互联网的普及也带来了网络病毒的肆意,传统的网络安全软件可以有效的防范蠕虫病毒、间谍软件、木马、钓鱼等网络攻击威胁。然而,采用未知威胁为手段的APT攻击则是针对数据库、大量数据进行搜集,且所有的APT已知威胁只是对过去的积累和收集,很多新兴威胁没有样本可循,这增加了APT威胁的攻击力,并让我们越发难测,由于APT攻击的存在,企业暴露在未知威胁影响下的时间也越来越多,风险越来越大。
此外,由于云计算和移动互联网的普及,智能终端让任何接入点都可能变成系统漏洞,企业数据中心也变成一个弹性的外围,很多网关/边界式防护都会因此存在防护的缺失。网络威胁背后的推动力是金钱利益与商业犯罪,其发展演变一定还会持续,所以一定要构筑一个面向APT威胁的综合防护的体系,实现企业自身的安全进化。
APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和入侵行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。所谓知己知彼百战百胜,防范APT,先从了解它入手。
APT是这么“来”的
APT的攻击手法在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,实际上是一种“网络间谍”的行为。APT入侵的途径多种多样,主要包括以下几方面:
首先是“水坑攻击”,攻击者在特定的网站上进行挂马,而这些网站是受害者经常访问的,从而导致恶意软件入侵。[l1] 其次是“鱼叉攻击”,以社交工程的恶意邮件是许多APT攻击成功的关键因素之一。随着社交工程攻击手法的日益成熟,这些邮件几乎真假难辨。从一些受到APT攻击的大型企业事件中可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,都是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。再次是利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。
总而言之,APT正在通过一切方式,绕过基于代码的传统安全方案,例如防病毒软件、防火墙、IPS等,且更长时间地潜伏在系统中,让传统防御体系难以侦测。
APT是这么“做”的
“潜伏性和持续性”是APT攻击主要特点。“潜伏性”,这些新型的攻击和威胁可能在用户环境中存在一年甚至更久,会不断收集各种信息,直到收集到重要情报。而发动APT攻击的目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物。“持续性”APT攻击具有持续性,甚至可能长达数年,让人无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段以及渗透到网络内部后长期蛰伏。
同时,APT攻击还具有“锁定特定目标”和“安全远程控制工具”的本事,“锁定特定目标”针对特定用户,长期进行有计划性、有组织性的窃取情报行为,针对被锁定对象寄送以假乱真的社交工程恶意邮件,例如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。“安装远程控制工具”攻击者建立一个类似僵尸网络Botnet的远程控制架构,会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查,过滤后的敏感机密数据利用加密的方式外传。
有的放矢 绿盟“下一代威胁防御解决方案”为APT而生
绿盟科技为了应对日益增多APT高级持续性威胁,推出下一代威胁防御解决方案(简称NGTP),解决方案由多个模块组成,包括绿盟全球威胁信誉系统、威胁分析系统、入侵防护模块、邮件过滤模块、终端安全模块。
威胁进不来
把威胁抵挡在企业之外是NGTP解决方案的重点。根据上面APT威胁尝试进入的分析,针对“水坑攻击”和“鱼叉攻击”这些高级攻击手法,在网络,Web,邮件和终端多个层面进行纵深检测和防御。在网络层面,尤其是Web上网访问,采用威胁分析系统TAC产品和IPS产品联动的方式进行;在邮件层面,采用威胁分析系统TAC和邮件安全网关联动方式进行。
扩散藏不住
对于极少数成功进入企业的恶意软件,通过机器学习建立模型,查找恶意软件向外进行CnC回连、对内进行扩散的企图。另外,大数据安全分析技术,对各种网络安全设备告警,操作系统日志进行统计、关联,既为威胁态势提供宏观视图,也为恶意软件扩散行为提供微观细节展示。
绿盟科技NGTP方案,通过绿盟全球威胁情报系统(NTI)实现威胁信息的共享与实时推送,在具体防护方法上,以检测未知威胁为核心,利用智能网管和大数据分析技术,对来自终端、安全网关、操作系统的告警信息进行综合分析、可视化呈现和管控,降低安全运维成本,构建下一代防御安全防御体系。