據(jù)或者知識產(chǎn)權(quán)信息的威脅��。而準(zhǔn)確地說����,高級持續(xù)性威脅(Advanced Persistent Threat)是指組織(特別是政府)或者小團(tuán)體使用先進(jìn)的攻擊手段對特定目標(biāo)進(jìn)行長期持續(xù)性網(wǎng)絡(luò)攻擊的攻擊形式�。
本文中����,我們將看看APT(高級持續(xù)性威脅)是如何演變的以及你需要如何抵御這種類型的威脅。
哪些人受到威脅?
一些網(wǎng)絡(luò)管理員看完APT的定義后�����,得出的結(jié)論是他們的網(wǎng)絡(luò)并沒有受到威脅�����。中小型企業(yè)怎么可能成為大型網(wǎng)絡(luò)犯罪團(tuán)伙或國家的攻擊對象?實(shí)際上����,APT剛開始主要是政府機(jī)構(gòu)為國防需要采取的攻擊手段��,后來APT攻擊者將他們的范圍擴(kuò)大到了攻擊公司����,例如谷歌,但并不是只有大型高科技公司才會成為攻擊目標(biāo)����。雖然對于APT攻擊者而言�����,政府機(jī)構(gòu)或者涉及國家安全或者國防承包項(xiàng)目的大型跨國企業(yè)更具吸引力�����,但企業(yè)規(guī)模并不是關(guān)鍵�,因?yàn)榻鼇?,很多小公司也開始負(fù)責(zé)存儲情報(bào)片段數(shù)據(jù)來獲得政治或經(jīng)濟(jì)利益。還有那些處于一定職位��,能夠訪問情報(bào)信息的個(gè)人也可能成為攻擊目標(biāo)���。
即使是在安全方面投入血本的大型企業(yè)仍然可能受到APT攻擊����,通過各種不同的手段�,例如有時(shí)候只需要簡單地利用尚未修補(bǔ)的已知漏洞。在企業(yè)環(huán)境中����,政策通常會規(guī)定新的補(bǔ)丁在部署到生產(chǎn)機(jī)器前必須進(jìn)行全面的測試��,這樣做無疑可以避免不兼容的問題��,但這卻讓你的系統(tǒng)處于威脅之中��。在其他情況下�����,無線安全漏洞��、智能手機(jī)橋接���,甚至云供應(yīng)商網(wǎng)絡(luò)滲透都可能為APT攻擊者敞開大門��。
任何規(guī)模的公司�����,只要員工可以訪問網(wǎng)站�����、使用電子郵件(尤其是HTML郵件)����、傳輸文件等�����,就有可能受到APT威脅����,這些活動可以被利用來傳輸APT組件���,例如惡意軟件可以通過路過式下載��、感染附件或文件進(jìn)行傳輸���。即使是部署了強(qiáng)大的邊緣保護(hù)的企業(yè)仍然無法逃過APT攻擊,例如通過內(nèi)部接入被感染的可移動驅(qū)動器(U盤�、閃存卡)、其他地方被感染的筆記本電腦等��。
APT采取怎樣的形式?
高級持續(xù)性攻擊的“高級”是指����,這種攻擊形式的攻擊者有一個(gè)基于特定戰(zhàn)略的縝密的計(jì)劃,即使他們使用的是相對簡單的機(jī)制來實(shí)施�。換句話說����,APT攻擊者不一定是嫻熟的黑客�����,他們可以利用互聯(lián)網(wǎng)上現(xiàn)成的腳本�����,和修改別人的惡意軟件���,或者他們可以創(chuàng)建自定義惡意軟件來攻擊特定目標(biāo)�。通常���,他們使用許多不同攻擊類型來攻擊同一目標(biāo)��,并且不斷來回攻擊,也就是所謂的“持續(xù)性”�����。并且�����,這種攻擊通常是以隱形且低調(diào)的方式進(jìn)行的,APT攻擊者都是隱形專家����,他們采取措施來掩蓋他們的蹤跡,避免在日志中留下入侵的證據(jù)���。
APT攻擊者也使用社會工程技術(shù)和/或招募內(nèi)部人員來獲取有效登錄憑證�。分支機(jī)構(gòu)通常沒有總部那么嚴(yán)格的安全防范措施�����,因此有時(shí)會被利用來通過遠(yuǎn)程訪問向目標(biāo)系統(tǒng)植入惡意軟件�����。一旦安裝了惡意軟件���,攻擊者就能夠從任何地方訪問和控制你的系統(tǒng)�����,或者采用自動化程序���,這樣惡意軟件就會將你的重要數(shù)據(jù)發(fā)送給攻擊者�。
APT攻擊者選擇使用何種工具主要取決于他們的攻擊目標(biāo)是什么以及其網(wǎng)絡(luò)配置和安全狀況�����。這里有個(gè)簡單的比喻:竊賊可能可以使用信用卡打開簡單鎖的房門�,但是如果所有門都是呆鎖,他就要找不同的工具來進(jìn)去了�。同樣的,APT攻擊者通常會盡可能使用最簡單的工具來進(jìn)行攻擊�����。為什么要浪費(fèi)一個(gè)定制的先進(jìn)工具在不必要的工作上呢?而且這種工具只會給APT攻擊者留下馬腳���。
APT攻擊者經(jīng)常利用僵尸網(wǎng)絡(luò)����,僵尸網(wǎng)絡(luò)能夠給他們提供更多資源來發(fā)動攻擊��,并且很難追蹤到攻擊的源頭����。雖然僵尸網(wǎng)絡(luò)經(jīng)常與垃圾郵件聯(lián)系在一起,但它們可以用于多種類型的攻擊�。一個(gè)簡單的命令和控制服務(wù)器就可以控制位于數(shù)百個(gè)不同公司的電腦,這些電腦上的惡意軟件可以不斷更新�,一直“領(lǐng)先于”你的檢測工具。即使你的公司不是APT攻擊的目標(biāo)����,你的網(wǎng)絡(luò)也可能在你不知情的情況下被用來作為犯罪工具:作為僵尸網(wǎng)絡(luò)的一部分,用來攻擊其他網(wǎng)絡(luò)��。
檢測APT
必須明確的是��,APT并不是一種特定攻擊方法���,它描述了“誰���、什么和為什么”而沒有說明“如何”。市面上并沒有商業(yè)解決方案可以真正檢測或者抵御APT�����,然而���,APT卻淪為了眾多安全供應(yīng)商的營銷短語和流行用語(雖然他們甚至不知道它的含義)����。
針對已知攻擊的解決方案可能無法檢測先進(jìn)的APT攻擊,因?yàn)檫@種攻擊是以“隱形模式”進(jìn)行的���。檢測APT需要一個(gè)良好的監(jiān)控解決方案����,能夠識別和分析服務(wù)器和客戶端的微妙變化和異常�。無論攻擊者的犯罪計(jì)劃多么縝密,他必然會留下點(diǎn)蹤跡����,也就是刑事調(diào)查中的痕跡證據(jù),這種證據(jù)并不明顯�,甚至可能是肉眼看不見的。在數(shù)字世界中��,APT攻擊者為了發(fā)動攻擊(進(jìn)入網(wǎng)絡(luò)����、植入惡意軟件、復(fù)制數(shù)據(jù))肯定會在系統(tǒng)的某處留下一些模糊的蹤跡��。你的安全軟件必須能夠識別這些標(biāo)記,將其作為潛在惡意活動的指示��。與手動檢查文件相比����,軟件不僅更快而且更有效��,因?yàn)锳PT攻擊者通常會使用這樣的詭計(jì):惡意程序文件名與常見Windows文件類似�����。軟件可以識別文件名的細(xì)微區(qū)別(例如使用大寫I代替小寫L等)�����,而肉眼很難識別��。
一旦發(fā)現(xiàn)了異常行為��,就會引發(fā)對受感染機(jī)器進(jìn)行更進(jìn)一步的檢查�。另一個(gè)關(guān)鍵要素是及時(shí)通知,這樣的話�����,就可以盡快對機(jī)器進(jìn)行全面檢查,而且應(yīng)該及時(shí)保存APT攻擊的證據(jù)���,因?yàn)槁斆鞯腁PT攻擊者會嘗試刪除他們的蹤跡以避免被檢測到����。
軟件是檢測網(wǎng)絡(luò)中異常的最好工具�,而APT檢測的另一方面則需要人為因素,也就是指你可以收集關(guān)于網(wǎng)絡(luò)犯罪的最新情況�。正如傳統(tǒng)恐怖分子通常會通過 “聊天框”來發(fā)出信號,APT攻擊者可能會通過不同的通信渠道發(fā)出信號����,說明攻擊正在計(jì)劃中或者已經(jīng)取得進(jìn)展等。但你并不需要安排一個(gè)人來攔截和分析這些聊天信息����,但是你需要清楚網(wǎng)絡(luò)犯罪世界發(fā)生了什么事情。
保護(hù)你的網(wǎng)絡(luò)
很多抵御APT攻擊的防御措施與你可能已經(jīng)部署的用來抵御一般惡意軟件和入侵威脅的措施相同����。良好的防病毒和防惡意軟件是很重要的,但同樣重要的是����,你要明白在APT攻擊中���,滲透者的資源通常要比那些一般攻擊者要多得多。這意味著他們可以雇傭?qū)iT的程序員隨時(shí)來創(chuàng)建或者修改惡意軟件�,根本沒有安全供應(yīng)商創(chuàng)建了定義,也就是零日威脅�����。
根據(jù)定義�,APT是一種有針對性的攻擊����,公司的公共事業(yè)和聲譽(yù)都可能導(dǎo)致公司成為APT攻擊目標(biāo)。因此聲譽(yù)/品牌監(jiān)控和管理可以是抵御這種攻擊的重要因素��?��!靶皭汗?Evil corporations)”和那些立場(政治立場�����、社會立場或其他)不受APT攻擊者歡迎的公司很可能成為攻擊目標(biāo)��。而在某些情況下����,處于某一行業(yè)(油公司、銀行等)就足以讓你成為攻擊對象�。然而,你可以通過精心培養(yǎng)公司的公眾形象來減少風(fēng)險(xiǎn)���。
