英国国家网络安全中心(National Cyber Security Center, NCSC)的主动网络防御(Active Cyber Defense, ACD)项目目标是改善整个国家的安全态势。其手段主要为快速识别并下线恶意网站、及时给组织传递快速可用的威胁情报、以及其他一系列的安全机制。

ACD主要服务于英国政府部门与代理;鉴于疫情,还会服务国家医疗中心。不过,最新的ACD扩展(ACD Broadening)项目,在积极将服务扩展到民间组织,甚至其他国家和政府。

ACD并非要解决所有的安全问题。它暂时针对基于商业利益的攻击者,而非APT或者专业的攻击人员。在NCSC的第四次ACD年度报告中表示:“ACD项目的目标是‘从大部分时间发生的因主流攻击造成的主要损害中保护大部分民众。’”

支持ACD的主要手段包括(但不局限于):下线服务、邮件检查、网站检查、DNS防护、基于主机的威胁检测服务、NCSC观测台、可疑邮件报告服务、受保护的响应测试服务、网络威胁情报适配等。许多措施都有重叠并且相互辅助,从而能惠及主要的政府部门以及众多英国网络用户。

下线服务最能直观体现ACD的价值:当NCSC发现一个恶意网站的时候,会通知主机服务商或者拥有者,让他们将网站移除。在2020年,这一服务还延展到了虚假名人站点、虚假电商等领域,下线行动针对的攻击数量总共进行了700,595次,下线URL达1,448,214个。

ACD的主要驱动力是保护政府部门和服务。下线的针对攻击中,有27,611次攻击试图滥用政府名号。四个最主要的攻击类型是钓鱼(11,286次攻击性行动,59,435个URL)、URL邮件服务器钓鱼(4,913次攻击)、恶意软件附件邮箱服务器(2,890次攻击)、以及高级费用欺诈邮件服务器(2,310次攻击)。

当然,仅仅看数量是不够的,关键还有这些网站在下线前持续的时间。在2019年,借英国政府名义进行钓鱼攻击最多的网站主机都来自GoDaddy,占数量的15.7%,持续时间中位数为29小时。而在2020年,NameCheap则从2.5%的使用率跳到了28.8%,取代了GoDaddy成为第一,其持续时间的中位数也从20小时提升到了47小时。NCSC表示到年中为止,NameCheap的下线中位时间稳定超过60小时,“从而毫无疑问使得NameCheap成为了钓鱼主机的绝佳位置,也能解释连续数月从他们主机发起的以英国政府为名义的钓鱼攻击。”

在2020年针对NHS的钓鱼攻击也从2019年的36起,上升到了122起。NCSC也会去搜索那些虚假的,或者非官方的NHS测试副本以及追踪应用,并下线了43个非谷歌和苹果官方商店的可下载NHS应用。

在2020年3月到年底,NCSC总共下线了29,959个以新冠疫情为主题的攻击组织,包括33,313个URL。

ACD项目的成功同样可以从英国在全球钓鱼发生数量的占比下降中得以体现——从2016年超过5%,下降到现在不到2%。假扮成政府部门发送恶意附件的攻击数量也在减少,从2019年的3,473起下降到2020年的2,890起。这可以归功于NCSC对DMARC、DKIM和SPF在政府中的应用。

网站检查当前支持大约1,000个机构,该服务会对特定的URL进行一般的安全检查。但当有一个新的高危漏洞出现的时候,也会采取特殊措施——比如2020年当CVE-2020-1938的Tomcat AJP端口漏洞出现的时候,检查就新增加了一项。不过,网站检查比较普遍会查HTTPS和TLS协议的部署,是否通过X.509公钥证书支持;也会检查网站服务器和使用的CMS软件的版本和补丁情况。2020年新增的最多网站检查建议是RDP暴露面问题,从2019年的1,002个提升到了2020年的2,392个。

另一个ACD在2020年的一大成功是持续地在演进它由Nominet运作的防护性DNS服务(Protective DNS, PDNS)。PDNS会阻断订阅者接入任何已知恶意站点的DNS流量。由于疫情造成的在家办公场景,NCSC开发了PDNS数字漫游应用。简单来说,该应用会将一个移动设备所有的流量通过PDNS服务,确保PDNS能在任何位置,任何设备上运作——从而将PDNS的保护延展到移动办公环境。

另一方面,PDNS服务可以提供可能沦陷的系统连向恶意站点的信息。Nominet的主任,David Carrol做了如下评论:“PDNS的关键里程碑,是对SolarWinds的响应。PDNS数据组已经被证明是网络分析师的宝库,能够帮助NCSC识别公共领域的漏洞,并进行事件响应提醒。”

PDNS在2020年处理了超过2,370亿次DNS请求,阻断了近1.05亿次;关联到的犯罪组织的域名近16万个——这些域名往往会传播恶意软件。NCSC提到:“PDNS是一个快速、简便的方式,识别公共领域中使用漏洞技术或者受恶意软件影响的情况。PDNS能提供事件响应和研究的历史行为记录,让NCSC监测一段时间中事件和漏洞的修复情况。它还能通过显示公共领域中使用的技术情况,给英国政府一个网络成熟度的大致情况。”

当前条件问题让PDNS服务只能局限于在政府部门,不过今后有希望能将服务进一步延伸。Carroll认为,ACD的目标是能将自己的模式复制到其他行业以及外国政府之中,因此PDNS今后可能会保护整个数字世界。

ADC的基于主机能力是在政府官方IT服务上部署的软件代理,包括在笔记本、台式机和服务器上。该能力会收集并分析技术层面的元数据,进行恶意行为检测。

NCSC观测台则用于收集大量信息,从而分析后后为NSCS研究提供深层次的结论。它会分析公开数据,以及从ACD项目中获得的数据——比如PDNS服务中的数据。其真正的价值,是“暗中支持NCSC其他的功能和服务。”

“盒中训练”服务可以让组织在一个安全、私密的环境里,训练并提升他们对最常见和危险的安全事件的响应能力。这项服务在英国国内和国际范围内都得到了重视,许多国家都展示了极大的兴趣。NCSC已经和新加坡合作,会提供一个能在新加坡架构中运行的版本,预计会在2021年上半年启用。

ACD的网络威胁适配器(Threat Intelligence Adaptor, CTI)是由NSCS提供的威胁情报订阅。它集成了多个SIEM,检测客户日志数据中已知的IOC。该服务的先行版在2020年12月发布,通过将NSCS的威胁知识推广到更多的受众来提升整体安全性,同时也让NSCS对新出现的威胁有进一步的感知。

NSCS的ACD项目专注于规模化的商业性攻击,它并不指望阻止所有攻击。ACD的目标是让攻击者更难下手,从而提升他们的攻击成本到一个难以维持的地步。同时,在ACD项目中产生的数据会给政府一个对英国所面临的网络威胁更全面的理解,包括应对的最佳方式。

数世点评:

英国的ACD项目是一个值得借鉴的国家层面的安全项目。相比于防范我们近年来一直在提到的APT攻击,ACD更专注于防范日常面临的威胁——也就是提升了日常的安全基线,使得大部分中低难度的攻击难以达成。从ACD的多种能力中我们可以发现,一个国家层面的安全项目,并不是单纯的一两个防范方向,而是一个多维度、多层面的防范,需要大量有实战经验的专家、厂商协同,才能建立起一个国家层面的安全防护网。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。