2010年威胁分析:多为有针对性技巧攻击

2010年是以一波有针对性的网络攻击和数据泄漏开始的,这一轮攻击影响到了谷歌、Adobe、英特尔和20多家美国公司,随后又出现了Stuxnet蠕虫攻击,虽然安全行业对这些威胁进行了大量调查和研究,但在阻止或者减少高度针对性攻击(包括所谓的高级持续性威胁APT攻击)方面,仍然没有取得进展。

Operation Aurora攻击以及Stuxnet蠕虫攻击(旨在通过破坏PLC设备来干扰伊朗的核设施)无疑是2010年的主角。谷歌公开宣布遭到攻击以及其知识产权失窃在这个客户数据泄漏披露刚出现的年代是史无前例的。而Stuxnet似乎是有不同领域的专家(精通零日攻击和复杂的PLC技术)组成的团队开发出来的。

不过,安全专家表示,面对Aurora、Stuxnet和其他有针对性的技巧性攻击,安全行业已经开始进行大量调查研究工作,并且也引起了大家的重视和认识,这些攻击只占未被发现的攻击中的一小部分。

“我的猜测是,对于这些攻击者的行为,我们只能看到10%到15%,”为大部分财富100强和其他大客户调查高级持续性攻击的取证公司Mandiant公司首席执行官Kevin Mandia表示。

“Aurora什么都没做,它在这些攻击中没有没有留下任何很急,每个人都说它提高了大家的意识,但是根据我们Aurora出现之前和出现以后的经验,它们在攻击活动中都没有留下痕迹,它们就像坦克在玉米地一样,不断地碾过企业网络,”Mandia表示。

同时,也存在很多关于高级持续性攻击的错误观念,包括这样的理论,即在这种有针对性入侵的攻击背后通常存在一支攻击者团队。事实上,大多数高级持续性受害者已经被多种不同的攻击者渗透,大多数攻击者都不知道对方的存在,根据Mandiant表示,“我们在一个环境中发现了多个攻击团队,”Mandiant公司的主管Christopher Glyer表示。

在某个案例中,Mandiant公司发现在受害者的网络中存在来自八个不同团队的八个不同的高级持续性攻击,“他们是在这个环境中同时进行攻击,他们似乎不知道存在其他的攻击团队,”Glyer表示。

当谷歌决定公布于众并决定退出中国市场,且不再阻止搜索结果(这样会使攻击者从该搜索巨头中窃取源代码)时,Aurora攻击就出现了。针对谷歌、Adobe、英特尔和其他公司的Aurora攻击是从受害企业的终端客户开始的,通过利用包含有害附件的邮件对用户进行鱼叉式网络钓鱼攻击。

与此同时,Stuxnet首先是作为针对发电厂和工厂车间系统的恶意攻击出现的,它还打开了全新的攻击水平,这种攻击水平可以执行不可思议的事情:操纵和破坏发电厂和其他关键基础设施系统。这在技术上并不认为是高级持续性攻击,但是它包含一些相似的特点,例如特殊战略和智慧。专家根据这种攻击的专业知识层次和攻击的复杂性认为这与一些民族国家有关联。

“Stuxnet很强大,”Mandia表示,“我们可以迅速上手,在没有建立好的情况下,你无法在一个攻击中放置4个零日攻击,”他表示,“这真的很令人咋舌。”

NetWitness公司首席安全官Eddie Schwartz表示,Stuxnet就是高级持续攻击。“肯定有很多人不同意我的观点,但是我确实认为Stuxnet就是高级持续性攻击,根据很多安全权威人士推崇的经典定义来看,它并不算是高级持续性攻击,但是它确实是高级攻击,因为它需要使用对手的多种战术和情报资源,并且它是有针对性的,所以我们需要用针对高级持续性攻击相同的防御方法来对付Stuxnet攻击,”他表示。

同时,取证专家表示,当公司自愿站出来披露他们已经受到这种类型的攻击时,将能大大帮助连接其他企业的相关攻击点,并且有可能更接近攻击来源。但是与法律规定的披露相比,自愿披露是很少见的,大多数专家表示,自愿披露仍然是例外。

NetWitness公司的Schwartz表示他希望有更多公司能够公开他们的高级持续性威胁经验,“那么很多受害公司就会有更多证据,这可能能够揭露真正的攻击源和攻击者的意图,”Schwartz表示。

不过共享数据也需要正确的处理,“即使当公司共享那些数据,中间必须有一个可信任的实体来分析数据,需要相关技术和人力资源,”他表示,“然后他们能够得出一些结论,并将结论告知该企业。”

谷歌对Aurora的公开揭露基本上暴露了针对联邦机构、国防承包商和企业(近年开始出现)的攻击秘密,“当新公司感染高级持续性攻击时,仿佛就是,‘欢迎来到俱乐部,你怎么这么久才来?’”Mandiant公司的Glyer表示,“最大的转折就是谷歌公开宣布了他们遭受高级持续性攻击的情况,这对安全行业非常有利,但是还是有很多遭受攻击的企业不愿意站出来谈论这个。”

然而,你无法只修复补丁就能抵御高级持续性攻击。社会工程学是高级持续性攻击者有力的工具,Mandiant公司的Mandia表示,“很难阻止这种攻击,他们总是能利用漏洞,”他说,“修复所有系统并不意味着你不会受到感染,如果你沦为他们的目标的话。”

自2010年9月以来,Mandiant公司发现有42%的高级持续性攻击受害者来自商业公司,包括加密技术和通讯、汽车、航天/卫星、采矿、能源、法律、投资银行、化工、法律、技术和媒体产业。大约有31%的受害者是国防承包商;13%是非政府组织;7%是外国政府;5%美国政府机构;2%是军事。