取決于所詢問對象的不同�,高級持續(xù)性威脅(APT)或者被認(rèn)為屬于讓首席安全官們晚上都徹夜難眠的噩夢般場景,或僅僅只是安全營銷方面的最新宣傳口號�����。因此����,我們現(xiàn)在要做的就是全面了解一下APT的真實(shí)面目,以及什么樣的安全系統(tǒng)可以實(shí)現(xiàn)有效防范�����。
APT的定義
自從媒體開始使用APT一詞之后��,市面上就出現(xiàn)了無數(shù)種定義�����。某種程度上來說����,美國國家標(biāo)準(zhǔn)及技術(shù)研究所給出的定義應(yīng)該屬于最客觀的類型。它是這么描述的:
它來自于一名具備非常先進(jìn)的專業(yè)技術(shù)并擁有大量資源的對手����。采取的方法是利用多種類型的攻擊(舉例來說,網(wǎng)絡(luò)���、物理以及欺詐等)創(chuàng)造出各種機(jī)會來完成既定的攻擊任務(wù)�。通常情況下�,這里所涉及的范圍將包含有目標(biāo)組織內(nèi)部的信息技術(shù)基礎(chǔ)設(shè)施,進(jìn)攻的方式可能是利用潛入信息來建立并擴(kuò)展立足點(diǎn)�����,以達(dá)到破壞或者阻礙組織��、項(xiàng)目或者任務(wù)重要部分工作的目標(biāo);或者將自身隱藏起來以便在未來的時(shí)間可以完成既定任務(wù)�����。高級持續(xù)性威脅的基本特征是:(一)能夠針對同一目標(biāo)進(jìn)行長時(shí)間的反復(fù)攻擊;(二)可以承受防御者的極力抵抗;(三)在達(dá)到既定目標(biāo)之前���,進(jìn)行攻擊的能力不會降低�。
該定義澄清了一種對于APT的常見誤解��。這就是�����,有些時(shí)間,它們會被當(dāng)作零日漏洞之類的純技術(shù)問題�。所謂的APT,就是針對明確目標(biāo)的攻擊�����,涉及的范圍可以包含簡單的社會化工程到極其復(fù)雜的惡意軟件�����。為了達(dá)到既定目標(biāo)����,采取的手段可以達(dá)到無所不用其極的地步。這與利用大型自動化工具來尋找可能存在潛在機(jī)會目標(biāo)的普通攻擊者形成了非常鮮明的對比���。
它的另一項(xiàng)明顯特征就是可以用于攻擊的資源數(shù)量極多����,這也是導(dǎo)致APT經(jīng)常會被認(rèn)為屬于國家支持的原因之一��。這種關(guān)聯(lián)會還導(dǎo)致了一種APT只能由外國政府發(fā)起的誤解出現(xiàn);但實(shí)際上���,很多組織都會選擇資助攻擊者的活動��,從希望進(jìn)行工業(yè)間諜活動的公司到有組織犯罪團(tuán)伙在內(nèi)都屬于可能的后臺�����。
APT的防御
面對攻擊者虎視眈眈所帶來的嚴(yán)重威脅���,我們應(yīng)當(dāng)采取哪些措施來防范APT呢?首先,在選擇出可以防范這類威脅的可信防御措施之前����,我們需要對相關(guān)的基本常識有所了解。威瑞森最新發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告中的數(shù)據(jù)顯示���,所有違規(guī)行為中有96%都屬于非常簡單的情況�,是由于基本安全措施不到位造成的�����。因此��,對于公司組織來說�����,完善的密碼與驗(yàn)證策略、補(bǔ)丁管理工具�����、切實(shí)有效的防火墻與IDS配置以及記錄審查工具這些基本安全措施應(yīng)當(dāng)成為必備的選擇����。
第二步要做的工作就是對于安全方面的既有認(rèn)識進(jìn)行放大處理。由于這種類型攻擊者的目標(biāo)是尋找最寶貴的信息資產(chǎn)�,因此,我們就需要掌握這些信息究竟是什么���,都處于什么位置�,哪些人有權(quán)進(jìn)行訪問�����,為什么需要以及什么時(shí)間進(jìn)行訪問�。在回答這些問題的同時(shí),我們就可以對基礎(chǔ)設(shè)施中需要重點(diǎn)關(guān)注的最關(guān)鍵部分產(chǎn)生更清晰的認(rèn)識�����。而這反過來又可以為我們在進(jìn)行日志異常審核時(shí)確定出真正的搜索重點(diǎn)來,并能夠在事故發(fā)生時(shí)為采取正確的緊急處理措施提供助力���。
此外�,還有一項(xiàng)需要重點(diǎn)關(guān)注的工作就是認(rèn)識到用戶對于組織信息資產(chǎn)保護(hù)的真正重要性所在�����。實(shí)際上�����,我們已經(jīng)聽說過數(shù)起APT利用社會化工程攻擊用戶的案例���。畢竟,對于任何公司來說�,用戶安全方面的意識都應(yīng)當(dāng)屬于相關(guān)信息安全戰(zhàn)略中的關(guān)鍵要素。
