最近一段時間�,APT(高級持續(xù)性威脅)已經(jīng)成為安全界人士談論的高頻詞�����。剛剛過去的5月�,已經(jīng)有不止一家企業(yè)針對APT發(fā)布了相關(guān)的安全產(chǎn)品�,如:5月22日,趨勢科技發(fā)布了新一代威脅管理工具TDA解決方案,該方案旨在幫助大型企業(yè)和政府組織抗擊高級持續(xù)性威脅(APT)和針對性攻擊(Targeted Attacks);5月23日�����,RSA(EMC信息安全事業(yè)部)召開網(wǎng)絡(luò)研討會����,就如何利用智能主導的信息安全架構(gòu)和解決方案應對APT的問題展開了集中討論,并重點推介了定位為安全管理中心的SMC打包解決方案;5月24日�,啟明星辰發(fā)布了兩款萬兆產(chǎn)品,也著重強調(diào)了這兩款高性能新品在對抗APT時的強大威力����。在大大小小的安全會議上,APT一詞也幾乎每一次都會被提及。
APT已經(jīng)襲來����,如果你仍然認為這只是聳人聽聞的炒作,那就真的危險了��。2011年��,在美國本土��,光是有據(jù)可查的大型安全攻擊就有70多起�����。中國的APT公開案例雖然相對少見��,但這并不代表APT案件真的少了��,在國家網(wǎng)絡(luò)信息安全技術(shù)研究所所長杜躍進看來�,這是中國的安全威脅發(fā)現(xiàn)能力有限所致。
那么����,對付APT難點在哪兒?筆者認為,對付APT難在技術(shù)�,更難在人�����。
APT���,是黑客以竊取核心資料為目的,針對客戶所發(fā)動的網(wǎng)絡(luò)攻擊和侵襲行為��,是一種蓄謀已久的“惡意商業(yè)間諜威脅”�����。 “潛伏性和持續(xù)性”是其最大的威脅�。潛伏性�����,是指這種威脅可能在用戶環(huán)境中存在一年以上或更久���,他們不斷收集各種信息���,直到收集到重要情報,發(fā)動APT攻擊的黑客目的往往不是為了在短時間內(nèi)獲利����,而是借助“被控主機”當成跳板���,持續(xù)搜索,直到能徹底掌握所針對的目標人���、事��、物;持續(xù)性����,體現(xiàn)在APT攻擊者不斷嘗試的各種攻擊手段�����,以及滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏����,其病毒家族持續(xù)更新,以對抗安全軟件的檢測�����。
APT威脅和攻擊是有組織�、有目標��、利益驅(qū)動的�,這些特點使得傳統(tǒng)的方法難以對其進行抵御�。具體來說,傳統(tǒng)方法對付APT力不從心體現(xiàn)在:APT使用的社交工程攻擊日趨成熟�,郵件幾乎真假難辨;零時差攻擊造成防御的空窗期;它可輕易避開防病毒軟件的偵測;傳統(tǒng)的代碼比對機制無法找出新威脅等。
實際上����,從技術(shù)上看,APT攻擊技術(shù)并無太多新鮮之處�����。它最可怕的地方在于:有計劃�、有組織、有目標���、利益驅(qū)動,APT的發(fā)動者是人���,其目的是為了獲利����。它的周期可以設(shè)定得很長,它不靠單個病毒�,也不靠單個惡意代碼和漏洞,它可以沉下心來設(shè)計非常多的東西��,構(gòu)成一個完整的閉環(huán)�。這就對安全人員的經(jīng)驗提出了更高的要求。
具體到一個企業(yè)����,要對付APT更有賴于決策者的意識。在RSA公司資深技術(shù)顧問華丹看來�,應對高級網(wǎng)絡(luò)威脅最困難之處并不是在技術(shù)層面,而是在前期企業(yè)對APT攻擊或網(wǎng)絡(luò)威脅的重視程度和理解程度�。華丹在與客戶溝通時經(jīng)常發(fā)現(xiàn)一個現(xiàn)象,企業(yè)的IT安全部門認為應對APT很重要�����,但企業(yè)的決策者并不這樣認為����,因為APT往往不會立刻發(fā)作,而在潛伏期�����,它又往往缺乏較強的可視性,因此��,它很難獲得非IT人員的理解���。
對付APT的關(guān)鍵在人���,這還體現(xiàn)在:目前�����,市場上雖然并不缺乏針對APT的產(chǎn)品和解決方案�����,但用戶往往很難做到事前防御�。安全人員的經(jīng)驗在這個時候顯得至關(guān)重要。理論上�����,APT的事前防御并不是不能實現(xiàn)���。但在目前�,由于絕大多數(shù)用戶企業(yè)都缺乏擁有豐富經(jīng)驗的安全人員����,所以大部分用戶企業(yè)只能在事中(也就是攻擊發(fā)生時)開始實施防御,在防御APT時并不能做到足夠主動��。
未來�,APT攻擊會變得更為常態(tài)化。對企業(yè)來說�����,當擁有了對付APT的工具后�,最關(guān)鍵的事就是盡可能的把產(chǎn)品的功能用好,在人和流程上不斷進行優(yōu)化�����,讓安全系統(tǒng)能真正跟企業(yè)業(yè)務緊密融合起來�,實現(xiàn)有效防護。
