在過去的20多年里����,攻與防的較量始終沒有停息,信息終端所面臨的風(fēng)險(xiǎn)也從單純的病毒破壞發(fā)展到木馬�����、間諜軟件等帶有明確的利益驅(qū)動(dòng)的行為�。而APT(Advanced Persistent Threat,高級(jí)可持續(xù)性威脅)攻擊作為目前攻擊類型中最高端的攻擊模式��,以及在全球多個(gè)國家的政府和企業(yè)中發(fā)生的眾多攻擊實(shí)例被頻繁討論�。
“APT是結(jié)合了包括釣魚攻擊、木馬攻擊��、惡意軟件攻擊等多種攻擊的高端攻擊模式�。原來的APT攻擊主要是以軍事、政府和比較關(guān)鍵性的基礎(chǔ)設(shè)施為目標(biāo)�,而現(xiàn)在已經(jīng)更多的轉(zhuǎn)向商用和民用領(lǐng)域的攻擊。它的目標(biāo)不僅僅是得到情報(bào)�����,而是通過攻擊來獲利�。”EMC信息安全事業(yè)部RSA產(chǎn)品管理經(jīng)理 Israel Aloni在接受ZDNet記者采訪時(shí)表示���。
APT以人為目標(biāo)尋找攻擊薄弱點(diǎn)在過去的20多年里,攻與防的較量始終沒有停息��,信息終端所面臨的風(fēng)險(xiǎn)也從單純的病毒破壞發(fā)展到木馬�、間諜軟件等帶有明確的利益驅(qū)動(dòng)的行為�。
在解釋APT典型的攻擊步驟時(shí),Aloni告訴記者�����,攻擊者首先找出它們所需要的訪問權(quán)限的個(gè)人����,然后發(fā)送偽造的帶有惡意鏈接或附件的電子郵件,感染特定的��、高價(jià)值員工的機(jī)器���。一旦進(jìn)入�,攻擊者映射出公司的IT環(huán)境以確定戰(zhàn)略資產(chǎn)�����、特權(quán)節(jié)點(diǎn)和具備更多有用權(quán)限的員工。隨后攻擊者通過其他釣魚方式或通過解密系統(tǒng)管理員的憑證來提升權(quán)限���,接著安裝惡意軟件來劫持系統(tǒng)�,創(chuàng)建后門�,建立“后背連接”功能與指揮和控制服務(wù)器通訊。最后���,攻擊者激活指揮和控制設(shè)施竊取��、加密��、壓縮和傳輸信息��。
Aloni列舉了幾個(gè)APT攻擊的案例����,某國際航天集團(tuán)的員工在企業(yè)中的信息被黑客攻陷�。通過鏈入社交網(wǎng)站,發(fā)現(xiàn)這個(gè)人的相關(guān)信息��,再給他發(fā)送長矛式釣魚郵件����,進(jìn)入他的信息系統(tǒng)����。利用這個(gè)記錄點(diǎn)���,進(jìn)入企業(yè)系統(tǒng)�,發(fā)現(xiàn)企業(yè)系統(tǒng)的零日漏洞�����,利用漏洞使機(jī)器感染惡意軟件�,而這些惡意軟件可以發(fā)現(xiàn)企業(yè)內(nèi)部到底哪里會(huì)有重要的數(shù)字資產(chǎn)�����。借此進(jìn)入運(yùn)營中心��,攻擊者持續(xù)對(duì)其他員工和網(wǎng)絡(luò)進(jìn)行攻擊�����,最終發(fā)現(xiàn)并獲取最有價(jià)值的數(shù)據(jù)�����。
在以色列的反網(wǎng)絡(luò)欺詐中心發(fā)現(xiàn),有些黑客攻擊了股票交易所��。但其目的并不是要做股票交易�,而是通過APT攻擊了解貿(mào)易雙方進(jìn)行交易的人,通過長矛釣魚攻擊����,從而獲取更有價(jià)值的信息。實(shí)際上攻擊者不僅僅是想獲得財(cái)務(wù)回報(bào)����,還想得到知識(shí)產(chǎn)權(quán)、客戶數(shù)據(jù)庫等等��,這些他都認(rèn)為是高價(jià)值的資產(chǎn)�。
所以,從APT典型的攻擊步驟和幾個(gè)案例來看����,APT不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞,而是從人開始找薄弱點(diǎn)��。APT的攻擊是針對(duì)一些高價(jià)值的信息��,利用所有的網(wǎng)絡(luò)攻擊模式��,持續(xù)瞄準(zhǔn)目標(biāo)以達(dá)到目的。Aloni指出���,由于APT攻擊以人為目標(biāo)���,它的攻擊模式發(fā)生重大轉(zhuǎn)變。以往的防病毒��、防入侵檢測主要目的是監(jiān)測系統(tǒng)�,它對(duì)應(yīng)對(duì)新型攻擊的作用有待商榷,要采用新的安全策略予以應(yīng)對(duì)��。
