Verizon觀點:高級持續性威脅(APT)攻擊被夸大了
原創【51CTO 4月21日外電頭條】當谷歌在去年承認自己遭到了涉嫌來自中國的黑客高手的攻擊后,它為高科技術語表添加了一個新的術語:高級持續性威脅(APT)。這種攻擊很狡猾,而且針對性強,幾乎不可能被阻止。但據美國電信運營商韋里遜(Verizon)公司聲稱,APT攻擊并非像大多數人認為的那樣極其普遍,其實很少見。
韋里遜的調查響應團隊主管Bryan Sartin表示,實際上,這年頭,一些公司更容易聲稱自己是高級持續性威脅(APT)攻擊的受害者,而不是承認自己的安全系統失敗。他講到APT時說:"外面確實有APT攻擊;但完全被夸大了。"
Sartin領導的團隊經常受命查明數據泄漏的根源;他表示,自谷歌在去年1月披露這個問題以來,他已經好幾回看到這一幕了:許多公司往往把隨便一起黑客事件扣上APT攻擊的帽子。這通常發生在他的團隊完成分析后的大概一兩個月后。"我接到請我們調查的一家公司發來的鏈接,標題是'你不會相信這個'。我打開鏈接后,發現這家公司把罪名推到了高級持續性威脅身上。"
高級持續性威脅攻擊一般是很狡猾的、針對性很強的數據泄漏事件,幕后的實施者通常是為國家效命的間諜或特工。
Sartin表示,對于遭遇數據泄漏事件的公司來說,把罪名推到APT身上"已成了再好不過的借口"。他說:"把數據泄漏怪罪于APT在美國儼然成了一種流行的風氣。"
問題的一方面是認識上出現了混亂,沒有真正認清中國--現在世人經常把APT攻擊與這個國家牽連起來。中國是如今大多數網上攻擊的源頭,不管這些攻擊出于什么樣的動機。中國有4億多個互聯網用戶,其中許多人使用的計算機沒有裝上最新的補丁或安全軟件。那些計算機常常中黑客的招,然后被用作進一步發動攻擊的跳板。
Sartin說:"中國在源IP地址方面缺乏有序的管制,黑客掌控源IP地址后就能發動攻擊。"所以攻擊發生后,"大家不假思索地說,'哦,那是中國政府在搞鬼。'"
Sartin表示,這是個錯誤。事實上,絕大部分攻擊(占安全事件總數的78%)導致的是銀行卡數據失竊,而這類數據不是APT數據竊賊所覬覦的對象。他表示,事關國家安全的數據才是真正的APT事件的首要目標,這類數據的失竊在安全事件總數中僅占3%。
韋里遜平時與美國特工處和荷蘭國家高科技犯罪部門合作,得以分析2010年發生的760起數據泄漏事件。韋里遜近日發布了《數據泄漏調查報告》(Data Breach Investigations Report),詳細公布了分析結果。
2010年的趨勢是大規模的數據泄漏事件不再唱主角;而在2009年,大規模數據泄漏事件導致1.44億條記錄外泄。相反,現在黑客們盯上了數量更多的小公司。攻擊手法也不大狡猾,但因而也更有可能避開執法部門的視線。據韋里遜的數據顯示,雖然報告中統計的事件總數增加了,但2010年外泄的記錄數量只有400萬條。
黑客更可能找員工數量不到100人的小公司下手,而不是盯上像美國百貨商店TJ Maxx這樣的大公司。這些小公司常常是收銀機或計算機連接到互聯網的酒店、餐廳或夫妻店;它們的安全性不如大公司那么好;一旦遭到黑客的攻擊,警方及時采取措施的可能性比較小。
大多數攻擊者也不是異常狡猾的背后由政府撐腰的網絡犯罪分子。Sartin表示,事實上,許多真正厲害的犯罪分子已經鋃鐺入獄,所以今天的黑客往往不大高明。實際上,所有事件中只有3%確實很狡猾,它們被認為是幾乎不可能阻止的。
雖然許多公司擔心內部攻擊,但92%的攻擊來自公司外面。使用像鍵盤記錄程序和后門程序這些惡意軟件的幾率大概有一半。
原文鏈接:http://www.computerworld.com/s/article/9215938/Verizon_Advanced_persistent_threat_is_overblown
【51CTO.com獨家譯稿,非經授權謝絕轉載!合作媒體轉載請注明原文出處及出處!】
【編輯推薦】
