APT(高級持續(xù)威脅)在過去的2年多時間中,正逐漸成為威脅企業(yè)安全的主流攻擊方式�。它的每一次出現(xiàn),都會震動安全產(chǎn)業(yè)的神經(jīng)�;它的每一次出現(xiàn),精細化程度和復(fù)雜程度都會引發(fā)企業(yè)對現(xiàn)有安全策略和架構(gòu)的思考����;它的每一次出現(xiàn),目標靶單上的主角都會讓人們大吃一驚�����,這份靶單上除了國家�、組織機構(gòu)、知名企業(yè)等外���,甚至安全廠商也在劫難逃��。據(jù)了解���,在2011年美國本土有超過70次在APT范疇的大型安全攻擊。
企業(yè)的高價值資產(chǎn)�����、關(guān)鍵數(shù)據(jù)成為APT攻擊者不斷追尋的獵物,它們包括:知識產(chǎn)權(quán)����、高的訪問權(quán)限、私有數(shù)據(jù)和系統(tǒng)���。美國國家標準和技術(shù)研究院對APT給出了詳細定義:精通復(fù)雜技術(shù)的攻擊者利用多種攻擊向量(如:網(wǎng)絡(luò)���,物理和欺詐)借助豐富資源創(chuàng)建機會實現(xiàn)自己目的?!边@些目的通常包括對目標企業(yè)的信息技術(shù)架構(gòu)進行篡改從而盜取數(shù)據(jù)(如將數(shù)據(jù)從內(nèi)網(wǎng)輸送到外網(wǎng)),執(zhí)行或阻止一項任務(wù)����,程序;又或者是潛入對方架構(gòu)中伺機進行偷取數(shù)據(jù)�。APT威脅:1.會長時間重復(fù)這種操作;2.會適應(yīng)防御者從而產(chǎn)生抵抗能力����;3.會維持在所需的互動水平以執(zhí)行偷取信息的操作�����。
誘發(fā)APT逐漸成為針對企業(yè)的主流安全威脅的因素有很多,比如競爭加劇的全球經(jīng)濟環(huán)境�,金融市場的衰退,企業(yè)現(xiàn)有IT系統(tǒng)和安全架構(gòu)的弊端���。而對于大多數(shù)企業(yè)而言�����,不得不通過全新的思路和找尋更加有效的方法來應(yīng)對APT攻擊威脅���。
近日RSA通過網(wǎng)絡(luò)會議的形式舉辦了“領(lǐng)先一步應(yīng)對危機四伏的高級網(wǎng)絡(luò)威脅”研討會,RSA資深技術(shù)顧問華丹在線分享了RSA如何幫助企業(yè)應(yīng)對APT攻擊的思路和方法�����。
知彼——解析APT典型流程
華丹首先分享了一個典型的APT攻擊流程���,這個流程你可能似曾相識����,因為有的步驟也適用于其他安全威脅流程�����,比如木馬制造,惡意分發(fā)����,僵尸機的控制等。
如圖所示�����,這是一個典型的APT惡意軟件分發(fā)流程�,需要五個步驟:黑客制造木馬并通過0-day漏洞隨機的控制僵尸機,通過目前主流的社交網(wǎng)絡(luò)���、IM工具等放出消息售賣其木馬和僵尸資源���,位于黑客產(chǎn)業(yè)鏈的第三方惡意軟件資源得到消息后,會提供各種形式的惡意軟件��,并委托其將惡意軟件放到分發(fā)更新服務(wù)器�,被隨機控制的僵尸機會通過分發(fā)服務(wù)器下載第三方惡意軟件并釋放惡意軟件,僵尸機上的有價值信息會被竊取�����,同時這臺機器會成為跳板���,以幫助惡意軟件潛入進更有價值的企業(yè)關(guān)鍵服務(wù)器��。
華丹表示��,“不管是APT����,還是惡意軟件分發(fā)都越來越產(chǎn)業(yè)化���,分工更加精細��,而且目標也更加明確�����,就是企業(yè)的關(guān)鍵數(shù)據(jù)和信息的重要節(jié)點���。對于企業(yè)而言,目前的安全架構(gòu)正在失效��,因為在很短的時間���,數(shù)據(jù)和信息就泄露了���,而且攻擊者全身而退����,留給企業(yè)的可能是無跡可尋�,或者花費很長的時間來調(diào)查數(shù)據(jù)和信息的泄露原因?����!?/p>
對于APT攻擊��,企業(yè)所面臨的挑戰(zhàn)主要是APT攻擊不易察覺�����,因為它的惡意程序回報有別于傳統(tǒng)的攻擊方式�����;此外�,由于不明顯的攻擊和立即損害,會讓企業(yè)低估APT攻擊所帶來的損失�,后知后覺和數(shù)據(jù)泄露,讓企業(yè)糾結(jié)于是否企業(yè)內(nèi)部出現(xiàn)人為的泄露。
知己——應(yīng)對APT先過自己這關(guān)
對于企業(yè)而言���,面對APT攻擊的挑戰(zhàn),他們都可能會關(guān)注這些問題�����。比如面對APT��,企業(yè)是否有智能的收集和分析能力����?安全控管是否能找對方向?攻擊者是否獲得了管理的權(quán)限和賬戶���?企業(yè)中有多少用戶的電腦已經(jīng)成為犧牲品�?企業(yè)管理者是否會加大投資來應(yīng)對APT攻擊�?是否能與同行交流到更多的經(jīng)驗?等等問題�����。
RSA有自己的見解����。華丹指出����,“企業(yè)應(yīng)對復(fù)雜的APT攻擊��,第一具備全面的可視性�����,即企業(yè)是怎樣的一個狀態(tài)�,有哪些風險,有哪些資產(chǎn)是要保護的��;第二需要靈活的分析����,一旦遭遇APT攻擊,需要有工具或平臺能夠幫助企業(yè)快速定位和分析攻擊者是通過什么途徑侵入企業(yè)��?竊取了什么����?第三企業(yè)治理與合規(guī),企業(yè)需要在IT層面和業(yè)務(wù)層面有清晰的規(guī)范�,比如資產(chǎn)狀況,設(shè)備管理情況等;第四智能的實時顯示����,企業(yè)需要第一時間確定身份目標、攻擊和事件�����,是來自有目的的攻擊���,還是禍起蕭墻?
有了這四方面�����,就足夠了嗎����?答案顯然不是。華丹強調(diào)����,“應(yīng)對APT最困難的不是在技術(shù)層面,很多時候是在前期��。企業(yè)應(yīng)對APT,首先要看企業(yè)對APT或網(wǎng)絡(luò)威脅的重視程度和理解程度���。最常見的情況是�,企業(yè)IT安全部門認為防御APT很重要���,但企業(yè)領(lǐng)導(dǎo)不這么認為����,那么問題就產(chǎn)生了�;此外從技術(shù)角度,應(yīng)對APT攻擊時�,企業(yè)在前期的選型和邏輯設(shè)計,選擇APT攻擊的解決方案時要評估�、測試解決方案是否能夠真正有效地實現(xiàn)防御、消除����、以及事后調(diào)查。所以首先要看企業(yè)目前IT的成熟度�����,應(yīng)對APT是否有決心���;此外�����,在前期架構(gòu)設(shè)計上是否有一套解決方案能夠真正化解威脅�。在整體框架確定后,才要考慮技術(shù)和與現(xiàn)有安全系統(tǒng)的融合���?!?/p>
顯然應(yīng)對APT是技術(shù)問題��,但更是考驗企業(yè)IT信息化進程����、宏觀安全策略和心理博弈的綜合能力評估問題��,所以我才在這一小節(jié)的開始部分�,與企業(yè)一起提出了這些問題。那么你有這樣問過自己嗎�?
SMC海量數(shù)據(jù)分析為基 架構(gòu)與協(xié)同取勝
RSA安全管理中心SMC是一套整體的解決方案,應(yīng)對APT時它工作的一部分���。SMC強調(diào)事前�����、事中����、事后的管理。事前����,梳理企業(yè)IT治理情況,定義優(yōu)先權(quán)�;事中,進行分析�、定位、實時記錄的可視化過程����;事后,如果發(fā)生安全情況����,在最短時間找到APT攻擊者,給出處理建議����。要實現(xiàn)事前��、事中��、事后的完美結(jié)合����,需要一個整體的框架和不同工具的有效協(xié)同��。
華丹表示��,“SMC框架以海量數(shù)據(jù)分析為基礎(chǔ)��,企業(yè)IT治理和可視化流程都基于這一前提�����,對數(shù)據(jù)進行分析����,進行實時的報表��、事件調(diào)查����、惡意軟件分析���、虛擬化和數(shù)據(jù)防泄露等。在數(shù)據(jù)分析的基礎(chǔ)上進行APT的治理和合規(guī)事件的管理�����?�!?/p>
如圖RSA SMC系統(tǒng)框架�,中間是SMC架構(gòu)的云端,管理數(shù)據(jù)信息的分析和APT治理�。左邊進行日志和信息收集,右邊進行網(wǎng)絡(luò)數(shù)據(jù)的收集�,以及其他的和外部信息分析等。
這個框架依靠RSA Archer�����、RSA NetWitness���、RSA enVision和RSA DLP協(xié)同支撐��。RSA Archer是企業(yè)IT治理和合規(guī)治理的產(chǎn)品�,包括策略�����、風險和合規(guī)定義和管理,它能夠把我們所有的企業(yè)資產(chǎn)���,包括APT等一些信息�����,還有一些監(jiān)測到的信息全部匯總�����,整理到統(tǒng)一的平臺之上�����,給出具有業(yè)務(wù)層面參考的價值�����,一些操作的智能和綜合的管理;RSA NetWitness可以到內(nèi)部的層面���,分析具體安全威脅�,并重建攻擊路徑和攻擊源頭,模擬威脅思路和路徑等�����;RSA enVision是專門來做收集和管理的�����,包括應(yīng)用系統(tǒng)���、安全系統(tǒng)����、數(shù)據(jù)庫等等���,將所有的數(shù)據(jù)進行收集��,并且實時的產(chǎn)生關(guān)聯(lián)����;RSA DLP是發(fā)現(xiàn)和定義敏感數(shù)據(jù)�����,并且執(zhí)行數(shù)據(jù)策略。
華丹指出���,“管理由RSA Archer完成�����,如企業(yè)資產(chǎn)定義和管理���,RSA enVision負責設(shè)備日志信息手機,如設(shè)備狀況和狀態(tài)�����,敏感事件發(fā)生時���,enVision可以直接進行處理���,RSA NetWitness,完成對數(shù)據(jù)和應(yīng)用的信息收集��,DLP執(zhí)行數(shù)據(jù)防丟失策略�。協(xié)同構(gòu)成針對企業(yè)內(nèi)部資產(chǎn)、能力資源管理系統(tǒng)���,ERP等完整的安全管理系統(tǒng)架構(gòu)�����?��!?/p>
最后,華丹告訴ZDNet���,“對于不同的客戶�,不同的企業(yè)規(guī)模�,不同的企業(yè)IT成熟度,不同的需求���,SMC可根據(jù)用戶的需求量體裁衣����。4個產(chǎn)品不一定全部都要用����,甚至可以只用一個。在RSA Archer中有9個模塊,包括事件管理����、企業(yè)管理、策略管理等�����,企業(yè)也可根據(jù)業(yè)務(wù)發(fā)展選擇��。4個解決方案的選擇�,沒有先后次序?��!?/p>
