APT攻击应对措施于思考 - APT防御产品

APT攻击应对措施于思考

如果说以往黑客发起的网络攻击多以政府为主要目标的话,那么从2010年开始,许多企业也已成为被攻击的目标。2011年8月,安全厂商McAfee和Symantec发现并报告了Operation Shady RAT攻击行动,该攻击始于2006年,在长达数年的持续攻击过程中,渗透并攻击了全球多达72个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等。回顾一系列的网络攻击事件之后,人们惊讶地发现,这些网络攻击并不是一个个孤立的事件,而是有计划、有策略的预谋APT。正如人们最先只看到棋盘上的一兵一卒横冲直撞,等到几个回合下来、损失惨重之时才恍然大悟:原来是深谋远虑的老将在幕后坐镇全局指挥调度。

2011年被APT攻击的世界级企业中,RCA和SONY是其中最大的企业,数百万客户资料被窃,不但信誉受到巨大伤害,而且需要付出昂贵的代价才能修复。这样的案例还有愈演愈烈之势。人们不禁要问,APT是什么?能有如此巨大的破坏力?我们应该如何对付它?
APT是什么?APT(Advanced Persistent Threat)先进持续性渗透攻击,它的特点:针对特定的政府或企业为攻击目标,长时间地进行有计划、有组织的网络攻击,以获取极具价值的情报信息。称其“先进”,其实就是“智能化”有所增强,当它的一种攻击方法不能奏效时,就会尝试采用另一种攻击方法,直至达到预定攻击效果。其次,APT的另一特点是持续且隐蔽,能长期潜伏,具有一定的反侦测能力,因此人们往往会被其低调而缓慢的行动所迷惑,以致遭受巨大损失后才有所顿悟。
APT采用的“先进”技术。实际上,APT所采用的一些技术手段我们并不陌生。如它在网络社交社区物色目标对象,诱使目标对象打开含有恶意程序的邮件,使攻击者获得电脑的控制权,建立起被其控制的僵尸网络平台,然后长期潜伏下来,以被控电脑为跳板去入侵目标对象所处的整个网络,最终获取攻击者预定的情报信息;又如APT采用了混合模式攻击,能在一次攻击中使用多种恶意软件,可根据目标特性来进行选取;一条入侵路线被封锁了,APT会再选另一条;再如在病毒软件的生杀较量中,一旦有了病毒样本可进行匹配检测,攻击者就会想出另外的隐形法去规避特征匹配的病毒查杀。这些技术我们已有所了解,
只不过APT更加“先进”、“智能”而已。
我们的网络遭受了APT吗?有些人说,迄今为止,针对中国的APT还未见报道,似乎天下太平,只是在喊狼来了而已。实际上,网络对抗是的的确确客观存在的,APT给世界范围内的政府和企业带来的危害也是不争的事实,中国处于各种漩涡之中,哪能有独善其身的道理?造成这种错觉的原因是:一方面,APT深谋远虑的攻击从一开始就会将自己的意图严严实实地掩盖起来,像IP地址、网域注册信息等都会是虚假的,人们从支离破碎的现象中也很难立即拼凑出全貌来;另一方面,一些针对特定行业的攻击(如“震网”Stuxnet 针对智能电网)需要特殊的背景和深度技术才能实现,使人们盲目地相信一般黑客不可能造出如此“先进”的攻击工具来。APT造成的广泛而严重的后果应当令这些盲目乐观者清醒了,的确,APT狼来了。
如何应对APT?首先,必须加强网络的安全态势感知。网络安全态势感知是要了解网络所遭受的潜在安全威胁程度、掌握网络和主机的工作状态正常与否、有无异常情况发生?特别要强调的是“异常情况”感知,这是应对已知攻击以及未知攻击的基础,只有知道网络发生了安全问题才能采取对策进行遏制,至少可进行隔离、关闭、采证等响应。也只有通过积累才能不断学习、丰富感知系统的知识库,应对各种新型和未知的攻击。
其次,在网络安全防护部署组织上,传统的多层次纵深部署仍需重视,如病毒查杀、漏洞扫描、补丁系统等。但更需要将扫描、拦截、遏制等措施加以关联和智能化,以安全防护体系的智能化对抗APT的智能化。 
再有,做好长期抗战准备。APT并不是一种新的攻击方法,也不是阻断一次攻击就一劳永逸的那一类威胁,必须做好长期对抗APT的心理准备,要有全局观点,有意识地将各种貌似支离破碎的现象关联起来进行分析,不断发现APT的新招,研究与其对抗的绝招。
对抗APT可以从我做起。政府和企业要强化APT对抗能力,但每位公民也可以从自身做起,从基础做起。首先,养成良好的习惯,电脑要定期进行病毒查杀,安装补丁程序。其次,不明邮件要慎重开启,特别是邮件的附件,要警惕那些带有诱惑性的可疑附件很可能是装有潘多拉的魔盒。在网上社交社区活动要有安全防范意识,因为APT大都是从这里开始物色对象的。再有,要妥善保管好自己的各种账户和密码。


转载请注明出处 APT防御产品 » APT攻击应对措施于思考

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址