最近一段時(shí)間���,APT(高級(jí)持續(xù)性威脅)已經(jīng)成為安全界人士談?wù)摰母哳l詞����。剛剛過(guò)去的5月�,已經(jīng)有不止一家企業(yè)針對(duì)APT發(fā)布了相關(guān)的安全產(chǎn)品,如:5月22日,趨勢(shì)科技發(fā)布了新一代威脅管理工具TDA解決方案�,該方案旨在幫助大型企業(yè)和政府組織抗擊高級(jí)持續(xù)性威脅(APT)和針對(duì)性攻擊(Targeted Attacks);5月23日,RSA(EMC信息安全事業(yè)部)召開(kāi)網(wǎng)絡(luò)研討會(huì)�,就如何利用智能主導(dǎo)的信息安全架構(gòu)和解決方案應(yīng)對(duì)APT的問(wèn)題展開(kāi)了集中討論,并重點(diǎn)推介了定位為安全管理中心的SMC打包解決方案;5月24日�,啟明星辰發(fā)布了兩款萬(wàn)兆產(chǎn)品,也著重強(qiáng)調(diào)了這兩款高性能新品在對(duì)抗APT時(shí)的強(qiáng)大威力��。在大大小小的安全會(huì)議上��,APT一詞也幾乎每一次都會(huì)被提及����。
APT已經(jīng)襲來(lái)����,如果你仍然認(rèn)為這只是聳人聽(tīng)聞的炒作����,那就真的危險(xiǎn)了�����。2011年�����,在美國(guó)本土����,光是有據(jù)可查的大型安全攻擊就有70多起�����。中國(guó)的APT公開(kāi)案例雖然相對(duì)少見(jiàn)����,但這并不代表APT案件真的少了,在國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)杜躍進(jìn)看來(lái)���,這是中國(guó)的安全威脅發(fā)現(xiàn)能力有限所致�。
那么,對(duì)付APT難點(diǎn)在哪兒?筆者認(rèn)為���,對(duì)付APT難在技術(shù)�����,更難在人���。
APT,是黑客以竊取核心資料為目的���,針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為����,是一種蓄謀已久的“惡意商業(yè)間諜威脅”�����。 “潛伏性和持續(xù)性”是其最大的威脅���。潛伏性��,是指這種威脅可能在用戶環(huán)境中存在一年以上或更久�����,他們不斷收集各種信息��,直到收集到重要情報(bào)��,發(fā)動(dòng)APT攻擊的黑客目的往往不是為了在短時(shí)間內(nèi)獲利����,而是借助“被控主機(jī)”當(dāng)成跳板,持續(xù)搜索���,直到能徹底掌握所針對(duì)的目標(biāo)人、事�、物;持續(xù)性,體現(xiàn)在APT攻擊者不斷嘗試的各種攻擊手段����,以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏,其病毒家族持續(xù)更新��,以對(duì)抗安全軟件的檢測(cè)��。
APT威脅和攻擊是有組織�、有目標(biāo)�����、利益驅(qū)動(dòng)的�,這些特點(diǎn)使得傳統(tǒng)的方法難以對(duì)其進(jìn)行抵御�����。具體來(lái)說(shuō)����,傳統(tǒng)方法對(duì)付APT力不從心體現(xiàn)在:APT使用的社交工程攻擊日趨成熟,郵件幾乎真假難辨;零時(shí)差攻擊造成防御的空窗期;它可輕易避開(kāi)防病毒軟件的偵測(cè);傳統(tǒng)的代碼比對(duì)機(jī)制無(wú)法找出新威脅等���。
實(shí)際上���,從技術(shù)上看,APT攻擊技術(shù)并無(wú)太多新鮮之處���。它最可怕的地方在于:有計(jì)劃��、有組織����、有目標(biāo)、利益驅(qū)動(dòng)�����,APT的發(fā)動(dòng)者是人�����,其目的是為了獲利���。它的周期可以設(shè)定得很長(zhǎng)����,它不靠單個(gè)病毒�����,也不靠單個(gè)惡意代碼和漏洞���,它可以沉下心來(lái)設(shè)計(jì)非常多的東西,構(gòu)成一個(gè)完整的閉環(huán)���。這就對(duì)安全人員的經(jīng)驗(yàn)提出了更高的要求�。
具體到一個(gè)企業(yè),要對(duì)付APT更有賴于決策者的意識(shí)�。在RSA公司資深技術(shù)顧問(wèn)華丹看來(lái),應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅最困難之處并不是在技術(shù)層面�����,而是在前期企業(yè)對(duì)APT攻擊或網(wǎng)絡(luò)威脅的重視程度和理解程度���。華丹在與客戶溝通時(shí)經(jīng)常發(fā)現(xiàn)一個(gè)現(xiàn)象�����,企業(yè)的IT安全部門認(rèn)為應(yīng)對(duì)APT很重要���,但企業(yè)的決策者并不這樣認(rèn)為,因?yàn)锳PT往往不會(huì)立刻發(fā)作�,而在潛伏期,它又往往缺乏較強(qiáng)的可視性����,因此,它很難獲得非IT人員的理解���。
對(duì)付APT的關(guān)鍵在人�,這還體現(xiàn)在:目前,市場(chǎng)上雖然并不缺乏針對(duì)APT的產(chǎn)品和解決方案���,但用戶往往很難做到事前防御��。安全人員的經(jīng)驗(yàn)在這個(gè)時(shí)候顯得至關(guān)重要���。理論上,APT的事前防御并不是不能實(shí)現(xiàn)��。但在目前���,由于絕大多數(shù)用戶企業(yè)都缺乏擁有豐富經(jīng)驗(yàn)的安全人員�����,所以大部分用戶企業(yè)只能在事中(也就是攻擊發(fā)生時(shí))開(kāi)始實(shí)施防御����,在防御APT時(shí)并不能做到足夠主動(dòng)����。
未來(lái),APT攻擊會(huì)變得更為常態(tài)化��。對(duì)企業(yè)來(lái)說(shuō)�����,當(dāng)擁有了對(duì)付APT的工具后����,最關(guān)鍵的事就是盡可能的把產(chǎn)品的功能用好,在人和流程上不斷進(jìn)行優(yōu)化�����,讓安全系統(tǒng)能真正跟企業(yè)業(yè)務(wù)緊密融合起來(lái)�����,實(shí)現(xiàn)有效防護(hù)�。
