题记:高持续性威胁(APT)是以商业和政治为目的的一个网络犯罪类别。APT需要长期经营与策划,并具备高度的隐蔽性,才可能取得成功。这种攻击方式往往不会 追求短期的经济收益和单纯的系统破坏,而是专注于步步为营的系统入侵,每一步都要达到一个目标,而不会做其他多余的事来打草惊蛇。
2010年,Google对大众承认,公司服务器遭到严重攻击。经过调查发现,骇客在收集Google员工的个人信息之后,将精心构筑的恶意代码通过IE浏览器传输到受害人的电脑上执行。没有让任何防毒软件察觉。
在监听到Google雇员平时的服务器访问密码之后,登录服务器,不断获得各种敏感信息。神不知,鬼不觉。
无独有偶,紧接着在2011年,知名安全公司RSA的SecurID被骇客窃取,所用方式也如出一辙。
这两个被踢爆的APT攻击事件,真实的反映了APT高持续性威胁在业界暗流涌动的状况。更多尚未暴露的APT攻击,仍然在地下隐秘的活动着。而传统的防毒软件、IPS、防火墙,对这类危险的防御表现欠佳。
在最近网络上流行的一篇文章——《中国黑客传说:游走在黑暗中的精灵》中也反映了类似的情况,很多公司的内网、很多大型数据中心、很多城市的水电煤等基础设施……都可能被黑暗中的入侵者悄悄掌控着,他们将APT玩的炉火纯青,享受着无与伦比的快感。
APT攻击大多有着3个明显特点。
1、 前期的目标信息收集
2、 可绕过常规防护的EXP攻击
3、 有意的避免大规模扩散,锁定固定目标。
不管是为了经济目的、政治目的,还是成就感,这些攻击行为都是大型企业和机构所不能容忍的。
目前常规的防御手段也比较典型。
1、 UTM统一威胁管理
2、 IPS /IDS入侵防护/检测系统
3、 企业版反病毒毒软件
4、 安全日志管理系统
5、 VPN/SSL/SSH加密通信
6、 漏洞扫描器
7、 流量清洗及过滤产品
以上安全产品各有优势,但彼此协作并不多,容易各自为战,缺少智能的分析和判断能力。于是,像McAfee、RSA之类的一些安全服务提供商开始在这些安全产品之上研究出“重型武器”——SIEM和SOC类安全信息管控产品。这类产品具有智能分析和判断功能,可以有效增强客户对APT攻击的发现和锁定能力。之所以将这类安全产品成为“重型武器”,是因为这类安全产品是相辅相成的立体式防御架构,必须有很多安全工具与其配套,经过细致的规划和部署才能达到最佳效果。
目前在中国国内,SIEM的普及率并不高,而对应的知名品牌也比较少。据悉,国际安全公司McAfee将在2013年第二季度在华发布一款适用于中国客户的SIEM安全信息管理系统,可以与 McAfee的ePO、DLP、IPS等产品联动,以应对日益猖獗的APT攻击。在Gartner在2012年5月的报告中显示,他们的SIEM在国际排名中位居三甲之列,美国国防部也是其客户之一。
