據(jù)說(shuō)，在17世紀(jì)之前，歐洲人認(rèn)為天鵝都是白色的。但隨著人們?cè)诎拇罄麃喛吹降谝恢缓谔禊Z的出現(xiàn)，這個(gè)不可動(dòng)搖的信念隨之崩塌了。其實(shí)黑天鵝存在于各個(gè)領(lǐng)域，無(wú)論金融市場(chǎng)、商業(yè)、經(jīng)濟(jì)還是個(gè)人生活，都逃不過(guò)它的控制。在人類(lèi)社會(huì)發(fā)展的進(jìn)程中，對(duì)歷史和社會(huì)真正產(chǎn)生重大影響的，通常都是未知或不可預(yù)見(jiàn)的東西。

而我們平常所說(shuō)的“未知”，其實(shí)我們是意識(shí)到了這種未知的存在，即使不清楚到底是什么或者程度有多深，但是還有很多是我們壓根沒(méi)有意識(shí)到的“未知”。過(guò)去，人們對(duì)“已知的未知”投入了很多精力進(jìn)行防范和預(yù)測(cè)，對(duì)“未知的未知”卻缺乏關(guān)注，但真正造成傷害的正是這些“未知的未知”。同理，在網(wǎng)絡(luò)安全行業(yè)里，最可怕的莫過(guò)于“未知威脅”的破壞。

未知的那些“未知威脅”

“已知的已知，directadmin安裝，已知的未知，未知的未知”，這句話聽(tīng)起來(lái)很拗口，但是反應(yīng)了安全一些本質(zhì)問(wèn)題。舉個(gè)簡(jiǎn)單例子說(shuō)明下：之前熱炒的“威脅情報(bào)”，就屬于“已知的未知”，對(duì)某個(gè)單位來(lái)說(shuō)是未知威脅，但在別的地方早就已經(jīng)發(fā)生過(guò)了。

當(dāng)下的安全攻防最大一個(gè)特點(diǎn)就是，未知攻擊會(huì)越來(lái)越多，企業(yè)所面臨的攻擊工具可能是從來(lái)沒(méi)有使用過(guò)，或者身邊的監(jiān)控視野范圍沒(méi)有看到過(guò)的。例如，即便企業(yè)的Webshell樣本再多，攻擊者總是能制作出新的更輕量級(jí)、功能更全的Webshell，如何發(fā)現(xiàn)未知的Webshell？又如何做到天網(wǎng)恢恢疏而不漏？這對(duì)于任何安全人員都是巨大挑戰(zhàn)。

面對(duì)未知威脅：傳統(tǒng)入侵檢測(cè)存在先天不足

傳統(tǒng)入侵檢測(cè)方法就是基于特征碼或規(guī)則，要求軟件必須提前“知道”入侵的“定義”，才可以識(shí)別對(duì)應(yīng)入侵。但是，面對(duì)全新品種的惡意軟件，其特定入侵指標(biāo)（IOC）自然就不為人知，因此又怎么能檢測(cè)出零日攻擊呢？

以安全“老三件”IDS為例，它通過(guò)提取相應(yīng)的流量統(tǒng)計(jì)特征值，與內(nèi)置的入侵樣本庫(kù)進(jìn)行智能分析比較。根據(jù)預(yù)設(shè)的閾值，匹配耦合度較高的報(bào)文流量將被認(rèn)為是攻擊，入侵檢測(cè)系統(tǒng)將根據(jù)相應(yīng)的配置進(jìn)行報(bào)警或進(jìn)行有限度的反擊。但對(duì)于未知威脅攻擊，IDS無(wú)法定義相應(yīng)規(guī)則，對(duì)該特定惡意攻擊會(huì)視而不見(jiàn)，任其長(zhǎng)驅(qū)直入。

如何實(shí)時(shí)發(fā)現(xiàn)未知手段的黑客入侵？

很多人可能會(huì)認(rèn)為未知威脅，首次發(fā)生在自己身上的概率并不大，未必會(huì)帶來(lái)巨大危害。實(shí)則不然，比如通過(guò)本地提權(quán)、竊取合法用戶(hù)身份等去做一些貌似合法的操作，美國(guó)站群服務(wù)器，這些“異常”行為都是未知的，并沒(méi)有對(duì)應(yīng)“威脅情報(bào)”等數(shù)據(jù)可對(duì)比。對(duì)于這些未知威脅，某種程度上來(lái)說(shuō)是無(wú)法預(yù)測(cè)的。如果無(wú)法預(yù)測(cè)，那又該怎么辦？此時(shí)需要轉(zhuǎn)換思路，需要將“未知的未知威脅”轉(zhuǎn)為“已知的未知風(fēng)險(xiǎn)”的控制問(wèn)題。比如，通過(guò)基于異常行為的實(shí)時(shí)入侵檢測(cè)，來(lái)發(fā)現(xiàn)未知手段的黑客入侵。

異常不一定是威脅，但一般來(lái)說(shuō)威脅一定有異常。幾乎所有惡意軟件，包括0Day攻擊等，攻擊進(jìn)行時(shí)都會(huì)表現(xiàn)出一些異常行為。如果能發(fā)現(xiàn)這些異常行為，就能發(fā)現(xiàn)威脅。雖然，在海量的主機(jī)數(shù)據(jù)中尋找異常行為線索十分困難，但也并非無(wú)跡可尋的。這就好比有經(jīng)驗(yàn)的警察，可以根據(jù)一個(gè)人異常表情、微小動(dòng)作來(lái)判斷一個(gè)人是否有嫌疑一樣，基于異常行為的檢測(cè)需要根據(jù)文件、進(jìn)程等信息的偏離情況，對(duì)收集上來(lái)的信息進(jìn)行分析，從而發(fā)現(xiàn)異常情況。

因此，如果我們能從業(yè)務(wù)的運(yùn)轉(zhuǎn)中，抽取生成內(nèi)在的監(jiān)控指標(biāo)，并對(duì)指標(biāo)進(jìn)行持續(xù)地觀測(cè)和分析，那無(wú)論遇到什么攻擊，都會(huì)引起指標(biāo)變化而被察覺(jué)。該技術(shù)目前已經(jīng)在部分國(guó)內(nèi)安全廠商中得到很好驗(yàn)證，其中不乏青藤等某一領(lǐng)域安全獨(dú)角獸。青藤云安全通過(guò)將Agent安裝在服務(wù)器上，根據(jù)客戶(hù)業(yè)務(wù)運(yùn)行狀況設(shè)立數(shù)萬(wàn)個(gè)監(jiān)測(cè)指標(biāo)，對(duì)文件進(jìn)程、主機(jī)訪問(wèn)、業(yè)務(wù)關(guān)系等建立多維度、多層次的縱深檢測(cè)體系，可以無(wú)間斷對(duì)入侵行為進(jìn)行監(jiān)控，實(shí)現(xiàn)實(shí)時(shí)的入侵檢測(cè)和快速響應(yīng)，一旦發(fā)現(xiàn)異常情況，進(jìn)行毫秒級(jí)報(bào)警。

寫(xiě)在最后