APT 是黑客入侵系統(tǒng)的一種新方法。它是一種高級(jí)的���、狡猾的伎倆�����,高級(jí)黑客可以利用 APT 入侵網(wǎng)絡(luò)��、逃避“追捕”��、隨心所欲對(duì)泄露數(shù)據(jù)進(jìn)行長期訪問���。以下是關(guān)于APT的一些要點(diǎn):
1) 任何組織(無論是政府機(jī)構(gòu)還是非政府機(jī)構(gòu))都會(huì)成為APT的攻擊目標(biāo)。有些人錯(cuò)誤地認(rèn)為 APT 只是盯著美國國防部(Department of Defense)��。對(duì)于網(wǎng)絡(luò)攻擊而言���,政府機(jī)構(gòu)和商業(yè)組織之間并沒有明顯區(qū)別���,任何可能危害國家的事情都是攻擊者垂涎的目標(biāo)���。
2) 一旦進(jìn)入網(wǎng)絡(luò),威脅便大有用武之地��,許多攻擊的切入點(diǎn)都是誘使用戶點(diǎn)擊鏈接���。不過����,一旦APT打入系統(tǒng)內(nèi)部����,它便可以大發(fā)其威�,因?yàn)樵诠舴绞椒矫嫠欠浅8呒?jí)而狡猾的。簽名分析對(duì)于防范APT毫無作用���。高級(jí)攻擊總是百變其身�����,不斷重新編譯和利用加密來逃避檢測(cè)����。
3) 許多人誤以為攻擊類似天氣變化,來也匆匆��,去也匆匆�����,暴風(fēng)雨的日子會(huì)過去��,陽光燦爛的晴朗天會(huì)來臨�����。然而���,如今的互聯(lián)網(wǎng)始終是陰云密布的�����。以往�����,攻擊者只是定期騷擾某個(gè)機(jī)構(gòu)�����,而如今則是持續(xù)不斷的入侵�。攻擊沒有停歇的時(shí)刻,攻擊者更加“持之以恒”�。如果某個(gè)組織一段時(shí)間內(nèi)疏于防范,便給攻擊者施威留下了可乘之機(jī)�����。
4) 攻擊者深知規(guī)模經(jīng)濟(jì)的功效����,因此會(huì)盡可能快的進(jìn)行多點(diǎn)入侵。攻擊者選擇的“利器”是自動(dòng)化����。自動(dòng)化不僅確保了威脅的持續(xù)性,而且支持攻擊者能夠非?��?斓膶?shí)施攻擊。
5) 老式攻擊還會(huì)給受害者留下一些可見的破壞“線索”��。而如今�,攻擊則是不留任何痕跡的逃避“追捕”。偷偷摸摸和加以偽裝是目前攻擊的主要伎倆�����。APT 的目標(biāo)是要做到盡可能亂真 — 即使不完全相同 — 也要與合法流量盡可能接近。差別非常細(xì)微��,以至于許多安全設(shè)備根本無法分辨出來����。
6) APT的目的是幫助攻擊者牟取經(jīng)濟(jì)或財(cái)務(wù)利益。因此���,其核心目標(biāo)是數(shù)據(jù)�����。任何對(duì)機(jī)構(gòu)有價(jià)值的東西對(duì)攻擊者而言同樣有利可圖��。隨著云計(jì)算技術(shù)的日益普及��,通過互聯(lián)網(wǎng)�����,數(shù)據(jù)已變得越來越“唾手可得”�����。
7) 攻擊者不僅需要做到對(duì)目標(biāo)機(jī)構(gòu)的系統(tǒng)進(jìn)出自如��,而且要能夠長期訪問到有價(jià)值的數(shù)據(jù)�。如果攻擊者下大力氣侵入了一個(gè)機(jī)構(gòu)的系統(tǒng),他一定想做到長期“霸占”數(shù)據(jù)����。偷一次數(shù)據(jù)會(huì)獲得小利,而九個(gè)月內(nèi)持續(xù)竊取數(shù)據(jù)則會(huì)使攻擊者大發(fā)橫財(cái)��。
所有這些意味著用戶所面臨的攻擊和威脅將是長期的��、持續(xù)的����,因此對(duì)于機(jī)構(gòu)而言必須時(shí)刻保持“戰(zhàn)備”狀態(tài),這是十分必要的����。這是一場(chǎng)不會(huì)結(jié)束的戰(zhàn)爭(zhēng)。APT極其狡猾��、隱匿���,這預(yù)示著機(jī)構(gòu)很可能在幾個(gè)月內(nèi)持續(xù)遭受入侵��,卻渾然不知��。如果出現(xiàn)這種受到攻擊者數(shù)月隱匿攻擊���,自己卻蒙在鼓里的情況,該如何應(yīng)對(duì)呢����?
如何防范 APT?
防范是理想舉措��,而檢測(cè)則是必要的�。多數(shù)機(jī)構(gòu)僅僅重視防范措施,對(duì)于 APT 而言�,它是偽裝成合法流量侵入網(wǎng)絡(luò)的,很難加以分辨����,因此防范效果甚微。只有攻擊數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)內(nèi)部����,破壞和攻擊才開始實(shí)施。
針對(duì) APT這種新的攻擊媒介,以下是防范此類威脅的必要措施:
1) 控制用戶并增強(qiáng)安全意識(shí) — 一條通用法則是:你不能阻止愚蠢行為發(fā)生���,但你可以對(duì)其加以控制�。許多威脅通過引誘用戶點(diǎn)擊他們不應(yīng)理會(huì)的鏈接侵入網(wǎng)絡(luò)�����。限制沒有經(jīng)過適當(dāng)培訓(xùn)的用戶使用相關(guān)功能能夠降低整體安全風(fēng)險(xiǎn)�,這是一項(xiàng)需要長期堅(jiān)持的措施。
2) 對(duì)行為進(jìn)行信譽(yù)評(píng)級(jí) — 傳統(tǒng)安全解決方案采用的是判斷行為“好”或“壞”���、進(jìn)而“允許”或“攔截”之類的策略��。不過�,隨著高級(jí)攻擊日益增多��,這種分類方法已不足以應(yīng)對(duì)威脅����。許多攻擊在開始時(shí)偽裝成合法流量進(jìn)入網(wǎng)絡(luò),得逞后再實(shí)施破壞���。由于攻擊者的目標(biāo)是先混入系統(tǒng)�����,因此�,需要對(duì)行為進(jìn)行跟蹤���,并對(duì)行為進(jìn)行信譽(yù)評(píng)級(jí)��,以確定其是否合法����。
3) 重視傳出流量 — 傳入流量通常被用于防止和攔截攻擊者進(jìn)入網(wǎng)絡(luò)。毋庸置疑,這對(duì)于截獲某些攻擊還是有效的�,而對(duì)于 APT,傳出流量則更具危險(xiǎn)性����。如果意在攔截?cái)?shù)據(jù)和信息的外泄�����,監(jiān)控傳出流量是檢測(cè)異常行為的有效途徑�����。
4) 了解不斷變化的威脅 — 對(duì)于您不了解的東西很難做到真正有效的防范。因此�,有效防范的唯一途徑是對(duì)攻擊威脅有深入了解,做到知己知彼�。如果組織不能持續(xù)了解攻擊者采用的新技術(shù)和新伎倆,將不能做到根據(jù)威脅狀況有效調(diào)整防范措施����。
5) 管理終端 — 攻擊者可能只是將侵入網(wǎng)絡(luò)作為一個(gè)切入點(diǎn),他們的最終目的是要竊取終端中保存的信息和數(shù)據(jù)�����。要有效控制風(fēng)險(xiǎn)�,控制和鎖定終端將是一項(xiàng)長期有效的機(jī)構(gòu)安全保護(hù)措施。
如今的威脅更加高級(jí)���、更具持續(xù)性����、更加隱匿�,同時(shí)主要以數(shù)據(jù)為目標(biāo),因此�,機(jī)構(gòu)必須部署有效的防護(hù)措施加以應(yīng)對(duì)。
總結(jié)
今后一段時(shí)期�����,APT將會(huì)越來越頻繁的出現(xiàn)。忽視這一問題意味著您的機(jī)構(gòu)將面臨著威脅破壞的風(fēng)險(xiǎn)�。應(yīng)對(duì)APT的核心要?jiǎng)?wù)是要“了解系統(tǒng)/網(wǎng)絡(luò)”。越了解網(wǎng)絡(luò)流量和服務(wù)��,越能更好的確定/識(shí)別異常行為����,進(jìn)而能更好的防范APT�。
確保機(jī)構(gòu)得到適當(dāng)保護(hù)的有效方法是運(yùn)行模擬攻擊(例如,入侵測(cè)試����、紅隊(duì)和倫理黑客攻擊),以了解組織的漏洞狀況����。最為重要的是,如何快速檢測(cè)漏洞���。確保成功的關(guān)鍵要素是:
1) 切記一定獲得明確批準(zhǔn)
2) 運(yùn)行良性攻擊
3) 確保執(zhí)行測(cè)試的人員具備等同于真正黑客的專業(yè)技術(shù)水平
4) 及時(shí)修復(fù)漏洞
好消息是通過了解威脅和機(jī)構(gòu)的漏洞情況��,用戶將能夠有效抵御APT�����。
