APT攻击怎么理解 - APT防御产品

APT攻击怎么理解

从蠕虫到病毒,到特洛伊木马,钓鱼,SQL注入再到零日漏洞的利用,这些威胁接踵而来,简直是CSO们的噩梦。现在,我们面临着一个更为严重的威胁:高级持续威胁,简称APT。显然,这些安全威胁的名称会随着时间推移而丧失热度。每个CSO都知道APT,每个安全销售也会给产品贴上这一标签。

因为有些公司已经因为APT威胁蒙受了损失。谷歌就是其中一个。而RSA也承认有些高级且持续型黑客不仅对其造成威胁,还偷盗了一些与其 SecurID产品线相关的信息。互联网完全联盟告诫各大涉足国防工业的公司要注意APT威胁。尽管有这么多负面言论,国防工业仍然很兴盛。且至少有一位 CSO认为APT不过是一种营销噱头。“虽然这是安全供应商用来唬人的一个名词,但却是以前CSO经济学里不需要担心的事情,”Pioneer Investments CSO Ken Pfeil称。

注意,Pfeil没有说APT威胁不存在。他肯定这种威胁的存在而且也认为CSO们应该顾虑到这一威胁。只是他认为公司可以购买简单的安全产品来保障安全。在与CSO们的交谈中,他发现很多CSO对技术不内行,在购买安全产品的时候都是听信销售人员的介绍。

人的天性是期待问题出现的时候出现一个聪明的技术师提供可以解决问题的产品。遗憾的是,没有哪个单一的产品可以阻止APT威胁。

什么是APT?

美国国家标准和技术研究院对此给出了详细定义:

“精通复杂技术的攻击者利用多种攻击向量(如:网络,物理和欺诈。)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架 构进行篡改从而盗取数据(如将数据从内网输送到外网),执行或阻止一项任务,程序;又或者是潜入对方架构中伺机进行偷取数据。APT威胁:1.会长时间重 复这种操作;2.会适应防御者从而产生抵抗能力;3.会维持在所需的互动水平以执行偷取信息的操作。

简而言之,APT就是长时间窃取数据。有能力执行APT威胁的人似乎都有些共性:

聪明。他们非常聪明,能写出复杂病毒,蠕虫和其他恶意程序,然后进行伪装,这样很多防火墙,AV和IDS以及其 他工具就不会找到他们,即便是他们正从你的网络中偷取信息。在有些案例中,特别是涉及银行的案例中,黑客必须指导人们进行操作,从ATM机处取钱,然后将 其转存到其他银行账号。和素质较好的CSO们一样,这些黑客必须了解整个IT环境,而不仅仅是目标网络。

行事有条不紊。他们会购买和运行所有有意义的反病毒工具,然后在攻击前用这些工具测试自己的代码,以确保自己不会很快就被发现。

有耐心。与电影中的桥段不同,黑客一般不是通过敲几下键盘就进入某个公司的网络,尽管一些自动化攻击使其看上去 是这么回事儿。黑客或许是通过社工方式潜入。对目标人物的分析技巧是黑客技术被忽视的一面。通过人物链进入网络比以往使用技术潜入网络要容易,特别是当一 家公司对网络设置了多重障碍时。

直到最近Neohapsis CTO Greg Shipley才表示,这类攻击一直都是计算领域的一部分。Shipley称,Neohapsis在20世纪90年代末及21世纪初的时候就看到了很多网 络违规行为其实早已符合现在对APT威胁的定义:以前会使用一些复杂的方式使用未知工具渗透到企业网络中,供黑客穿行。只是这类攻击的量发生了变化。有些 还来自政府网络间谍活动。

Shipley称攻击数量的增加是有理由的,因为西方社会比十年前更注重技术和独立性。移动设备,如手机传播很广泛,消费者大幅度接受过去不曾有的数字技术。

Pfeild称另一个不同则体现咋业务主管们会向他讨教如何应对一些比较热门的安全问题。对CSO们而言,APT威胁的难点在于,从商业角度看,它并非一种新型攻击。

不过很多CSO发现业务主管现在愿意增加资金投入来防御复杂的攻击。在2011 年8月针对244位安全专家进行的一项企业策略团队调查中发现,有77%的公司因为APT现象愿意增加安全投入,包括培训方面的投入。调查中有一半的人称 APT是一种新型威胁,对于安全行业而言有其独特性。“我对人们没有轻视其威胁感到惊讶。”指导这次企业策略团队调查的Jon Oltsik说。

持续偷窃信息者

这三种攻击都归类于APT威胁名下:黑客行为主义式攻击(Hacktivism),如WikiLeaks凭证信息的发布或是Anonymous和 LulzSec等组织发起的定向攻击。政府之间的攻击。间谍活动和政治活动的历史相当。普遍有一种看法认为政府是长期攻击行为的组织者。这类攻击就像是 007电影中的桥段一样。Stuxnet攻击摧毁了伊朗电网,特别是其两个核反应堆。而外界猜测美国和以色列有可能是Stuxnet这次攻击的幕后支持 者;而美国则声称俄罗斯才是幕后操纵者。对于CSO们而言,由政府赞助的攻击行为的威胁在于它具有高度定向性,而且资金雄厚。任何公司里的CSO都有可能 成为网络间谍活动的目标。

有组织犯罪网络实施的攻击。有组织犯罪的头目看到了网络里的利益诱惑。他们有资源可以雇佣高端人才,给他们足够的时间实施攻击。

在上面三种攻击中,黑客行为主义似乎是作恶最小的APT。eEye Digital Security CTO Marc Maiffret称说:“他们都是高级的威胁。但是他们并没有试图隐藏自己的行为,所以他们的攻击并不是持续型的。”那些涉足国防,金融服务和知识产权 (包括无形资产,如开创性的生产进程)的公司更容易成为攻击目标。

是战是逃?

APT威胁符合《孙子兵法》的理念,因为它也是出其不意,攻其不备。那么,一家公司如何才能防范这种隐形式攻击呢?唯一的简单方法就是:离线。

Shipley称几乎所有跟踪网络入侵和网络异常的简单方法都已经广为人知。如果说还剩下什么,那不妨看看以下策略:

在采用新技术前对此技术进行评估。

要求技术供应商对可能把漏洞引入系统的后果负责或是要求他们对可能存在漏洞的产品负责。

对于非技术出身的管理人员要声明可能存在的风险。

Maiffret称,虽然很难阻止APT威胁,但是一些简单的预防措施还是有帮助的。他提到,如果公司按照微软的最佳实例来处理文件许可证问题,那么他们并不需要太担心Stuxnet。

就在Stuxnet出现后,就有一家大银行要求eEye对其进行风险评估,看自己是否有必要为自己公司的Windows电脑打补丁,而要为如此多的电脑打上补丁当然不是笔小开支。Maiffret称,这家银行实际上已经按照微软的指导部署了合适的许可证。

Oltsik认为CSO要看到安全架构的每一个层次,并对自己的安全策略和员工培训进修检测。

不论你是否觉得关于APT的描述言过其实,业务部门都已经听说过这一概念。Oltsik认为这给了CSO一个机会,让他们不用再抱怨管理人员不懂安全。

他建议CSO积极响应第三方机构为其网络配置做出的评估。
以前CSO只是个名分而已,所以APT可能只是几个代表威胁的字母缩写。但是在技术领域,对旧概念的微小改动就可能带来完全不一样的局面。Oltsik称,APT这个词的流行或许也意味着CSO们作用的转变


转载请注明出处 APT防御产品 » APT攻击怎么理解

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址