在現(xiàn)實(shí)狀況下,要處理APT各階段的攻擊比一般的網(wǎng)絡(luò)攻擊要更加困難�����。比如說:在資產(chǎn)/數(shù)據(jù)發(fā)掘階段,此時(shí)攻擊者已經(jīng)進(jìn)到網(wǎng)絡(luò)內(nèi)部���,他們尋找并分析哪些數(shù)據(jù)具有價(jià)值�,并加以利用�����。根據(jù)一項(xiàng)調(diào)查顯示��,雖然公司的機(jī)密信息占全部數(shù)據(jù)的三分之二�,但是只有一半的企業(yè)會(huì)針對(duì)此種威脅安排信息安全建設(shè)預(yù)算,信息安全有時(shí)也會(huì)淪為了“討價(jià)還價(jià)”的范圍��。
解密APT攻擊過程全貌
第1階段���,情報(bào)收集:攻擊者會(huì)鎖定的公司和資源采用針對(duì)性APT攻擊����,通常將目標(biāo)鎖定到企業(yè)員工的身上作為開端���,并通過社交工程攻擊開啟一連串攻擊���。而在調(diào)查數(shù)據(jù)中,只有31%的企業(yè)會(huì)懲處將公司機(jī)密資料貼到社區(qū)網(wǎng)站上的員工��,這樣使得黑客非常容易的就能獲取到目標(biāo)企業(yè)的IT環(huán)境和組織架構(gòu)的重要信息�。
第2階段,進(jìn)入點(diǎn):利用電子郵件����、即時(shí)通信軟件、社交網(wǎng)絡(luò)或是應(yīng)用程序漏洞找到進(jìn)入目標(biāo)網(wǎng)絡(luò)的大門��。一項(xiàng)研究指出�,在87%的組織中,會(huì)有網(wǎng)絡(luò)用戶點(diǎn)擊黑客安排的網(wǎng)絡(luò)鏈接,這些惡意鏈接都是精心設(shè)計(jì)的APT社交工程的誘餌����。
第3階段,命令與控制 (C&C 通信):APT攻擊活動(dòng)首先在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī)����。然后,APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來與C&C服務(wù)器通訊��,并確認(rèn)入侵成功的計(jì)算機(jī)和C&C服務(wù)器間保持通訊�����。
第4階段,橫向擴(kuò)展:在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具����,將攻擊者權(quán)限提升到跟管理者一樣,讓他可以輕松的去訪問和控制關(guān)鍵目標(biāo)(如:公司的郵件服務(wù)器)��。
第5階段��,資產(chǎn)/資料發(fā)掘:為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù)�,APT會(huì)長(zhǎng)期低調(diào)的潛伏。這是APT長(zhǎng)期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)�,來挖掘出最多的資料,而且在這個(gè)過程當(dāng)中�����,通常不會(huì)是重復(fù)自動(dòng)化的過程�����,而是會(huì)有人工的介入對(duì)數(shù)據(jù)做分析����,以做最大化的利用���。
第6階段,資料竊?�。篈PT是一種高級(jí)的���、狡猾的伎倆,高級(jí)黑客可以利用APT入侵網(wǎng)絡(luò)��、逃避“追捕”����、悄無聲息不被發(fā)現(xiàn)、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪問����,最終挖掘到攻擊者想要的資料信息。數(shù)據(jù)泄露的代價(jià)對(duì)公司業(yè)務(wù)和資金的損失是極其慘重的�,比如RSA就花了六千六百萬美金來補(bǔ)救因內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)竊取事件所造成的傷害。
APT攻擊階段次序連線信息圖
有關(guān)APT攻擊的5個(gè)疑惑
在這幾年里�,APT攻擊方式越來越流行,這引起了絕大多數(shù)企業(yè)的注意�����,同時(shí)也因?yàn)槿藗儗?duì)APT攻擊的不熟悉,造成很多疑惑��。趨勢(shì)科技整理了部分企業(yè)和在線收集的問題��,并對(duì)提問概率最多的5個(gè)問題作出了有針對(duì)性的回答:
Q1:只有APT 會(huì)造成資料外泄事件?
TM:資料外泄事件的成因有很多���,有些數(shù)據(jù)外泄事件是因?yàn)槭韬龌蚴菒阂獾膬?nèi)部人員竊取所造成的�。
Q2:APT是單一事件嗎?
TM:APT應(yīng)該被視為一連串的攻擊活動(dòng)�����,而非單一事件��。同時(shí)����,APT會(huì)利用各種方法不停的嘗試,直到達(dá)到目的為止�。
Q3:APT是用來獲取預(yù)先設(shè)定目標(biāo)的檔案或信息嗎?
TM:雖然攻擊者可能知道他們想竊取哪些信息,但他們還是需要先隱藏自己��,然后進(jìn)行橫向擴(kuò)展�����,好來找出所需的特定檔案。
Q4:錢是APT攻擊活動(dòng)背后的唯一動(dòng)機(jī) ?
TM:金錢并不是攻擊者的唯一目的�����。當(dāng)APT攻擊活動(dòng)針對(duì)特定目標(biāo)時(shí)��,更多時(shí)候是做網(wǎng)絡(luò)間諜戰(zhàn)或破壞活動(dòng)�。
Q5:一般的信息安全解決方案對(duì)于APT有作用嗎?
TM:對(duì)抗APT攻擊活動(dòng)沒有萬靈丹,只能通過定制化的偵測(cè)機(jī)制來監(jiān)控你的網(wǎng)絡(luò)���,才可以有效地降低風(fēng)險(xiǎn)。同時(shí)����,針對(duì)數(shù)據(jù)泄漏,趨勢(shì)科技提醒廣大企業(yè)用戶����,越是敏感的數(shù)據(jù),加上越多人的經(jīng)手���,將會(huì)導(dǎo)致越大的外泄風(fēng)險(xiǎn)�����。
