知己知彼 RSA安全管理中心叫板APT
陈毅东 发表于:12年06月05日 00:00 [转载] 至顶网
APT(高级持续威胁)在过去的2年多时间中,正逐渐成为威胁企业安全的主流攻击方式。它的每一次出现,都会震动安全产业的神经;它的每一次出现,精细化程度和复杂程度都会引发企业对现有安全策略和架构的思考;它的每一次出现,目标靶单上的主角都会让人们大吃一惊,这份靶单上除了国家、组织机构、知名企业等外,甚至安全厂商也在劫难逃。据了解,在2011年美国本土有超过70次在APT范畴的大型安全攻击。
企业的高价值资产、关键数据成为APT攻击者不断追寻的猎物,它们包括:知识产权、高的访问权限、私有数据和系统。美国国家标准和技术研究院对 APT给出了详细定义:精通复杂技术的攻击者利用多种攻击向量(如:网络,物理和欺诈)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据(如将数据从内网输送到外网),执行或阻止一项任务,程序;又或者是潜入对方架构中伺机进行偷取数据。APT威胁:1.会长时间重复这种操作;2.会适应防御者从而产生抵抗能力;3.会维持在所需的互动水平以执行偷取信息的操作。
诱发APT逐渐成为针对企业的主流安全威胁的因素有很多,比如竞争加剧的全球经济环境,金融市场的衰退,企业现有IT系统和安全架构的弊端。而对于大多数企业而言,不得不通过全新的思路和找寻更加有效的方法来应对APT攻击威胁。
近日RSA通过网络会议的形式举办了“领先一步应对危机四伏的高级网络威胁”研讨会,RSA资深技术顾问华丹在线分享了RSA如何帮助企业应对APT攻击的思路和方法。
知彼——解析APT典型流程
华丹首先分享了一个典型的APT攻击流程,这个流程你可能似曾相识,因为有的步骤也适用于其他安全威胁流程,比如木马制造,恶意分发,僵尸机的控制等。
如图所示,这是一个典型的APT恶意软件分发流程,需要五个步骤:黑客制造木马并通过0-day漏洞随机的控制僵尸机,通过目前主流的社交网络、IM工具等放出消息售卖其木马和僵尸资源,位于黑客产业链的第三方恶意软件资源得到消息后,会提供各种形式的恶意软件,并委托其将恶意软件放到分发更新服务器,被随机控制的僵尸机会通过分发服务器下载第三方恶意软件并释放恶意软件,僵尸机上的有价值信息会被窃取,同时这台机器会成为跳板,以帮助恶意软件潜入进更有价值的企业关键服务器。
华丹表示,“不管是APT,还是恶意软件分发都越来越产业化,分工更加精细,而且目标也更加明确,就是企业的关键数据和信息的重要节点。对于企业而言,目前的安全架构正在失效,因为在很短的时间,数据和信息就泄露了,而且攻击者全身而退,留给企业的可能是无迹可寻,或者花费很长的时间来调查数据和信息的泄露原因。”
对于APT攻击,企业所面临的挑战主要是APT攻击不易察觉,因为它的恶意程序回报有别于传统的攻击方式;此外,由于不明显的攻击和立即损害,会让企业低估APT攻击所带来的损失,后知后觉和数据泄露,让企业纠结于是否企业内部出现人为的泄露。