一般的信息安全解决方案可以对抗高级持续性攻击(Advanced Persistent Threat,APT )吗? APT是为了从组织内部搜集特定档案“特别”设计出来的吗?资料外泄事件是APT造成的吗?应该说APT攻击是由“人”所发起的攻击,因此他们是智慧的、积极的找寻并最终攻陷目标,那么,今天IT团队以及他们的网络所面临的挑战将会更加残酷。
为了有效的帮助企业制订对抗APT的安全策略,趋势科技TrendLab经过充分调查,采用直观的数据图表方式来说明了APT在各个阶段所表现的形态。根据APT攻击行为的特点分析,趋势科技的研究人员将APT攻击分为如下几个阶段,它们是:情报收集、进入点、命令和控制(C&C)通讯、横向扩展、资产/数据发掘和数据窃取。
通过对APT各阶段攻击的分析,IT团队可以了解到黑客对自己网络发动攻击时用到的战术和操作。这种分析有助于观察黑客从特定网络所发动攻击的行为,并结合内部系统存在的安全隐患,建立本地威胁防御体系和动态的安全策略,这是消除由同一伙黑客或是同一类型APT攻击的关键。
▲APT攻击流程图
在现实状况下,要处理APT各阶段的攻击比一般的网络攻击要更加困难。比如说:在资产/数据发掘阶段,此时攻击者已经进到网络内部,他们寻找并分析哪些数据具有价值,并加以利用。根据一项调查显示,虽然公司的机密信息占全部数据的三分之二,但是只有一半的企业会针对此种威胁安排信息安全建设预算,信息安全有时也会沦为了“讨价还价”的范围。
第1阶段,情报收集:攻击者会锁定的公司和资源采用针对性APT攻击,通常将目标锁定到企业员工的身上作为开端,并通过社交工程攻击开启一连串攻击。而在调查数据中,只有31%的企业会惩处将公司机密资料贴到社区网站上的员工,这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。
第2阶段,进入点:利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。一项研究指出,在87%的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT社交工程的诱饵。
第3阶段,命令与控制 (C&C 通信):APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通讯,并确认入侵成功的计算机和C&C服务器间保持通讯。
第4阶段,横向扩展:在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样,让他可以轻松的去访问和控制关键目标(如:公司的邮件服务器)。
第5阶段,资产/资料发掘:为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据做分析,以做最大化的利用。
第6阶段,资料窃取:APT是一种高级的、狡猾的伎俩,高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。数据泄露的代价对公司业务和资金的损失是极其惨重的,比如RSA就花了六千六百万美金来补救因内部网络数据窃取事件所造成的伤害。
有关APT攻击的5个疑惑
在这几年里,APT攻击方式越来越流行,这引起了绝大多数企业的注意,同时也因为人们对APT攻击的不熟悉,造成很多疑惑。趋势科技整理了部分企业和在线收集的问题,并对提问概率最多的5个问题作出了有针对性的回答:
Q1:只有APT 会造成资料外泄事件?
TM:资料外泄事件的成因有很多,有些数据外泄事件是因为疏忽或是恶意的内部人员窃取所造成的。
Q2:APT是单一事件吗?
TM:APT应该被视为一连串的攻击活动,而非单一事件。同时,APT会利用各种方法不停的尝试,直到达到目的为止。
Q3:APT是用来获取预先设定目标的档案或信息吗?
TM:虽然攻击者可能知道他们想窃取哪些信息,但他们还是需要先隐藏自己,然后进行横向扩展,好来找出所需的特定档案。
Q4:钱是APT攻击活动背后的唯一动机 ?
TM:金钱并不是攻击者的唯一目的。当APT攻击活动针对特定目标时,更多时候是做网络间谍战或破坏活动。
Q5:一般的信息安全解决方案对于APT有作用吗?
TM:对抗APT攻击活动没有万灵丹,只能通过定制化的侦测机制来监控你的网络,才可以有效地降低风险。同时,针对数据泄漏,趋势科技提醒广大企业用户,越是敏感的数据,加上越多人的经手,将会导致越大的外泄风险。