在APT攻擊過(guò)程中�����,其背后的操作者為達(dá)目的可以采取各種方法,利用任何資源�,它的攻擊周期可以設(shè)定得很長(zhǎng),并在被攻擊組織中長(zhǎng)期潛伏����。高級(jí)持續(xù)性威脅也很少僅利用單個(gè)病毒或單個(gè)惡意代碼、漏洞���,它通常會(huì)綜合利用所有的資源����,自制適合于攻擊目標(biāo)的工具��,計(jì)劃整個(gè)攻擊路線����,構(gòu)成一個(gè)完整的閉環(huán)�����。由于其利益驅(qū)動(dòng)特性,與交易和金錢直接相關(guān)的金融行業(yè)�����,成為了黑客進(jìn)攻“首選”�����,淪為APT攻擊重災(zāi)區(qū)�����。無(wú)論是2012年美國(guó)銀行遭遇DDoS攻擊����,還是2013年韓國(guó)銀行的信息系統(tǒng)遭到入侵和破壞,針對(duì)金融系統(tǒng)的APT攻擊呈現(xiàn)出愈演愈烈的趨勢(shì)����,下面我們就來(lái)盤點(diǎn)一下近年來(lái)針對(duì)國(guó)內(nèi)外針對(duì)金融行業(yè)的APT攻擊事件。
讓我們首先看看���,APT近兩年侵襲中國(guó)金融業(yè)的案例����。
發(fā)生時(shí)間 事件簡(jiǎn)述
2012-7 “中國(guó)銀聯(lián)”網(wǎng)站是最新出現(xiàn)的釣魚網(wǎng)站,一旦客戶“上鉤”誤入“釣魚”網(wǎng)站輸入自己的網(wǎng)銀賬戶和密碼�����,黑客就立刻將賬戶資金悉數(shù)盜走����。
2012-8 出現(xiàn)“網(wǎng)銀超級(jí)木馬”病毒新型變種,主要針對(duì)主流第三方支付平臺(tái)��,這是一種典型的釣魚欺詐病毒�。該病毒會(huì)監(jiān)聽用戶的支付操作行為來(lái)獲取用戶的銀行卡號(hào)及密碼,短時(shí)間將用戶銀行卡內(nèi)資金洗劫一空����。
2012-12 “支付大盜”的新型網(wǎng)購(gòu)木馬利用競(jìng)價(jià)排名偽裝為“阿里旺旺官網(wǎng)”,誘騙網(wǎng)友下載運(yùn)行木馬����,再暗中劫持受害者網(wǎng)上支付資金,把付款對(duì)象篡改為黑客賬戶��。
2013-7 迅雷會(huì)員支付頁(yè)面出現(xiàn)故障,價(jià)值180元的迅雷白金會(huì)員年費(fèi)只需1分錢即可購(gòu)買��,該故障造成迅雷損失高達(dá)100多萬(wàn)��。
2013-7 數(shù)起針對(duì)國(guó)內(nèi)金融行業(yè)的APT攻擊事件被曝光�,該事件被命名為“證券幽靈”���。這一攻擊變化多端�����,會(huì)導(dǎo)致用戶重要信息數(shù)據(jù)泄露�。
針對(duì)全球金融業(yè)�����,APT攻擊的行動(dòng)近兩年也是層出不窮�。
2011年,暗鼠行動(dòng)( Operation Shady RAT)從2006年啟動(dòng)�,滲透并攻擊了全球多達(dá)72個(gè)公司和組織的網(wǎng)絡(luò),金融公司是其攻擊的對(duì)象之一�。
2012年9月,黑客網(wǎng)絡(luò)團(tuán)體Anonymous對(duì)包括美國(guó)第一大商業(yè)銀行Bank of America���、Wells Fargo�、the Citigroup和HSBC在內(nèi)的拒絕受理維基解密業(yè)務(wù)的銀行網(wǎng)站進(jìn)行大規(guī)模的DDoS 攻擊,導(dǎo)致在線銀行業(yè)務(wù)操作經(jīng)受了嚴(yán)重的干擾��。
2013年3月20日��,新韓銀行�����、農(nóng)協(xié)銀行等金融機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)同時(shí)遭受惡意代碼侵入�,導(dǎo)致內(nèi)網(wǎng)電腦黑屏、信息系統(tǒng)癱瘓�,服務(wù)幾近中斷。這起事件��,對(duì)韓國(guó)的金融����、新聞等命脈行業(yè)造成巨大影響,韓國(guó)軍方甚至將情報(bào)作戰(zhàn)防衛(wèi)級(jí)別上調(diào)一級(jí)�。
2013年,某大型企業(yè)部署的APT防御設(shè)備捕捉到了利用金融作為主題����,針對(duì)美國(guó)花旗銀行郵件賬戶源的攻擊郵件����,附帶DOC的攻擊文檔�,并在該企業(yè)內(nèi)網(wǎng)郵件大量傳播。
由于APT攻擊的隱蔽和不大規(guī)模爆發(fā)的特征�����,傳統(tǒng)的殺毒軟件很難提前防御�,而等到攻擊爆發(fā)再來(lái)亡羊補(bǔ)牢��,信息資產(chǎn)的損失則已經(jīng)難以挽回���。因此����,提前洞察和攔截APT攻擊�����,是避免損失的最佳方案����。同時(shí)���,單一技術(shù)方向的產(chǎn)品針對(duì)APT攻擊無(wú)法形成有效的防護(hù)效果,而將多種防御手段通過(guò)一定的策略聯(lián)動(dòng)結(jié)合�,才能夠?qū)PT攻擊形成完備而立體的防御能力。金山安全作為云安全與SAAS服務(wù)提供商��,已經(jīng)攜手國(guó)內(nèi)客戶成功攔截多次APT攻擊��,其專門針對(duì)APT實(shí)時(shí)防御的金山私有云安全系統(tǒng)能夠?qū)PT和高級(jí)威脅攻擊進(jìn)行檢測(cè)����、鑒定、防護(hù)��、溯源����,是一套可定制化的,結(jié)合了動(dòng)靜態(tài)鑒定分析和流量檢測(cè)等功能的APT防護(hù)解決方案�����。該方案具有三大特征:
多維度的威脅感知體系����。私有云安全系統(tǒng)的核心思想是把白檢測(cè)的概念和動(dòng)靜態(tài)鑒定概念相結(jié)合����,配合流量檢測(cè)能力�����,其效果是最大程度上孤立“灰”��。同時(shí)在在設(shè)備管理和數(shù)據(jù)分析平臺(tái)這一層面進(jìn)行匯聚�,通過(guò)數(shù)據(jù)之間的相互參照和挖掘,達(dá)到發(fā)現(xiàn)新的威脅(尤其是APT攻擊)的目的���。
國(guó)產(chǎn)自主化高安全硬件平臺(tái)。私有云安全系統(tǒng)同國(guó)內(nèi)高度自主化的硬件平臺(tái)進(jìn)行了緊密結(jié)合�����,該硬件平臺(tái)從系統(tǒng)級(jí)板卡�、高速互聯(lián)系統(tǒng)、BIOS等均為自主開發(fā)��、設(shè)計(jì)���,符合國(guó)家自主可控的產(chǎn)業(yè)政策導(dǎo)向���。在軟硬件結(jié)合開發(fā)的過(guò)程中�����,金山根據(jù)豐富的安全經(jīng)驗(yàn)�,對(duì)平臺(tái)的各個(gè)安全環(huán)節(jié)做了全面的加固�����。
針對(duì)金融行業(yè)的全面防護(hù)能力�����。針對(duì)金融行業(yè)典型網(wǎng)絡(luò)架構(gòu)���,金山私有云安全系統(tǒng)會(huì)在核心交換區(qū)和銀行網(wǎng)銀區(qū)對(duì)網(wǎng)絡(luò)異常流量進(jìn)行檢測(cè)�����,在第三方應(yīng)用平臺(tái)接口通過(guò)動(dòng)靜態(tài)鑒定模塊對(duì)文檔進(jìn)行溢出漏洞檢測(cè)和程序可疑行為分析����,在工作區(qū)(核心區(qū)��、業(yè)務(wù)區(qū)和辦公區(qū))和終端區(qū)部署私有云安全防御客戶端。同時(shí)���,這三種模塊在金融系統(tǒng)整體流程中將形成聯(lián)動(dòng)互補(bǔ)的立體防御體系�,并結(jié)合數(shù)據(jù)挖掘技術(shù)�����,形成針對(duì)APT攻擊的發(fā)現(xiàn)����、防御和溯源的整體解決方案。
