如今高级持续性威胁 (Advanced Persistent Threat) 已成为人尽皆知的“时髦术语”。越来越多的企业开始对其高度关注,政府部门也面临着遭受APT攻击的危险,在安全顾问的每一篇分析报告中都会提及它的“大名”。
众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。如果用户还在疲于应对三年前的威胁,毫无疑问,这将于事无补。APT促使企业和机构必须将重点放到今天存在的真正威胁上。
APT不容忽视,我们需要拨开围绕它的层层“迷雾”和不实之辞,真正关注它为什么对于用户而言是一个重要问题。不要只把它当作挂在嘴边的时髦语,如果我们能够深入了解APT的核心要素,就可以利用它来完善我们的安全举措。毫无疑问,威胁是风险防范的推动因素之一。只有充分了解攻击性威胁,企业和机构才能做到对症下药的修复漏洞。
什么是 APT?
APT 是黑客入侵系统的一种新方法。它是一种高级的、狡猾的伎俩,高级黑客可以利用 APT 入侵网络、逃避“追捕”、随心所欲对泄露数据进行长期访问。以下是关于APT的一些要点:
1) 任何组织(无论是政府机构还是非政府机构)都会成为APT的攻击目标。有些人错误地认为 APT 只是盯着美国国防部(Department of Defense)。对于网络攻击而言,政府机构和商业组织之间并没有明显区别,任何可能危害国家的事情都是攻击者垂涎的目标。
2) 一旦进入网络,威胁便大有用武之地,许多攻击的切入点都是诱使用户点击链接。不过,一旦APT打入系统内部,它便可以大发其威,因为在攻击方式方面它是非常高级而狡猾的。签名分析对于防范APT毫无作用。高级攻击总是百变其身,不断重新编译和利用加密来逃避检测。
3) 许多人误以为攻击类似天气变化,来也匆匆,去也匆匆,暴风雨的日子会过去,阳光灿烂的晴朗天会来临。然而,如今的互联网始终是阴云密布的。以往,攻击者只是定期骚扰某个机构,而如今则是持续不断的入侵。攻击没有停歇的时刻,攻击者更加“持之以恒”。如果某个组织一段时间内疏于防范,便给攻击者施威留下了可乘之机。
4) 攻击者深知规模经济的功效,因此会尽可能快的进行多点入侵。攻击者选择的“利器”是自动化。自动化不仅确保了威胁的持续性,而且支持攻击者能够非常快的实施攻击。
5) 老式攻击还会给受害者留下一些可见的破坏“线索”。而如今,攻击则是不留任何痕迹的逃避“追捕”。偷偷摸摸和加以伪装是目前攻击的主要伎俩。APT 的目标是要做到尽可能乱真 — 即使不完全相同 — 也要与合法流量尽可能接近。差别非常细微,以至于许多安全设备根本无法分辨出来。
6) APT的目的是帮助攻击者牟取经济或财务利益。因此,其核心目标是数据。任何对机构有价值的东西对攻击者而言同样有利可图。随着云计算技术的日益普及,通过互联网,数据已变得越来越“唾手可得”。
7) 攻击者不仅需要做到对目标机构的系统进出自如,而且要能够长期访问到有价值的数据。如果攻击者下大力气侵入了一个机构的系统,他一定想做到长期“霸占”数据。偷一次数据会获得小利,而九个月内持续窃取数据则会使攻击者大发横财。
所有这些意味着用户所面临的攻击和威胁将是长期的、持续的,因此对于机构而言必须时刻保持“战备”状态,这是十分必要的。这是一场不会结束的战争。APT极其狡猾、隐匿,这预示着机构很可能在几个月内持续遭受入侵,却浑然不知。如果出现这种受到攻击者数月隐匿攻击,自己却蒙在鼓里的情况,该如何应对呢?
如何防范 APT?
防范是理想举措,而检测则是必要的。多数机构仅仅重视防范措施,对于 APT 而言,它是伪装成合法流量侵入网络的,很难加以分辨,因此防范效果甚微。只有攻击数据包进入网络内部,破坏和攻击才开始实施。
针对 APT这种新的攻击媒介,以下是防范此类威胁的必要措施:
1) 控制用户并增强安全意识 — 一条通用法则是:你不能阻止愚蠢行为发生,但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的措施。
2) 对行为进行信誉评级 — 传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过,随着高级攻击日益增多,这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络,得逞后再实施破坏。由于攻击者的目标是先混入系统,因此,需要对行为进行跟踪,并对行为进行信誉评级,以确定其是否合法。
3) 重视传出流量 — 传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑,这对于截获某些攻击还是有效的,而对于 APT,传出流量则更具危险性。如果意在拦截数据和信息的外泄,监控传出流量是检测异常行为的有效途径。
4) 了解不断变化的威胁 — 对于您不了解的东西很难做到真正有效的防范。因此,有效防范的唯一途径是对攻击威胁有深入了解,做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩,将不能做到根据威胁状况有效调整防范措施。
5) 管理终端 — 攻击者可能只是将侵入网络作为一个切入点,他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险,控制和锁定终端将是一项长期有效的机构安全保护措施。
如今的威胁更加高级、更具持续性、更加隐匿,同时主要以数据为目标,因此,机构必须部署有效的防护措施加以应对。
总结
今后一段时期,APT将会越来越频繁的出现。忽视这一问题意味着您的机构将面临着威胁破坏的风险。应对APT的核心要务是要“了解系统/网络”。越了解网络流量和服务,越能更好的确定/识别异常行为,进而能更好的防范APT。
确保机构得到适当保护的有效方法是运行模拟攻击(例如,入侵测试、红队和伦理黑客攻击),以了解组织的漏洞状况。最为重要的是,如何快速检测漏洞。确保成功的关键要素是:
1) 切记一定获得明确批准
2) 运行良性攻击
3) 确保执行测试的人员具备等同于真正黑客的专业技术水平
4) 及时修复漏洞
好消息是通过了解威胁和机构的漏洞情况,用户将能够有效抵御APT。