今天,APT(高级持续性威胁)攻击已经不再是新鲜话题,但却仍是令整个安全业界头疼的问题。作为将众多渗透技术整合在一起实现的隐秘性攻击手法——APT攻击凭借特征未知、隐蔽性强,持续时间长等特性,令传统的安全防护解决方案几乎全部失效。那么谁又能有效阻击APT攻击呢?目前来看,沙盒(模拟一个虚拟用户环境)无疑是最有效的方法之一,因为其斩断了APT攻击的“生命链条”。
为何说沙盒可以斩断APT攻击的“生命链条”?在解答这一问题之前,我们先来看一个典型的APT攻击过程,大约分为五步:
第一步,攻击者会盗用一个企业的供应商或者合作伙伴的账号,从而达到访问企业内网的目的;
第二步,攻击者利用自制的攻击工具(利用已知的和0day等未知的安全漏洞),在企业的某一台服务器或PC上种下木马病毒;
第三步,该木马会在企业网络中不断渗透,寻找企业关键的数据库,盗取包括企业核心数据,员工ID、信用卡密码、手机号等重要信息;
第四步,通过FTP、邮件、甚至是更加隐秘的方式,不断地把这些数据发送给攻击者;
第五步,整个攻击过程大约持续数个月,甚至是半年/一年。
这五步相互关联,也就形成了APT攻击的“生命链条”。而其中最关键的当属第二步,即攻击者利用0day等未知漏洞攻陷企业服务器或PC,该攻击方式隐蔽性强,传统的入侵防御系统、防病毒系统、以及web应用防火墙等均无法感知;而当攻击者完成“突破”之后,还要经历渗透(包括提权与迁移),窃听,偷数据等过程,即APT攻击需要一定的持续时间。由此不难看出,如果能够打破APT攻击隐蔽性和持续性这两个特性,也就能斩断其“生命链条”,即可有效阻止APT攻击,而沙盒就具备这样的能力。
沙盒,即为一些不可靠的程序提供试验而不影响系统运行的环境,有时也被称作沙箱。
对于基于0day的APT攻击,传统的基于签名的检测方式确实难以识别,而通过沙盒所打造的虚拟运行环境,我们即可通过其“行为”来判断一个文件、一个访问等是恶意的还是善意的,从而有效阻止APT攻击。举例来说,当一个文件在虚拟的沙箱中运行时,如果我们发现其修改了注册表、删除了文件,或是自身创造出了新的文件,亦或是试图访问恶意网站,并下载一些病毒和木马等等,那么即可确定这个文件是恶意的,即使我们现在没有其特征码,也可以防御它。与此同时,我们还可提取其“特征码”,在第一时间封堵这一未知(0day)威胁。
此外,沙盒还可快速发现网络中的安全隐患,比如有一台服务器/PC中了木马,其可快速找到这台设备,并且处理它(或隔离它),从而打断APT攻击的持续性。
通过上述介绍我们不难看出,沙盒的确是目前阻击APT攻击的最有效方法之一,其通过“行为”识别,打破其隐蔽特性;通过快速发现安全隐患(将其隔离,修补漏洞),打破其持续特性,从而斩断了APT攻击的“生命链条”,让企业的信息安全更有保证!