APT(高級持續(xù)威脅)在過去的2年多時(shí)間中,正逐漸成為威脅企業(yè)安全的主流攻擊方式�。它的每一次出現(xiàn),都會(huì)震動(dòng)安全產(chǎn)業(yè)的神經(jīng);它的每一次出現(xiàn)�,精細(xì)化程度和復(fù)雜程度都會(huì)引發(fā)企業(yè)對現(xiàn)有安全策略和架構(gòu)的思考;它的每一次出現(xiàn),目標(biāo)靶單上的主角都會(huì)讓人們大吃一驚�����,這份靶單上除了國家�、組織機(jī)構(gòu)、知名企業(yè)等外���,甚至安全廠商也在劫難逃。據(jù)了解�����,在2011年美國本土有超過70次在APT范疇的大型安全攻擊�。
企業(yè)的高價(jià)值資產(chǎn)、關(guān)鍵數(shù)據(jù)成為APT攻擊者不斷追尋的獵物����,它們包括:知識(shí)產(chǎn)權(quán)、高的訪問權(quán)限��、私有數(shù)據(jù)和系統(tǒng)�。美國國家標(biāo)準(zhǔn)和技術(shù)研究院對 APT給出了詳細(xì)定義:精通復(fù)雜技術(shù)的攻擊者利用多種攻擊向量(如:網(wǎng)絡(luò)����,物理和欺詐)借助豐富資源創(chuàng)建機(jī)會(huì)實(shí)現(xiàn)自己目的���。”這些目的通常包括對目標(biāo)企業(yè)的信息技術(shù)架構(gòu)進(jìn)行篡改從而盜取數(shù)據(jù)(如將數(shù)據(jù)從內(nèi)網(wǎng)輸送到外網(wǎng))�,執(zhí)行或阻止一項(xiàng)任務(wù)��,程序;又或者是潛入對方架構(gòu)中伺機(jī)進(jìn)行偷取數(shù)據(jù)��。APT威脅:1.會(huì)長時(shí)間重復(fù)這種操作;2.會(huì)適應(yīng)防御者從而產(chǎn)生抵抗能力;3.會(huì)維持在所需的互動(dòng)水平以執(zhí)行偷取信息的操作��。
誘發(fā)APT逐漸成為針對企業(yè)的主流安全威脅的因素有很多�����,比如競爭加劇的全球經(jīng)濟(jì)環(huán)境�,金融市場的衰退,企業(yè)現(xiàn)有IT系統(tǒng)和安全架構(gòu)的弊端�。而對于大多數(shù)企業(yè)而言,不得不通過全新的思路和找尋更加有效的方法來應(yīng)對APT攻擊威脅��。
近日RSA通過網(wǎng)絡(luò)會(huì)議的形式舉辦了“領(lǐng)先一步應(yīng)對危機(jī)四伏的高級網(wǎng)絡(luò)威脅”研討會(huì)��,RSA資深技術(shù)顧問華丹在線分享了RSA如何幫助企業(yè)應(yīng)對APT攻擊的思路和方法。
知彼——解析APT典型流程
華丹首先分享了一個(gè)典型的APT攻擊流程�,這個(gè)流程你可能似曾相識(shí),因?yàn)橛械牟襟E也適用于其他安全威脅流程����,比如木馬制造,惡意分發(fā)��,僵尸機(jī)的控制等��。
如圖所示�,這是一個(gè)典型的APT惡意軟件分發(fā)流程,需要五個(gè)步驟:黑客制造木馬并通過0-day漏洞隨機(jī)的控制僵尸機(jī)��,通過目前主流的社交網(wǎng)絡(luò)��、IM工具等放出消息售賣其木馬和僵尸資源�����,位于黑客產(chǎn)業(yè)鏈的第三方惡意軟件資源得到消息后����,會(huì)提供各種形式的惡意軟件�����,并委托其將惡意軟件放到分發(fā)更新服務(wù)器,被隨機(jī)控制的僵尸機(jī)會(huì)通過分發(fā)服務(wù)器下載第三方惡意軟件并釋放惡意軟件��,僵尸機(jī)上的有價(jià)值信息會(huì)被竊取��,同時(shí)這臺(tái)機(jī)器會(huì)成為跳板�����,以幫助惡意軟件潛入進(jìn)更有價(jià)值的企業(yè)關(guān)鍵服務(wù)器�。
華丹表示,“不管是APT���,還是惡意軟件分發(fā)都越來越產(chǎn)業(yè)化���,分工更加精細(xì),而且目標(biāo)也更加明確�����,就是企業(yè)的關(guān)鍵數(shù)據(jù)和信息的重要節(jié)點(diǎn)���。對于企業(yè)而言����,目前的安全架構(gòu)正在失效,因?yàn)樵诤芏痰臅r(shí)間���,數(shù)據(jù)和信息就泄露了����,而且攻擊者全身而退�����,留給企業(yè)的可能是無跡可尋����,或者花費(fèi)很長的時(shí)間來調(diào)查數(shù)據(jù)和信息的泄露原因。”
對于APT攻擊����,企業(yè)所面臨的挑戰(zhàn)主要是APT攻擊不易察覺,因?yàn)樗膼阂獬绦蚧貓?bào)有別于傳統(tǒng)的攻擊方式;此外���,由于不明顯的攻擊和立即損害,會(huì)讓企業(yè)低估APT攻擊所帶來的損失����,后知后覺和數(shù)據(jù)泄露��,讓企業(yè)糾結(jié)于是否企業(yè)內(nèi)部出現(xiàn)人為的泄露�����。
