英國國家安全項目:主動網絡防御
責編:gltian |2021-05-26 13:59:55
?英國國家網絡安全中心(National Cyber Security Center, NCSC)的主動網絡防御(Active Cyber Defense, ACD)項目目標是改善整個國家的安全態勢。其手段主要為快速識別并下線惡意網站、及時給組織傳遞快速可用的威脅情報、以及其他一系列的安全機制。
ACD主要服務于英國政府部門與代理;鑒于疫情,還會服務國家醫療中心。不過,最新的ACD擴展(ACD Broadening)項目,在積極將服務擴展到民間組織,甚至其他國家和政府。
ACD并非要解決所有的安全問題。它暫時針對基于商業利益的攻擊者,而非APT或者專業的攻擊人員。在NCSC的第四次ACD年度報告中表示:“ACD項目的目標是‘從大部分時間發生的因主流攻擊造成的主要損害中保護大部分民眾。’”
支持ACD的主要手段包括(但不局限于):下線服務、郵件檢查、網站檢查、DNS防護、基于主機的威脅檢測服務、NCSC觀測臺、可疑郵件報告服務、受保護的響應測試服務、網絡威脅情報適配等。許多措施都有重疊并且相互輔助,從而能惠及主要的政府部門以及眾多英國網絡用戶。
下線服務最能直觀體現ACD的價值:當NCSC發現一個惡意網站的時候,會通知主機服務商或者擁有者,讓他們將網站移除。在2020年,這一服務還延展到了虛假名人站點、虛假電商等領域,下線行動針對的攻擊數量總共進行了700,595次,下線URL達1,448,214個。
ACD的主要驅動力是保護政府部門和服務。下線的針對攻擊中,有27,611次攻擊試圖濫用政府名號。四個最主要的攻擊類型是釣魚(11,286次攻擊性行動,59,435個URL)、URL郵件服務器釣魚(4,913次攻擊)、惡意軟件附件郵箱服務器(2,890次攻擊)、以及高級費用欺詐郵件服務器(2,310次攻擊)。
當然,僅僅看數量是不夠的,關鍵還有這些網站在下線前持續的時間。在2019年,借英國政府名義進行釣魚攻擊最多的網站主機都來自GoDaddy,占數量的15.7%,持續時間中位數為29小時。而在2020年,NameCheap則從2.5%的使用率跳到了28.8%,取代了GoDaddy成為第一,其持續時間的中位數也從20小時提升到了47小時。NCSC表示到年中為止,NameCheap的下線中位時間穩定超過60小時,“從而毫無疑問使得NameCheap成為了釣魚主機的絕佳位置,也能解釋連續數月從他們主機發起的以英國政府為名義的釣魚攻擊。”
在2020年針對NHS的釣魚攻擊也從2019年的36起,上升到了122起。NCSC也會去搜索那些虛假的,或者非官方的NHS測試副本以及追蹤應用,并下線了43個非谷歌和蘋果官方商店的可下載NHS應用。
在2020年3月到年底,NCSC總共下線了29,959個以新冠疫情為主題的攻擊組織,包括33,313個URL。
ACD項目的成功同樣可以從英國在全球釣魚發生數量的占比下降中得以體現——從2016年超過5%,下降到現在不到2%。假扮成政府部門發送惡意附件的攻擊數量也在減少,從2019年的3,473起下降到2020年的2,890起。這可以歸功于NCSC對DMARC、DKIM和SPF在政府中的應用。
網站檢查當前支持大約1,000個機構,該服務會對特定的URL進行一般的安全檢查。但當有一個新的高危漏洞出現的時候,也會采取特殊措施——比如2020年當CVE-2020-1938的Tomcat AJP端口漏洞出現的時候,檢查就新增加了一項。不過,網站檢查比較普遍會查HTTPS和TLS協議的部署,是否通過X.509公鑰證書支持;也會檢查網站服務器和使用的CMS軟件的版本和補丁情況。2020年新增的最多網站檢查建議是RDP暴露面問題,從2019年的1,002個提升到了2020年的2,392個。
另一個ACD在2020年的一大成功是持續地在演進它由Nominet運作的防護性DNS服務(Protective DNS, PDNS)。PDNS會阻斷訂閱者接入任何已知惡意站點的DNS流量。由于疫情造成的在家辦公場景,NCSC開發了PDNS數字漫游應用。簡單來說,該應用會將一個移動設備所有的流量通過PDNS服務,確保PDNS能在任何位置,任何設備上運作——從而將PDNS的保護延展到移動辦公環境。
另一方面,PDNS服務可以提供可能淪陷的系統連向惡意站點的信息。Nominet的主任,David Carrol做了如下評論:“PDNS的關鍵里程碑,是對SolarWinds的響應。PDNS數據組已經被證明是網絡分析師的寶庫,能夠幫助NCSC識別公共領域的漏洞,并進行事件響應提醒。”
PDNS在2020年處理了超過2,370億次DNS請求,阻斷了近1.05億次;關聯到的犯罪組織的域名近16萬個——這些域名往往會傳播惡意軟件。NCSC提到:“PDNS是一個快速、簡便的方式,識別公共領域中使用漏洞技術或者受惡意軟件影響的情況。PDNS能提供事件響應和研究的歷史行為記錄,讓NCSC監測一段時間中事件和漏洞的修復情況。它還能通過顯示公共領域中使用的技術情況,給英國政府一個網絡成熟度的大致情況。”
當前條件問題讓PDNS服務只能局限于在政府部門,不過今后有希望能將服務進一步延伸。Carroll認為,ACD的目標是能將自己的模式復制到其他行業以及外國政府之中,因此PDNS今后可能會保護整個數字世界。
ADC的基于主機能力是在政府官方IT服務上部署的軟件代理,包括在筆記本、臺式機和服務器上。該能力會收集并分析技術層面的元數據,進行惡意行為檢測。
NCSC觀測臺則用于收集大量信息,從而分析后后為NSCS研究提供深層次的結論。它會分析公開數據,以及從ACD項目中獲得的數據——比如PDNS服務中的數據。其真正的價值,是“暗中支持NCSC其他的功能和服務。”
“盒中訓練”服務可以讓組織在一個安全、私密的環境里,訓練并提升他們對最常見和危險的安全事件的響應能力。這項服務在英國國內和國際范圍內都得到了重視,許多國家都展示了極大的興趣。NCSC已經和新加坡合作,會提供一個能在新加坡架構中運行的版本,預計會在2021年上半年啟用。
ACD的網絡威脅適配器(Threat Intelligence Adaptor, CTI)是由NSCS提供的威脅情報訂閱。它集成了多個SIEM,檢測客戶日志數據中已知的IOC。該服務的先行版在2020年12月發布,通過將NSCS的威脅知識推廣到更多的受眾來提升整體安全性,同時也讓NSCS對新出現的威脅有進一步的感知。
NSCS的ACD項目專注于規模化的商業性攻擊,它并不指望阻止所有攻擊。ACD的目標是讓攻擊者更難下手,從而提升他們的攻擊成本到一個難以維持的地步。同時,在ACD項目中產生的數據會給政府一個對英國所面臨的網絡威脅更全面的理解,包括應對的最佳方式。
來源:數世咨詢