对付高级持续性威胁难在哪儿

最近一段时间,APT(高级持续性威胁)已经成为安全界人士谈论的高频词。刚刚过去的5月,已经有不止一家企业针对APT发布了相关的安全产品,如:5月22日,趋势科技发布了新一代威胁管理工具TDA解决方案,该方案旨在帮助大型企业和政府组织抗击高级持续性威胁(APT)和针对性攻击(Targeted Attacks);5月23日,RSA(EMC信息安全事业部)召开网络研讨会,就如何利用智能主导的信息安全架构和解决方案应对APT的问题展开了集中讨论,并重点推介了定位为安全管理中心的SMC打包解决方案;5月24日,启明星辰发布了两款万兆产品,也着重强调了这两款高性能新品在对抗APT时的强大威力。在大大小小的安全会议上,APT一词也几乎每一次都会被提及。

APT已经袭来,如果你仍然认为这只是耸人听闻的炒作,那就真的危险了。2011年,在美国本土,光是有据可查的大型安全攻击就有70多起。中国的APT公开案例虽然相对少见,但这并不代表APT案件真的少了,在国家网络信息安全技术研究所所长杜跃进看来,这是中国的安全威胁发现能力有限所致。

那么,对付APT难点在哪儿?笔者认为,对付APT难在技术,更难在人。

APT,是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。 “潜伏性和持续性”是其最大的威胁。潜伏性,是指这种威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报,发动APT攻击的黑客目的往往不是为了在短时间内获利,而是借助“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物;持续性,体现在APT攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏,其病毒家族持续更新,以对抗安全软件的检测。

APT威胁和攻击是有组织、有目标、利益驱动的,这些特点使得传统的方法难以对其进行抵御。具体来说,传统方法对付APT力不从心体现在:APT使用的社交工程攻击日趋成熟,邮件几乎真假难辨;零时差攻击造成防御的空窗期;它可轻易避开防病毒软件的侦测;传统的代码比对机制无法找出新威胁等。

实际上,从技术上看,APT攻击技术并无太多新鲜之处。它最可怕的地方在于:有计划、有组织、有目标、利益驱动,APT的发动者是人,其目的是为了获利。它的周期可以设定得很长,它不靠单个病毒,也不靠单个恶意代码和漏洞,它可以沉下心来设计非常多的东西,构成一个完整的闭环。这就对安全人员的经验提出了更高的要求。

具体到一个企业,要对付APT更有赖于决策者的意识。在RSA公司资深技术顾问华丹看来,应对高级网络威胁最困难之处并不是在技术层面,而是在前期企业对APT攻击或网络威胁的重视程度和理解程度。华丹在与客户沟通时经常发现一个现象,企业的IT安全部门认为应对APT很重要,但企业的决策者并不这样认为,因为APT往往不会立刻发作,而在潜伏期,它又往往缺乏较强的可视性,因此,它很难获得非IT人员的理解。

对付APT的关键在人,这还体现在:目前,市场上虽然并不缺乏针对APT的产品和解决方案,但用户往往很难做到事前防御。安全人员的经验在这个时候显得至关重要。理论上,APT的事前防御并不是不能实现。但在目前,由于绝大多数用户企业都缺乏拥有丰富经验的安全人员,所以大部分用户企业只能在事中(也就是攻击发生时)开始实施防御,在防御APT时并不能做到足够主动。

未来,APT攻击会变得更为常态化。对企业来说,当拥有了对付APT的工具后,最关键的事就是尽可能的把产品的功能用好,在人和流程上不断进行优化,让安全系统能真正跟企业业务紧密融合起来,实现有效防护。