在大家知道國家有很多測評機構,對于一些網絡安全設備,包括像運營商入網測試都有一些嚴格的要求,那么怎么通過標準化的進程來達到這個目的?這也是一個測試要解決的問題。
下午第一場邵處長講了網間安全,這一塊提到了一個培訓。都是源自美國軍方的一些概念,在這里面有一個概念叫Cyber Range,我們翻譯過來叫賽博靶場,通過演練達到目的,這一塊也是可以通過測試來解決的。政府部門每年會搞一些安全的競賽,通過測試儀表發出的流量來仿真網絡的一些攻防,也可以完全達到安全競賽的公正性。上午清華大學的教授講了學術方面,對于培訓,包括大學生的教育其實一樣,可以通過測試來解決。比如說在課堂上來模擬這種攻擊的流量,用一些安全設備來做檢測,這樣攻和防都可以看到整個實際的動態效果,這也是測試能夠給網絡安全帶來的一些正面的東西。
上午的嘉賓主要從兩個角度,從用戶角度和廠商角度來看待網絡安全,測試恰恰正好是中間環節。就是用戶需要測試來驗證廠商提供的數據,規格是不是符合用戶最終的要求。廠商在研發的過程中也要結合市場的需求,來驗證在設備推向市場之前是不是能夠符合最終用戶的需求,所以說測試正好是銜接了用戶和廠商的一個橋梁。
測試為什么對于網絡安全是很重要的?大概總結了這幾個方面。性能毋庸置疑,但是在保護性能的同時,安全性也是很重要的。大家做安全設備也知道,安全設備有很多的策略,策略的產生對攻擊有一些檢測,同時肯定對性能有些衰減。但是你的安全設備放在網絡上,首先它是網絡轉發設備,不能說安全性做到了,那性能極差,滿足不了用戶的需求也不行。所以我們提到一個平衡,怎么來平衡性能和安全?你也是可以通過測試模擬這些現網的流量來達到這個目的。上午有一個廠商說到了對于應用的感知,就是下一代防火墻可能現在面臨更多的是互聯網應用,怎么來保證我這個設備在推向市場之前就能用最新的應用來驗證設備的性能?這就是如何保證你的被測設備能夠處理最新的應用和內容,甚至是一些攻擊,是不是都需要在測試里面融入這些內容?運營商更關心的就是如何保證網絡或者網絡設備在處理真實流量的情況下,同樣來平衡性能和安全,最后是最高要求。因為這種真實流量的反映是每天都在變化,而且不同的網絡有不同的流量模型,我們在評估的時候怎么來做到在處理真實流量的情況下同樣達到性能個安全的平衡。
說到測試,我們不能不提到一個標準,剛才講政務網的邵處長講過一個規范,安全里面有很多規范。對于安全測試里面,同樣我們也要遵守一定的標準。RFC3511可能在座有些人知道,最早的是與安全設備測試相關的性能標準,我不想詳細把這10個項目都介紹,但是重點就是標紅顏色的4個,我們常說的并發連接數、連接建立速率、有效吞吐量和HTTP的事務處理速率,后面都是4到7層。也就是說,對于安全設備來說,我們不再像以前只是關注二三層的吞吐量和延遲,而是更關注上層應用,這個標準是給我們的一個反饋。但是這個標準已經過去11年了,在2003年“非典”的時候發布的,到現在發展了11年,其實互聯網,包括安全已經發生了日新月異的變化。所以我們現在可以拿它作為參考,但是不能作為完全的部分。
比較榮幸的是思博倫是標準的主要制定者,有兩個作者是我們研發的同事。這個標題是防火墻的測試基準,但是可以適用于所有的網絡安全設備。這里面我摘錄了運營商的研究院在設備選型的時候測試要求,我不詳細講了,因為內容比較多。但是反映了一個狀況,就是里面提到的條件,比RFC3511標準里面提到的要求要復雜得多,相當于把不同的指標融合在一起了。因為現實當中這些因素都是交叉存在的,而不是像RFC3511里面只是單純的一個性能指標的測試,那個我們只能說是最基本的,但是不能反映你安全設備真正的性能。所以你看這里面,在測并發連接數的時候,要以新建為背景,什么樣新建的時候再做并發,當新建的時候,要在一個什么樣并發的情況下來測新建,都是相輔相成的過程,而不是孤立的某一個指標,那個意義不大了。
這個里面的網絡分層基本上都是應用層的東西,包括一些流量模型,包括像VPN,中午也提到了用VPN,還有新的應用識別。比如下一代防火墻也需要具備DPI的功能,但是它的DPI不再是識別應用協議,而是應用。不知道大家有沒有注意到我用的這個詞,以前我們叫Application Protocol,現在 Protocol去掉了,每一個行為的變化是非常大的,我們對于設備廠商,或者是對于運營商會產生很大的困惑。對于測試廠商來說,我們同樣面臨的問題就是如何模擬。而且這些應用是日新月異,怎么來做?
這是我們現在互聯網應用爆炸性增長的一個過程。剛才我們只是講了中間的層面,各種應用的反饋,實際上下面有很多的設備,下面有一個流行詞是BYOD,就是現在自己的設備都可以帶進辦公室,不再像以前就是一個電腦、臺式機,現在不同的手機,三星平,太多種了,它給網絡安全帶來什么問題呢?就是說用不同的終端設備,它發的流量,實際上如果大家監測的時候會發現,它的Header是不一樣的,不同的設備會有不同的安全隱患,比如Android系統,比如iOS等等。從測試角度,我們把這些行為都要模擬出來,那么怎么辦?這些問題都給了我們測試廠商。
我們對應用做了進一步的分析,首先剛才我也提到了,應用種類比較多,同一個應用有不同的版本和行為。比如原來用Skype,現在用微信,有語音聊天和視頻,有不同的行為。不同的用戶可能有帳號,可能有不懂得喜好,有是有變化的。還要和網絡各種應用混合下來進行性能測試,還有一些攻擊行為,我們怎么來做?所以我們把應用做了一些解析。大家可以看右邊這三張圖,就相當于把應用解析分成三塊:一個是Application ID,最簡單的層面;二是User ID,就是基于用戶的層面,不同的用戶有不同的行為,不同的用戶有不同的帳號,通過這個來表現不同行為的模擬;三是Content ID,所以這些就是BPI這些設備要解決的,對于我們測試廠商,我們要把這些充分的模擬出來。
實現的方法有兩種,一種就是通過及時的或者周期性的更新我們的特征庫,我們應用有一個TestCloud,用戶可以把這些數據從不同的庫里面篩選出來。舉個例子,我們做安全設備可能要推向國外,有一些國外典型的應用,國內可能阻斷掉了,可以從這個庫里面得到國外的一些流行應用。與此同時,像微信,國內經常用的這種應用我們也是集成在這個庫里面,中國的微信比較流行,日本有一個下載軟件都是不一樣的,在各個國家都是不一樣的,當你推向國外的其他市場,怎么來測試?所以這個庫存體了豐富的場景。另一種就是有些用戶說,我想要的你的庫里面沒有,我們提供第二種方法,有一個工具,比如有一個PKI界面,導入到這個儀表的文件里面,可以不同的用戶名登錄,不同的行為模擬,都是可以進行修改的。提供兩種方式,目的就是把這個應用庫能夠建設得非常完善。
這就是我們應用庫的一個界面。有點像蘋果App Store,右下角就是大家經常搜索的一些關鍵詞,大家可以通過這個根據自己的測試要求來設定自己想要的應用庫。我們可以通過導入,有點像協議分析的界面,但是可以改下面的一些二進制碼,通過這個來修改內容,做回放的時候,可以任意把自己想要的回放特征都放在里面。包括還可以通過變量,來設定不同的用戶名、密碼進行模擬的仿真度。最后可以同時設定多種應用,來達到這種復雜場景的設定。回到我們之前提到的問題,就是如何在實驗室來模擬真實的場景,就是通過這種方式來混合這些各種應用達到的。
提到網絡安全,首先我們不能忽略攻擊。大家都是安全專家,可能以前更牽扯到這種攻擊都是一些自研。比如我個人的專業就是網絡安全,原來是做攻擊的研究。當時就是用C語言,通過網絡編程,寫一些很多的攻擊小的腳本。大家會覺得我這個庫的建立沒有標準,如果參加外面的測試我怎么來讓大家承認?都是自研的一些東西。現在通過這個測試,我們可以統一這些度量衡,這里面涉及到惡意軟件,因為我看今天的嘉賓也是反復強調,是不是需要測試我們也要大量的模擬這些行為來做?另外就是傳統的,像DDoS攻擊,是不是也要通過測試模擬出來驗證?通過硬件儀表發出的流量跟軟件不一樣,后面我會講,有很多網絡特征,可以在儀表的這種發送當中能夠體現出來,而不是單純的通過軟件,通過PC能夠模擬出來。后面我有兩個鏈接,主要是針對Facebook和Twitter的應用有哪些攻擊,這個我就不多講了。
我們看一下對于攻擊仿真測試我們做了哪些方法上的研究。首先是大流量,這個就體現了硬件測試儀器的能力。因為是DDoS,用軟件很難體現第一個D,就是分布式,實際上是消耗PC的性能。對于測試儀器來說很容易,甚至可以說我們開放一些接口,你可以把你的DDoS放在儀表里面,一樣可以做流量。但是它可以利用儀表這種強大的引擎來做到這種多流量模型的模擬,比如說像一些突發的,一些隨機的等等這些流量模型,都可以模擬得很充分。因為我們發送的同時還有一個接收,接收的時候就看經過你的網絡安全設備,你是被阻斷了,有部分漏過還是全部漏過去,我們都有一個檢測的依據。借助于儀表強大的流量模型,可以把DDoS和正常的流量進行一個混合,這樣的話,能夠很客觀的來評價網絡安全設備對于這種DDoS攻擊的防范。另外還有一些更深入的使用,比如像內嵌攻擊,對于一些特有的動作列表和模擬的技術,我們可以模擬中間人的攻擊,就看你怎么來操作這些儀表,一樣可以達到自研軟件的一些作用,但是流量可以達到一個比較高的級別。我們可以在IPSec網關、VPN發起攻擊,模擬黑客。
對于內部是不是需要有一個攻擊庫?美國有一個CVE,其實我們也是基于CVE的一些編號,把一些非常有典型作用的網絡攻擊放進來。因為CVE包括了很多攻擊,包括系統攻擊和一些其他的攻擊,我們只關注在網絡攻擊這一塊。這個攻擊庫其實我們每個月都更新,并且包含了很多不同的平臺、應用場景和正常業務,也可以混合,這個就是一些例子。對于已知攻擊我們有一個例子,這是比較典型的,當時產生了一個恐慌,心臟滴血,其實我們2000年就支持了這個。這張圖很像一個安全軟件,就相當于把攻擊的流程通過可視化的圖形給你描繪出來。當然你也可以通過我們有一個過程描述語言,叫MSL,非常像我們的攻擊描述語言,我以前正好做攻擊研究,這一塊很像,很親切。可以通過非常細節的東西,可以把你的攻擊的特征進行自己的定制和修改,甚至還可以產生更強的攻擊的變種,都是可以自己通過我們提供的界面來編輯。這樣的話,不像大家對于傳統儀表廠商的概念,可能全是固定好的一些模式,我們都把這些開放給客戶,開放給最終使用者,甚至可以把你自己的安全小組研究的攻擊通過這種方式能夠加到這個庫里。這樣的話,相當于利用儀表強大的發包能力,就可以把這個攻擊發得非常完整和真實。這相當于一個對應關系,從流程到特征。我們還可以通過純腳本來編寫應用和攻擊,這個里面可以通過我們庫里面的應用和腳本,都可以導出來,做進一步的研究。
我今天講攻擊主要是從測試的角度來講的,第一部分主要是講已知攻擊,第二部分我們主要是講的Malware,它也是攻擊的范圍,但是變種非常多,我們的Malware庫增長也是非常快的,對于硬件測試來說,我們也可以通過一個測試端口,來同時模擬Malware和正常流量的混合,因為Malware絕大部分都是應用攻擊,把Malware和非常類似的應用攻擊混合在一起,是不是會對網絡安全設備造成很大的干擾?這是從測試角度我們做攻擊方法的探討。對于隔離測試,如何來模擬受感染主機行為?因為有些Malware的軟件可能只是發Malware的流量,但是后面受感染的那一部分它模擬不出來,這樣的話,有可能你的Malware根本發不出來。發不出來的時候,中間如果是一些網絡設備,就沒有辦法監測到了。儀表的好處就是,我這邊發Malware,我這邊就模擬受感染的系統,可以正常的保證Malware通過你的設備或者網絡能夠正常的發出來,這樣的話,能夠很有效的來檢測你的被測設備對于Malware的識別和阻斷。另外我們還提供這種高級根源分析,就是剛才我們看到的MSL語言的東西,可以做進一步的追蹤,有一個內部交互的流程,可以很快的把Malware測試得非常充分。
對于攻擊來說,這是近兩三年比較流行的一個詞匯,叫未知漏洞挖掘,英文是Fuzzing,世界翻譯就是模糊攻擊。因為我在測試攻擊之前不知道它是不是攻擊。舉個例子,我特別喜歡用TCB協議,大家比較熟悉,有6個標記位,它的組合有多少種呢?一共2的6次方,對于Fuzzing來說,不管哪些是合法的,哪些是非法的,它整個變了一遍,當變到6個1的組合,歷史上有一個很有名的攻擊叫“圣誕樹攻擊”,這就是一種攻擊行為。如果在十幾年前有Fuzzing技術的時候,可能“圣誕樹攻擊”就不會為大家所知了,因為它已經早被防范了。因為“圣誕樹攻擊”在十幾年前還是給這個網絡造成了很大的恐慌,編輯6個1,很多設備是不認的。Fuzzing就是利用協議便利,做這種未知攻擊的探討。有Protocol Mutation,還有就是Scenario Mutation,這不是一個標準協議,可以導到我們的庫里面,生成這種Fuzzing攻擊。
這個里面是我們對于Protocol Fuzzing的測試,去年“棱鏡門事件”出來之后,國家對工業防火墻非常重視,國家設置了一些部門,專門對工業防火墻做了一些研究。所以說我們在這個庫里面,對于工業防火墻的工業控制協議,大概支持的4到5個,就可以很有效的從工業防火墻的協議層面,能夠防患于未然。對于場景模糊攻擊,其實就是說你有一個私有的Pcap報文,導入到我們的場景分析器里面,這個里面牽扯到一個引擎,根據分析結果,我們可以對私有的協議進行Fuzzing測試,補充我們在75種協議里面沒有的這些私有協議。
模糊攻擊到底是一個什么樣的分析結果?因為模糊攻擊是未知的。當我們發現這種攻擊可能會導致你的被測網絡設備癱瘓,我們會記住那個點,也就是說發生了什么失敗事件,我們會自動化記錄下來。另外在哪里出現的,什么時間出現的我們也會記錄下來,而且把當時失敗的狀態機截獲下來,生成文件。我們還有一個重啟的功能,一般的測試會放在午夜,如果在上班時間不能在旁邊等待完成,因為一個協議的字段會進行循環測試。當我們發現被測設備出現故障的時候,一般是宕機死機了,我們可以重啟,把故障點記錄下來,重啟以后可以把后面的攻擊再記錄下去,我們當時保存了故障重啟的條件,并且可以非常迅速的能夠重現這個故障,所以是一個相對自動化和智能化的過程。
我們總結一下網絡攻擊的測試方法。剛才我們講到的可能是從實現的角度,這個小結我們主要想從網絡的角度。因為你發攻擊不可能只是從固定IP去發,選擇這些IP,我們要從不同的源地址、源IP、源MAC,甚至是不同的子網。這樣的話,我們相當于把分布式就構造得非常真實。通過什么來做呢?我們有一個VR,就是在實驗網絡,不一定要找真正的路由器,測試儀器可以作為一個虛擬的層面,把不同來源的匯聚到一個接入點上,能夠分配真實的IP。在IPSec隧道上發送攻擊流量,在接入協議后發送攻擊流量。從測試角度,我們一定要是攻擊流量和真實流量能夠混合在一起,既來保證網絡安全設備沒有性能衰耗的同時要對攻擊做防范和阻斷。另外我們還可以在攻擊過程當中加入一些網絡損傷元素,在實驗室這是很難模擬出來的,比如像丟包延遲,但是在真實網絡當中,這些流量是不是能夠影響網絡設備的處理性能?也是需要考慮的問題。現在從IPv4到IPv6來說怎么做?對于剛才模擬應用的問題,怎么來擴展我的攻擊的特征?我們一樣提供兩種方式,一種是我們提供Zero-day的攻擊,另外我們提供一個Attack Designer,就可以很容易的變成一個新的攻擊腳本,當然可以基于那個軟件進行特性修改,生成變動都是可以的,這是下一代網絡安全測試要解決的問題,就是如何把特征庫能夠補充得相對完整。還有像Malware、未知攻擊這兩個新興的攻擊方式。尤其像Malware,Malware最早是去年在韓國,他們有一個非常重要的320事件,大家可能多少有所耳聞。韓國去年是第一次通過Malware,把幾家電視臺和銀行的網絡中斷,造成很嚴重的后果。
講到現在,我們對于網絡安全測試有一些了解,我們為什么要強調攻擊流量和正常流量的混合?其實在我剛才講的過程當中應該有一些答案了,安全設備在單一環境當中可能阻斷攻擊,但是把應用加入進來以后,造成一些干擾,對于這些安全事件,可能判斷得就不那么準確了。在真實的網絡中也沒有單純的攻擊行為,也沒有單純的應用行為,都是混合在一起的,所以我們要在實驗室把這些因素考慮進去。我還是想引用RFC3511里面說的一句話,實際上突出的不是說在測DDos拒絕服務攻擊的時候,不是說單純的測對攻擊的一個識別阻斷,而是強調一個影響。就是說測試界的術語,DOT,就是被測設備和被測系統,拒絕服務攻擊,這些對于性能指標的影響,強調的還是影響力。所以一般我們認為,網絡安全設備測試分三個步驟,我們要基于RFC3511測性能指標,我們還要測攻擊的驗證,一定要混合在一起來模擬類似于線網的一些實際情況,來測這個網絡設備。
為什么我們要進行真實的網絡環境下的攻擊仿真行為?也是對于RFC3511思考過的一個擴展,不能只看單一的協議,不能只看攻擊流量對于單一性能指標的影響,一定要看攻擊流量在特定的應用流量模型下的表現。右邊就是一個例子,因為不同的網絡模型是不一樣的,其實最大的變化就是在右邊這張圖,它的比例分配以及這個里面含有多少個應用。所以說,這一部分的問題其實答案比較簡單,主要對比前面那個問題,更多強調的是對于正常流量部分一個模擬的真實性,要更好的折射出線網的流量。
給大家舉一個小例子,當時我記得在2007年,那個時候國內一些安全廠商剛開始做內容過濾,那個時候還沒有下一代防火墻的概念,就是對各種內容做檢測。當時的設備放在一個網吧環境,以前在實驗室測得很好,放在網吧環境,兩個小時重啟一次,你說這個問題是不是嚴重?但是網吧環境是最復雜的一個流量特征的濃縮,所以當時找了一臺協議分析,到網吧環境抓了兩天,分析四了張類似于右邊的網絡流量模型圖。所以按照實驗室的比例我們一張張放大,最后在實驗室發現一個Bug,而且三分鐘就重啟一次,這樣就很好的幫助那個客戶解決了在線網中實現不了的一個抓Bug的目的。因為抓Bug太慢了,但是3分鐘就可以看到Bug到底在哪兒,最后可以幫助這個客戶把Bug修復。這是為什么我們強調在真實網絡環境下進行攻擊測試的原因。
去年我們推出了一個新的測試方案,叫Avalanche Next,對攻擊內容的測試,內容和特征是不是我們要有一個庫來建立?這個是我們在這里面的一個亮點。另外對于攻擊,從測試角度三種攻擊的支持,已知攻擊、未知攻擊和Malware都有很好的支持。我們第一次嘗試,從事方法學的角度給大家呈現一個不一樣的測試,因為以前大家可能覺得儀表比較難用,上來有很多參數要選。但是現在不是這樣了,我們基于RFC3511的測試,我們濃縮成一個套件,比如要測并發連接數,你只要點并發連接數那個按鈕進去,就可以看到里面相關的測試項,就可以很容易的完成這個測試了,這就是一個界面的例子。大家可以看右邊,都是基于這個測試方法學的一些入口,你只要點進去,比如說你要測并發連接數,點并發連接數那個按鈕,進去以后,我這個界面就專門為這一個指標來設計。剛才我們茶歇的時候有些用戶問你這個測試到底是什么東西?這是我們的測試對象,囊括和幾乎所有的安全里面涉及到的測試。
我們對下一代網絡安全測試方法做一個總結,我們可以測試已知攻擊、未知攻擊和Malware,對于已知攻擊,我們可以通過特征庫,另外可以通過Attack Designer,還有定期升級,我們提供TestCloud,還有一個就是Knowledge Base。儀表既然是硬件的實現,我們有一個高性能的測試,可以達到千萬級的并發連接數,百萬級的每秒新建,可以達到應用仿真。我們還做應用流量和攻擊流量的混合,可以模擬網絡的真實場景,可以應用到賽博靶場,對于這種攻防演練要求比較高的場所。我們還可以利用Virtual的方案做云安全測試。
今天因為時間的關系,很難一一給大家展現。如果大家有什么問題的話,我們會后可以再進行進一步的交流,謝謝大家!
