全面解析高級持續性威脅(APT)
【51CTO.com綜合消息】如今高級持續性威脅(Advanced Persistent Threat,APT)已成為人盡皆知的“時髦術語”。越來越多的企業開始對其高度關注,政府部門也面臨著遭受APT攻擊的危險,在安全顧問的每一篇分析報告中都會提及它的“大名”。
眾多企業機構慘遭“不測”的一個主要原因在于它們沒有發現真正的漏洞所在并加以修復。如果用戶還在疲于應對三年前的威脅,毫無疑問,這將于事無補。APT促使企業和機構必須將重點放到今天存在的真正威脅上。
APT不容忽視,我們需要撥開圍繞它的層層“迷霧”和不實之辭,真正關注它為什么對于用戶而言是一個重要問題。不要只把它當作掛在嘴邊的時髦語,如果我們能夠深入了解APT的核心要素,就可以利用它來完善我們的安全舉措。毫無疑問,威脅是風險防范的推動因素之一。只有充分了解攻擊性威脅,企業和機構才能做到對癥下藥的修復漏洞。
什么是APT?
APT 是黑客入侵系統的一種新方法。它是一種高級的、狡猾的伎倆,高級黑客可以利用 APT入侵網絡、逃避“追捕”、隨心所欲對泄露數據進行長期訪問。以下是關于APT的一些要點:
1)任何組織(無論是政府機構還是非政府機構)都會成為APT的攻擊目標。有些人錯誤地認為 APT 只是盯著美國國防部(Department of Defense)。對于網絡攻擊而言,政府機構和商業組織之間并沒有明顯區別,任何可能危害國家的事情都是攻擊者垂涎的目標。
2)一旦進入網絡,威脅便大有用武之地,許多攻擊的切入點都是誘使用戶點擊鏈接。不過,一旦APT打入系統內部,它便可以大發其威,因為在攻擊方式方面它是非常高級而狡猾的。簽名分析對于防范APT毫無作用。高級攻擊總是百變其身,不斷重新編譯和利用加密來逃避檢測。
3)許多人誤以為攻擊類似天氣變化,來也匆匆,去也匆匆,暴風雨的日子會過去,陽光燦爛的晴朗天會來臨。然而,如今的互聯網始終是陰云密布的。以往,攻擊者只是定期騷擾某個機構,而如今則是持續不斷的入侵。攻擊沒有停歇的時刻,攻擊者更加“持之以恒”。如果某個組織一段時間內疏于防范,便給攻擊者施威留下了可乘之機。
4)攻擊者深知規模經濟的功效,因此會盡可能快的進行多點入侵。攻擊者選擇的“利器”是自動化。自動化不僅確保了威脅的持續性,而且支持攻擊者能夠非常快的實施攻擊。
5)老式攻擊還會給受害者留下一些可見的破壞“線索”。而如今,攻擊則是不留任何痕跡的逃避“追捕”。偷偷摸摸和加以偽裝是目前攻擊的主要伎倆。APT 的目標是要做到盡可能亂真 — 即使不完全相同 — 也要與合法流量盡可能接近。差別非常細微,以至于許多安全設備根本無法分辨出來。
6)APT的目的是幫助攻擊者牟取經濟或財務利益。因此,其核心目標是數據。任何對機構有價值的東西對攻擊者而言同樣有利可圖。隨著云計算技術的日益普及,通過互聯網,數據已變得越來越“唾手可得”。
7)攻擊者不僅需要做到對目標機構的系統進出自如,而且要能夠長期訪問到有價值的數據。如果攻擊者下大力氣侵入了一個機構的系統,他一定想做到長期“霸占”數據。偷一次數據會獲得小利,而九個月內持續竊取數據則會使攻擊者大發橫財。
所有這些意味著用戶所面臨的攻擊和威脅將是長期的、持續的,因此對于機構而言必須時刻保持“戰備”狀態,這是十分必要的。這是一場不會結束的戰爭。APT極其狡猾、隱匿,這預示著機構很可能在幾個月內持續遭受入侵,卻渾然不知。如果出現這種受到攻擊者數月隱匿攻擊,自己卻蒙在鼓里的情況,該如何應對呢?
如何防范APT?
防范是理想舉措,而檢測則是必要的。多數機構僅僅重視防范措施,對于 APT 而言,它是偽裝成合法流量侵入網絡的,很難加以分辨,因此防范效果甚微。只有攻擊數據包進入網絡內部,破壞和攻擊才開始實施。
針對APT這種新的攻擊媒介,以下是防范此類威脅的必要措施:
1)控制用戶并增強安全意識——一條通用法則是:你不能阻止愚蠢行為發生,但你可以對其加以控制。許多威脅通過引誘用戶點擊他們不應理會的鏈接侵入網絡。限制沒有經過適當培訓的用戶使用相關功能能夠降低整體安全風險,這是一項需要長期堅持的措施。
2)對行為進行信譽評級——傳統安全解決方案采用的是判斷行為“好”或“壞”、進而“允許”或“攔截”之類的策略。不過,隨著高級攻擊日益增多,這種分類方法已不足以應對威脅。許多攻擊在開始時偽裝成合法流量進入網絡,得逞后再實施破壞。由于攻擊者的目標是先混入系統,因此,需要對行為進行跟蹤,并對行為進行信譽評級,以確定其是否合法。
3)重視傳出流量——傳入流量通常被用于防止和攔截攻擊者進入網絡。毋庸置疑,這對于截獲某些攻擊還是有效的,而對于 APT,傳出流量則更具危險性。如果意在攔截數據和信息的外泄,監控傳出流量是檢測異常行為的有效途徑。
4)了解不斷變化的威脅——對于您不了解的東西很難做到真正有效的防范。因此,有效防范的唯一途徑是對攻擊威脅有深入了解,做到知己知彼。如果組織不能持續了解攻擊者采用的新技術和新伎倆,將不能做到根據威脅狀況有效調整防范措施。
5)管理終端——攻擊者可能只是將侵入網絡作為一個切入點,他們的最終目的是要竊取終端中保存的信息和數據。要有效控制風險,控制和鎖定終端將是一項長期有效的機構安全保護措施。
如今的威脅更加高級、更具持續性、更加隱匿,同時主要以數據為目標,因此,機構必須部署有效的防護措施加以應對。
總結
今后一段時期,APT將會越來越頻繁的出現。忽視這一問題意味著您的機構將面臨著威脅破壞的風險。應對APT的核心要務是要“了解系統/網絡”。越了解網絡流量和服務,越能更好的確定/識別異常行為,進而能更好的防范APT。
確保機構得到適當保護的有效方法是運行模擬攻擊(例如,入侵測試、紅隊和倫理黑客攻擊),以了解組織的漏洞狀況。最為重要的是,如何快速檢測漏洞。確保成功的關鍵要素是:
1)切記一定獲得明確批準
2)運行良性攻擊
3) 確保執行測試的人員具備等同于真正黑客的專業技術水平
4)及時修復漏洞
好消息是通過了解威脅和機構的漏洞情況,用戶將能夠有效抵御APT。
【編輯推薦】
