APT 是黑客入侵系統(tǒng)的一種新方法�����。它是一種高級的�、狡猾的伎倆,高級黑客可以利用 APT 入侵網(wǎng)絡(luò)����、逃避“追捕”、隨心所欲對泄露數(shù)據(jù)進行長期訪問��。以下是關(guān)于APT的一些要點:
1) 任何組織(無論是政府機構(gòu)還是非政府機構(gòu))都會成為APT的攻擊目標���。有些人錯誤地認為 APT 只是盯著美國國防部(Department of Defense)����。對于網(wǎng)絡(luò)攻擊而言,政府機構(gòu)和商業(yè)組織之間并沒有明顯區(qū)別��,任何可能危害國家的事情都是攻擊者垂涎的目標��。
2) 一旦進入網(wǎng)絡(luò)��,威脅便大有用武之地�����,許多攻擊的切入點都是誘使用戶點擊鏈接����。不過,一旦APT打入系統(tǒng)內(nèi)部����,它便可以大發(fā)其威,因為在攻擊方式方面它是非常高級而狡猾的����。簽名分析對于防范APT毫無作用����。高級攻擊總是百變其身�����,不斷重新編譯和利用加密來逃避檢測���。
3) 許多人誤以為攻擊類似天氣變化,來也匆匆��,去也匆匆��,暴風(fēng)雨的日子會過去�����,陽光燦爛的晴朗天會來臨���。然而��,如今的互聯(lián)網(wǎng)始終是陰云密布的��。以往��,攻擊者只是定期騷擾某個機構(gòu)��,而如今則是持續(xù)不斷的入侵��。攻擊沒有停歇的時刻��,攻擊者更加“持之以恒”����。如果某個組織一段時間內(nèi)疏于防范,便給攻擊者施威留下了可乘之機���。
4) 攻擊者深知規(guī)模經(jīng)濟的功效����,因此會盡可能快的進行多點入侵��。攻擊者選擇的“利器”是自動化���。自動化不僅確保了威脅的持續(xù)性��,而且支持攻擊者能夠非?��?斓膶嵤┕?。
5) 老式攻擊還會給受害者留下一些可見的破壞“線索”����。而如今,攻擊則是不留任何痕跡的逃避“追捕”����。偷偷摸摸和加以偽裝是目前攻擊的主要伎倆。APT 的目標是要做到盡可能亂真 — 即使不完全相同 — 也要與合法流量盡可能接近����。差別非常細微��,以至于許多安全設(shè)備根本無法分辨出來�。
6) APT的目的是幫助攻擊者牟取經(jīng)濟或財務(wù)利益。因此����,其核心目標是數(shù)據(jù)。任何對機構(gòu)有價值的東西對攻擊者而言同樣有利可圖�。隨著云計算技術(shù)的日益普及,通過互聯(lián)網(wǎng)���,數(shù)據(jù)已變得越來越“唾手可得”�����。
7) 攻擊者不僅需要做到對目標機構(gòu)的系統(tǒng)進出自如��,而且要能夠長期訪問到有價值的數(shù)據(jù)��。如果攻擊者下大力氣侵入了一個機構(gòu)的系統(tǒng)����,他一定想做到長期“霸占”數(shù)據(jù)。偷一次數(shù)據(jù)會獲得小利�,而九個月內(nèi)持續(xù)竊取數(shù)據(jù)則會使攻擊者大發(fā)橫財。
所有這些意味著用戶所面臨的攻擊和威脅將是長期的��、持續(xù)的���,因此對于機構(gòu)而言必須時刻保持“戰(zhàn)備”狀態(tài)�,這是十分必要的��。這是一場不會結(jié)束的戰(zhàn)爭�。APT極其狡猾、隱匿�����,這預(yù)示著機構(gòu)很可能在幾個月內(nèi)持續(xù)遭受入侵,卻渾然不知����。如果出現(xiàn)這種受到攻擊者數(shù)月隱匿攻擊,自己卻蒙在鼓里的情況��,該如何應(yīng)對呢���?
如何防范 APT��?
防范是理想舉措�����,而檢測則是必要的。多數(shù)機構(gòu)僅僅重視防范措施���,對于 APT 而言��,它是偽裝成合法流量侵入網(wǎng)絡(luò)的���,很難加以分辨,因此防范效果甚微�����。只有攻擊數(shù)據(jù)包進入網(wǎng)絡(luò)內(nèi)部,破壞和攻擊才開始實施����。
針對 APT這種新的攻擊媒介,以下是防范此類威脅的必要措施:
1) 控制用戶并增強安全意識 — 一條通用法則是:你不能阻止愚蠢行為發(fā)生�����,但你可以對其加以控制��。許多威脅通過引誘用戶點擊他們不應(yīng)理會的鏈接侵入網(wǎng)絡(luò)���。限制沒有經(jīng)過適當培訓(xùn)的用戶使用相關(guān)功能能夠降低整體安全風(fēng)險���,這是一項需要長期堅持的措施。
2) 對行為進行信譽評級 — 傳統(tǒng)安全解決方案采用的是判斷行為“好”或“壞”�����、進而“允許”或“攔截”之類的策略���。不過��,隨著高級攻擊日益增多��,這種分類方法已不足以應(yīng)對威脅���。許多攻擊在開始時偽裝成合法流量進入網(wǎng)絡(luò)����,得逞后再實施破壞���。由于攻擊者的目標是先混入系統(tǒng)�����,因此���,需要對行為進行跟蹤,并對行為進行信譽評級���,以確定其是否合法。
3) 重視傳出流量 — 傳入流量通常被用于防止和攔截攻擊者進入網(wǎng)絡(luò)���。毋庸置疑�����,這對于截獲某些攻擊還是有效的�,而對于 APT,傳出流量則更具危險性�����。如果意在攔截數(shù)據(jù)和信息的外泄���,監(jiān)控傳出流量是檢測異常行為的有效途徑�����。
4) 了解不斷變化的威脅 — 對于您不了解的東西很難做到真正有效的防范�����。因此�,有效防范的唯一途徑是對攻擊威脅有深入了解��,做到知己知彼���。如果組織不能持續(xù)了解攻擊者采用的新技術(shù)和新伎倆����,將不能做到根據(jù)威脅狀況有效調(diào)整防范措施。
5) 管理終端 — 攻擊者可能只是將侵入網(wǎng)絡(luò)作為一個切入點�����,他們的最終目的是要竊取終端中保存的信息和數(shù)據(jù)�����。要有效控制風(fēng)險���,控制和鎖定終端將是一項長期有效的機構(gòu)安全保護措施�。
如今的威脅更加高級��、更具持續(xù)性�、更加隱匿,同時主要以數(shù)據(jù)為目標���,因此��,機構(gòu)必須部署有效的防護措施加以應(yīng)對。
總結(jié)
今后一段時期,APT將會越來越頻繁的出現(xiàn)���。忽視這一問題意味著您的機構(gòu)將面臨著威脅破壞的風(fēng)險���。應(yīng)對APT的核心要務(wù)是要“了解系統(tǒng)/網(wǎng)絡(luò)”。越了解網(wǎng)絡(luò)流量和服務(wù)��,越能更好的確定/識別異常行為���,進而能更好的防范APT�����。
確保機構(gòu)得到適當保護的有效方法是運行模擬攻擊(例如��,入侵測試��、紅隊和倫理黑客攻擊)����,以了解組織的漏洞狀況��。最為重要的是��,如何快速檢測漏洞。確保成功的關(guān)鍵要素是:
1) 切記一定獲得明確批準
2) 運行良性攻擊
3) 確保執(zhí)行測試的人員具備等同于真正黑客的專業(yè)技術(shù)水平
4) 及時修復(fù)漏洞
好消息是通過了解威脅和機構(gòu)的漏洞情況���,用戶將能夠有效抵御APT��。
