APT 的攻击事件从2009年开始曝光(实际上 APT 攻击在多年前就已经发生),在接下来的四年时间里攻击事件频现:
以上攻击就是 APT(Advanced Persistent Threat),一种高级持续性的攻击模式。APT 并不特定指某种病毒,而是黑客利用先进的攻击手段对特定目标进行长期、持续性网络攻击的形式。
这些受害单位包括顶级的 IT 公司、安全公司,以及国家最顶级的机密公司。为什么他们都被黑客轻易的渗透,难道没有拦住这样的攻击?是他们的安全做的不好吗?如果他们的安全都做的不好,还有哪个单位比他们做的更好?我们能够阻挡住这样的 APT 攻击吗?这一系列的疑问困扰着人们。
许多人误以为 APT 攻击类似天气变化,来也匆匆,去也匆匆,暴风雨的日子会过去,阳光灿烂的晴朗天会来临。然而,如今的互联网始终是阴云密布的,以往攻击者只是定期骚扰某个机构,而如今则是持续不断的入侵,攻击没有停歇的时刻,攻击者更加“持之以恒”。如果某个组织一段时间内疏于防范,便给攻击者施威留下了可乘之机。
那些APT攻击的最新技术
国家和国家之间的 APT 攻击,已经变得非常可怕。斯诺登曾为美国国家安全局进行基础设施分析,他掌握了美国国家安全局大规模搜集个人信息的计划,这些计划中的黑客技术是很多安全专家都无法想象的。今天我们已经发现的震网攻击仅仅是美国 2005 年的水平,新型威胁自身也是在不断发展进化的,以适应新的安全监测、检测与防御技术带来的挑战,现在的技术已经发展到即便你的电脑不插上电源线,都有可能被黑客窃取到信息。
以下是近期部分黑客和组织使用的 APT 攻击技术:
精准钓鱼。精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼(Spear Phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页,其他人看到的则是 404 error。也就是说,如果你不在名单之列,看不到钓鱼网页。如此一来,一方面攻击的精准度更高,另一方面也更加保密,安全专家更难进行追踪。
高级隐遁技术。高级隐遁技术是一种通过伪装或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day 漏洞利用等技术。
沙箱逃避。新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。有的恶意代码会设法欺骗虚拟机,以逃避用虚拟机方式来执行的沙箱。
如何防御APT攻击
从具体的技术层面来说,为了应对 APT 攻击,新的技术也是层出不穷。
传统的安全产品是没有办法阻挡这些专业未知的攻击。APT 攻击是长期持续性的,攻击者寻找漏洞,构造专门代码,并开发针对受害者特定环境和防御体系的特种木马。这些特定代码都是防护者或防护体系所不知道的未知威胁。
但是根据 APT 攻击过程,我们可以从 APT 攻击的收集信息阶段,攻击准备阶段,渗透攻击阶段和信息获取阶段入手,进行相关防护。
搜集信息阶段:攻击者在此阶段主要任务是收集信息、制定计划。在此阶段我们可以依托安全威胁检测、预警系统,识别攻击者对单位网络的嗅探、扫描行为,做到提前防范;加强对信息系统的安全管理,例如定期进行安全检查、加固,尽量少的暴露系统信息,提高初始攻击的难度;定期对员工进行安全意识培训,提高员工的安全防范意识。
攻击准备阶段:攻击者在此阶段会想办法控制单位内部的计算机作为实施入侵行为的第一个落脚点。在本阶段我们可以依托安全威胁检测、预警系统识别正在进行的攻击行为;合理配置入侵防御系统、防火墙等产品的安全策略,阻断常规的攻击尝试行为;提高警惕,避免攻击者利用社会工程学进行诱骗;一旦发现攻击事件,启动事件处置及应急响应流程。
渗透攻击阶段:渗透阶段与进入阶段类似,攻击者都会尝试不同的攻击技术、攻击手段对目标系统进行入侵。可以考虑通过合理规划安全域,加强系统账户的安全审计、系统账号及权限管理、系统安全策略优化等手段提高攻击者继续渗透的难度;此外,威胁监测和安全意识同样是强化的重点。
信息获取阶段:在本阶段攻击者会设法将获取的机密数据信息传送至单位外部网络,因此对于敏感流量、非法连接的检测变得尤为重要。
更重要的是,最大的安全隐患出现在“人”的身上,“人”是最不可控的因素。
APT 攻击无法通过单一的安全产品和安全技术进行有效的检测、防护,单位只有建立以安全技术与安全管理相结合的纵深防护体系,才能抵御 APT 攻击。此外,在 APT 攻击与防御的一般过程中,威胁检测贯穿始终,因为只有及时发现 APT 攻击,我们才能在第一时间阻止网络攻击事态的继续恶化,进而有的放矢的完善单位的安全防护体系。
