APT攻擊在2010年開(kāi)始成為企業(yè)所面臨的最大威脅之一����,這兩年零售商 Target 和百貨公司 Neiman Marcus 的大量資料外泄就是典型的APT攻擊事件���。還有主要攻擊目標(biāo)為發(fā)電廠或煉油廠自動(dòng)化生產(chǎn)與控制系統(tǒng)( SCADA )的 Stuxnet 蠕蟲(chóng)病毒�����,以及由黑客組織的”海蓮花”對(duì)于我國(guó)海事部門(mén)發(fā)動(dòng)的攻擊�����,其本質(zhì)上都是APT攻擊���。
與普通黑客的”坑蒙拐騙”不同,APT攻擊者不追求感染量�����,對(duì)盜取QQ號(hào)�、微信號(hào)、流氓廣告推廣的行徑更是不屑一顧�。他們從事以網(wǎng)絡(luò)為媒介的間諜行為,一切以拿下對(duì)象為目標(biāo)����,結(jié)果常常是竊密或暴力破壞�。兩者最本質(zhì)的區(qū)別就是定向性�。
通過(guò)對(duì)APT攻擊的海量信息進(jìn)行分析,亞信安全的技術(shù)人員發(fā)現(xiàn)����,APT攻擊的攻擊范圍不斷擴(kuò)大、隱蔽性也越來(lái)越強(qiáng)���。首先����,統(tǒng)計(jì)數(shù)據(jù)表明�����,有91%的 APT攻擊利用電子郵件作為開(kāi)始的進(jìn)入點(diǎn)�����,攻擊者顯然認(rèn)為電子郵件是阻力最小的攻擊路徑���,可以用來(lái)避開(kāi)現(xiàn)有的安全防御。假設(shè)一般員工平均每個(gè)工作日會(huì)收到10封電子郵件��,就等于我們每天就有10次掉進(jìn)黑客陷阱的風(fēng)險(xiǎn),高級(jí)管理人員的風(fēng)險(xiǎn)更會(huì)成倍增長(zhǎng)�����。其次�,在針對(duì)數(shù)據(jù)泄漏事件的調(diào)查中,黑客平均潛伏的天數(shù)長(zhǎng)達(dá) 205 天�,這意味著許多企業(yè)的網(wǎng)絡(luò)安全架構(gòu)在很長(zhǎng)時(shí)間內(nèi)都被”蒙著眼睛”。
如何剪斷APT的”殺手鏈”
如何有效治理APT攻擊等定制化網(wǎng)絡(luò)威脅是一個(gè)不容掉以輕心的課題�����。對(duì)此�,亞信安全有非常深刻和專(zhuān)業(yè)的認(rèn)識(shí),APT攻擊是一種目的性強(qiáng)且復(fù)雜的網(wǎng)絡(luò)攻擊�,不法分子廣泛采用了零日漏洞、高級(jí)定制木馬��、專(zhuān)用攻擊設(shè)備來(lái)進(jìn)行入侵和信息竊取����,具有難發(fā)現(xiàn)、難分析�、難追蹤的特點(diǎn)。如果用戶(hù)還不能建立起有效的APT攻擊防御架構(gòu)���,任何一個(gè)組織都可能遇到數(shù)據(jù)泄漏的危險(xiǎn)���。因此��,用戶(hù)應(yīng)該根據(jù)APT攻擊鏈條建立有效的抑制點(diǎn)��。
APT攻擊共有6個(gè)階段��,這包括:情報(bào)收集�����、單點(diǎn)突破����、命令與控制(C&C 通信)��、橫向移動(dòng)���、資產(chǎn)/資料發(fā)掘、資料竊取��。而最佳方案就是在這條被稱(chēng)為”殺手鏈”(APT Kill Chain)的進(jìn)攻路線上�����,建立一一對(duì)應(yīng)的抑制點(diǎn),這不僅需要借助亞信安全深度威脅發(fā)現(xiàn)平臺(tái)Deep Discovery等相關(guān)工具�����,同時(shí)還需要態(tài)勢(shì)感知和智能聯(lián)動(dòng)的運(yùn)行機(jī)制�,以及本地和全球威脅情報(bào)”雙回路”暢通,最終形成一套精密編排的安全聯(lián)動(dòng)運(yùn)維體系�����。
亞信安全深度威脅發(fā)現(xiàn)平臺(tái)Deep Discovery平臺(tái)包括:深度威脅發(fā)現(xiàn)設(shè)備TDA����、深度威脅分析設(shè)備DDAN、深度威脅安全網(wǎng)關(guān)Deep Edge��、深度威脅郵件網(wǎng)關(guān)DDEI�、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security,以及能夠統(tǒng)一聯(lián)動(dòng)管理的控制管理中心Control Manager和APT治理專(zhuān)屬咨詢(xún)服務(wù)�����,實(shí)現(xiàn)網(wǎng)關(guān)����、服務(wù)器��、終端�����、云等安全產(chǎn)品的整合��,構(gòu)成完整的APT治理體系��。
“社交網(wǎng)絡(luò)”沒(méi)有錯(cuò)��,人才是關(guān)鍵
很多人會(huì)在好奇心的驅(qū)使下�,點(diǎn)開(kāi)那些具有致命誘惑的鏈接,最終導(dǎo)致公司網(wǎng)絡(luò)被APT攻陷�。因此所有企業(yè)應(yīng)將員工培訓(xùn)作為防范APT攻擊的重要一步,同時(shí)在專(zhuān)業(yè)人員的協(xié)助下���,有針對(duì)性地進(jìn)行滲透測(cè)試�,這不但可以讓員工增強(qiáng)對(duì)社交工程攻擊的抵御能力��、了解企業(yè)安全策略�����,更是APT威脅治理的重要組成部分�����。
