趨勢(shì)科技(中國(guó)區(qū))產(chǎn)品經(jīng)理蔣世琪
近日�����,趨勢(shì)科技針對(duì)本次大規(guī)模的黑客攻擊事件在北京舉辦了媒體交流會(huì)���。會(huì)中���,趨勢(shì)科技(中國(guó))產(chǎn)品經(jīng)理蔣世琪女士為媒體講解了趨勢(shì)科技在此次攻擊防護(hù)扮演的角色,分析了此次攻擊運(yùn)用的方式�����,并詳細(xì)講解了APT攻擊的過(guò)程全貌�,以及相應(yīng)的解決方案。
在 會(huì)中��,蔣世琪介紹說(shuō):“在一個(gè)趨勢(shì)科技的客戶(hù)環(huán)境中�����,我們能夠判斷至少在一天前,也就是3月19日����,他們就已經(jīng)遭遇了這個(gè)威脅。趨勢(shì)科技在事前通過(guò)TDA 的啟發(fā)式偵測(cè)與沙盒分析提示�����,監(jiān)測(cè)出此次攻擊相關(guān)的郵件中的惡意附件�,并定制防御策略,幫助趨勢(shì)科技的韓國(guó)客戶(hù)事先發(fā)覺(jué)并采取防護(hù)措施���,成功抵擋了此次黑 客攻擊��,并且沒(méi)有遭受任何損失��。通過(guò)趨勢(shì)科技的TDA搭配定制的防御方案�����,全球6大銀行當(dāng)中就有三家采用TDA�,更有超過(guò)80多個(gè)政府機(jī)構(gòu)也采用這套解決 方案免于此類(lèi)攻擊�����。
趨勢(shì)科技:本次攻擊事件的時(shí)間軸
在介紹APT攻擊手法時(shí),蔣女士談到:“APT的攻擊手法在于隱匿自己�����,針對(duì)特定對(duì)象���,長(zhǎng)期�����、有組織、有計(jì)劃的竊取數(shù)據(jù)���,這種發(fā)生在數(shù)字空間偷竊資料�、搜集情報(bào)的行為類(lèi)似于‘網(wǎng)絡(luò)間諜’��。正是由于APT的隱蔽性�����,把握其中的攻擊規(guī)律就變得尤為重要�。”
攻 擊者會(huì)鎖定的公司和資源采用針對(duì)性APT攻擊���,通常將目標(biāo)鎖定到企業(yè)員工的身上作為開(kāi)端��,并通過(guò)社交工程攻擊開(kāi)啟一連串攻擊����。而在調(diào)查數(shù)據(jù)中,只 有31%的企業(yè)會(huì)懲處將公司機(jī)密資料貼到社區(qū)網(wǎng)站上的員工����,這樣使得黑客非常容易的就能獲取到目標(biāo)企業(yè)的IT環(huán)境和組織架構(gòu)的重要信息。
利用電子郵件���、即時(shí)通信軟件����、社交網(wǎng)絡(luò)或是應(yīng)用程序漏洞找到進(jìn)入目標(biāo)網(wǎng)絡(luò)的大門(mén)�。一項(xiàng)研究指出,在87%的組織中��,會(huì)有網(wǎng)絡(luò)用戶(hù)點(diǎn)擊黑客安排的網(wǎng)絡(luò)鏈接,這些惡意鏈接都是精心設(shè)計(jì)的APT社交工程的誘餌���。
APT攻擊活動(dòng)首先在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī)����。然后,APT攻擊活動(dòng)利用網(wǎng)絡(luò)通信協(xié)議來(lái)與C&C服務(wù)器通訊�����,并確認(rèn)入侵成功的計(jì)算機(jī)和C&C服務(wù)器間保持通訊��。
在目標(biāo)網(wǎng)絡(luò)中找出放有敏感信息的重要計(jì)算機(jī),使用包括傳遞哈希值算法的技巧和工具���,將攻擊者權(quán)限提升到跟管理者一樣���,讓他可以輕松的去訪(fǎng)問(wèn)和控制關(guān)鍵目標(biāo).
為確保以后的數(shù)據(jù)竊取行動(dòng)中會(huì)得到最有價(jià)值的數(shù)據(jù),APT會(huì)長(zhǎng)期低調(diào)的潛伏�����。這是APT長(zhǎng)期潛伏不容易被發(fā)現(xiàn)的特點(diǎn)���,來(lái)挖掘出最多的資料,而且在這個(gè)過(guò)程當(dāng)中���,通常不會(huì)是重復(fù)自動(dòng)化的過(guò)程����,而是會(huì)有人工的介入對(duì)數(shù)據(jù)做分析,以做最大化的利用���。
APT 是一種高級(jí)的����、狡猾的伎倆���,高級(jí)黑客可以利用APT入侵網(wǎng)絡(luò)�����、逃避“追捕”����、悄無(wú)聲息不被發(fā)現(xiàn)�����、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長(zhǎng)期訪(fǎng)問(wèn)���,最終挖掘到 攻擊者想要的資料信息���。數(shù)據(jù)泄露的代價(jià)對(duì)公司業(yè)務(wù)和資金的損失是極其慘重的�,比如RSA就花了六千六百萬(wàn)美金來(lái)補(bǔ)救因內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)竊取事件所造成的傷害��。
趨勢(shì)科技定制防御解決方案
在談到趨勢(shì)科技面對(duì)APT攻擊的解決方案時(shí)����,蔣女士談到:“APT和針對(duì)性攻擊已證明可避開(kāi)標(biāo)準(zhǔn)外圍、網(wǎng)絡(luò)和端點(diǎn)安全防御的能力����。TDA專(zhuān)門(mén)用于檢測(cè)APT攻擊和針對(duì)性攻擊,在攻擊生命周期的各個(gè)階段識(shí)別反應(yīng)高級(jí)惡意軟件或攻擊者活動(dòng)的惡意內(nèi)容���、通信和行為�。
趨勢(shì)科技TDA主要功能包括高級(jí)持續(xù)性威脅檢測(cè)�����、威脅跟蹤�、分析和處理措施���、實(shí)時(shí)威脅控制臺(tái)���、重點(diǎn)資產(chǎn)觀察名單����、專(zhuān)家百科以及靈活的大容量部署�����。通過(guò)趨勢(shì)科技定制防御的解決方案偵測(cè)一般防御體系無(wú)法識(shí)別的惡意程序�、通訊與行為,分析攻擊與攻擊者的特征及其所帶來(lái)的風(fēng)險(xiǎn)�����,加固安全防御體系(IP地址黑 名單�����、自定義特征碼等)����,響應(yīng)并洞察針對(duì)用戶(hù)的攻擊者活動(dòng)。
最后�,蔣世琪總結(jié)趨勢(shì)科技TDA的關(guān)鍵優(yōu)勢(shì)可以降低由APT帶來(lái)的損害和數(shù)據(jù)丟失風(fēng)險(xiǎn),全網(wǎng)范圍的可見(jiàn)性��,揭示并跟蹤真是的安全狀況,提供實(shí)時(shí)的威脅分析和補(bǔ)救信息��,以及集成的結(jié)果統(tǒng)一改進(jìn)了企業(yè)范圍的威脅檢測(cè)����。
