當(dāng)惡意攻擊更具目標(biāo)性:恐怖的APT攻擊
恐怖的APT攻擊
看了標(biāo)題,恐怕就會有看客問:“現(xiàn)在的各類惡意攻擊難道就沒有目的性么?”其實(shí),通過各類惡意攻擊手段不斷的賺取更多的經(jīng)濟(jì)利益,這是惡意攻擊者最根本的目標(biāo),但現(xiàn)在的惡意攻擊更具有針對性。
最典型的兩個(gè)案例分別是2010年的超級工廠病毒(Stuxnet)以及不久前RSA所遭遇的惡意入侵攻擊。惡意攻擊者對目標(biāo)進(jìn)行了深入研究,制定了針對性的攻擊策略,十分具有耐心的入侵、潛伏,不動聲色的散播、攻擊,悄悄的破壞、竊取高價(jià)值信息數(shù)據(jù),而這也正是所謂的APT攻擊。
遭遇超級工廠病毒攻擊的核電站計(jì)算機(jī)系統(tǒng)實(shí)際上是與外界物理隔離的,理論上不會遭遇外界攻擊。堅(jiān)固的堡壘只有從內(nèi)部才能被攻破,超級工廠病毒也正充分的利用了這一點(diǎn)。超級工廠病毒的攻擊者并沒有廣泛的去傳播病毒,而是針對核電站相關(guān)工作人員的家用電腦、個(gè)人電腦等能夠接觸到互聯(lián)網(wǎng)的計(jì)算機(jī)發(fā)起感染攻擊,以此為第一道攻擊跳板,進(jìn)一步感染相關(guān)人員的移動設(shè)備,病毒以移動設(shè)備為橋梁進(jìn)入“堡壘”內(nèi)部,隨即潛伏下來。病毒很有耐心的逐步擴(kuò)散,一點(diǎn)一點(diǎn)的進(jìn)行破壞。這是一次十分成功的APT攻擊,而其最為恐怖的地方就在于極為巧妙的控制了攻擊范圍,攻擊十分精準(zhǔn)。
RSA所遭遇的APT攻擊,其核心目標(biāo)就是要竊取RSA的SecurID雙因素認(rèn)證產(chǎn)品相關(guān)信息。攻擊者通過這些信息,來破解采用了RSA SecurID雙因素認(rèn)證產(chǎn)品用戶的系統(tǒng)。也就是說,偷到了保險(xiǎn)箱的鑰匙后,轉(zhuǎn)身再去打開保險(xiǎn)箱。
在2010年以前的惡意攻擊都十分粗糙、原始,偷的還只是“小錢”。惡意攻擊也在逐步進(jìn)化、在升級,相信在今后的一段時(shí)間里APT攻擊會逐漸成為主流的攻擊方式,社會工程攻擊將呈現(xiàn)定制化,攻擊的目標(biāo)性會更為明確,零日漏洞會更多的被攻擊者所利用。
抵御先進(jìn)持續(xù)威脅—APT攻擊
先進(jìn)持續(xù)威脅(APT)的定義仍在發(fā)展,并成為緊隨備受矚目的極光攻擊后又一被廣泛討論的話題。APT攻擊通常被定義為使用成熟的攻擊或?yàn)榱双@得訪問組織的權(quán)限而使用零日攻擊,長期地攻擊組織的威脅。APT攻擊對記者和博主來說,一直是熱門的話題,有些人認(rèn)為APT僅僅是傳播恐懼,不確定性和懷疑,而其他人則認(rèn)為APT是未來信心安全的前線。
在我看來,企業(yè)不必投入大量資源來防止這類攻擊。也許這聽起來不可思議,但針對最復(fù)雜的攻擊可能不需要必要的努力和資源,因?yàn)楸匾獣r(shí)熟練的攻擊者更喜歡使用零日攻擊,而抵御所有的零日攻擊幾乎是不可能的。對那些擁有高價(jià)值數(shù)據(jù)或系統(tǒng)(比如關(guān)鍵基礎(chǔ)架構(gòu))的企業(yè),發(fā)布操作系統(tǒng)和常用軟件的軟件公司,以及國防承包商等等來說,必要的防御是合理的。
在某些情況下,大多數(shù)的國防費(fèi)用可能超過了資產(chǎn)的價(jià)值。你應(yīng)該始終牢記攻擊防御實(shí)際上,為了防止先進(jìn)持續(xù)威脅,應(yīng)確保你的安全架構(gòu)是依賴于安全技術(shù)、流程和人員的多層次縱深防御。然后,你應(yīng)該評估哪些是最有價(jià)值的數(shù)據(jù)以及這些數(shù)據(jù)所面臨的風(fēng)險(xiǎn)是什么,以確定使用合理的防御,如應(yīng)用程序白名單,使用入侵檢測和日志分析的攻擊檢測,或者其他。這將是有助于引導(dǎo)你識別出適合自己企業(yè)的,保護(hù)企業(yè)不受APT攻擊或其他類似安全威脅的最好方法。
【編輯推薦】
