高持續(xù)性威脅攻擊者可能已經(jīng)滲透到你的網(wǎng)絡(luò)：這是安全領(lǐng)域的新現(xiàn)象，并不罕見(jiàn)，但是你應(yīng)該做些什么呢？這是超越傳統(tǒng)思維定勢(shì)（只考慮預(yù)防方面的問(wèn)題）的問(wèn)題，“我們正試圖幫助人們從入侵防御轉(zhuǎn)移到感染后檢測(cè)和減小損害的工作上！”Fidelis公司的研究主管Will Irace表示。

攻擊者已經(jīng)入侵了你的網(wǎng)絡(luò)內(nèi)部可能讓你感染，這讓你有些不安，甚至震驚，但是事實(shí)上，這些網(wǎng)絡(luò)間諜攻擊已經(jīng)從軍事/國(guó)防部問(wèn)題演變成困擾各行各業(yè)的問(wèn)題。“在此之前，高級(jí)持續(xù)攻擊首先是針對(duì)軍事部門(mén)，接著是政府職能部門(mén)，然后是國(guó)防工業(yè)基地，我們看到相同的攻擊形式不斷地?cái)U(kuò)大他們的目標(biāo)范圍，甚至到石油和天然氣、醫(yī)藥和其他領(lǐng)域的商業(yè)企業(yè)，”Mandiant公司首席安全官兼管理服務(wù)副總裁Richard Bejtlich表示，“這對(duì)于我來(lái)說(shuō)是相當(dāng)驚人的，他們現(xiàn)在的目標(biāo)如此之廣。”

Bejtlich表示，盡管這些攻擊具有持續(xù)性和經(jīng)常性，但我相信受害企業(yè)最終能夠增強(qiáng)抵御。“這是第一次大家面對(duì)這種攻擊，有人跟蹤你，他們不會(huì)放棄，他們會(huì)不斷試圖進(jìn)入你的企業(yè)，這對(duì)于大多數(shù)人來(lái)說(shuō)都是前所未聞，”他表示，“可能需要花幾年時(shí)間，但在受害企業(yè)抵御這些有針對(duì)攻擊方面，我相信我們最終將看到改善。”

對(duì)于這些攻擊，鮮少有受害者會(huì)公開(kāi)披露自己受到攻擊。在過(guò)去幾個(gè)月中，網(wǎng)絡(luò)間諜活動(dòng)攻擊開(kāi)始瞄準(zhǔn)多個(gè)聯(lián)邦文職政府機(jī)構(gòu)的高級(jí)官員，這些攻擊活動(dòng)仍然處于調(diào)查之中，但是受害機(jī)構(gòu)的名稱可能永遠(yuǎn)無(wú)法證實(shí)，或者說(shuō)所產(chǎn)生的損害程度永遠(yuǎn)不得而知。攻擊者使用了復(fù)雜的惡意軟件和SSL加密連接來(lái)從該政府機(jī)構(gòu)來(lái)竊取信息，并將信息發(fā)送回他們的主服務(wù)器。

我們的目標(biāo)是盡快檢測(cè)出這些攻擊類型，并盡量減少你的知識(shí)產(chǎn)權(quán)信息或者商業(yè)機(jī)密的泄露數(shù)量或者損失，例如“如何在幾小時(shí)或者幾天內(nèi)檢測(cè)到他們?”RSA首席安全官Eddie Schwartz表示，“這需要訪問(wèn)所有與這個(gè)安全問(wèn)題相關(guān)的潛在數(shù)據(jù)。”

Schwartz表示，與傳統(tǒng)安全事件不同，對(duì)于高級(jí)持續(xù)攻擊，你無(wú)法從單個(gè)日志或者防火墻事件上來(lái)作出決定。“一名最終用戶訪問(wèn)了他正常情況下不需要訪問(wèn)的系統(tǒng)，”這就屬于一種有針對(duì)性的攻擊。

“對(duì)于高級(jí)持續(xù)性攻擊，你需要問(wèn)，‘這是否屬于某種整體攻擊的一部分，還有另外10到12個(gè)移動(dòng)部分需要追蹤?’”他表示。

但是這種攻擊類型很難檢測(cè)，很多企業(yè)仍然僅依賴于以預(yù)防為主的工具，例如基于簽名的技術(shù)和防火墻。高級(jí)持續(xù)攻擊者更傾向于零日漏洞，或者利用目標(biāo)公司基礎(chǔ)設(shè)施存在的問(wèn)題。在大多數(shù)情況下，第一步都是對(duì)毫無(wú)戒心的用戶使用社會(huì)工程學(xué)攻擊，通常是通過(guò)看起來(lái)像是從用戶熟知的人發(fā)來(lái)的電子郵件消息，郵件信息包含惡意附件或者網(wǎng)址，一旦打開(kāi)，就會(huì)為攻擊者提供立足點(diǎn)。

安全專家表示，抵御高級(jí)持續(xù)攻擊者的理想防御方法是結(jié)合傳統(tǒng)的防御工具和對(duì)網(wǎng)絡(luò)和系統(tǒng)的實(shí)時(shí)監(jiān)測(cè)。但是現(xiàn)在市面上很多工具都是針對(duì)基礎(chǔ)設(shè)施的不同部分，縱觀所有事件和日志往往是需要手動(dòng)來(lái)操作。這就給了攻擊者更多時(shí)間和機(jī)會(huì)來(lái)深入受害者組織，這樣就更難將他們根除。

底線：專家表示，在抵御這些有針對(duì)性攻擊方面，現(xiàn)在市面上并不存在“萬(wàn)能藥”。

“企業(yè)部署的大多數(shù)監(jiān)測(cè)工具都缺乏挖掘內(nèi)容與上下文之間存在的重要信息的能力，或者只是一個(gè)滲出：加密數(shù)據(jù)偽裝成數(shù)據(jù)?在發(fā)送到人力資源部的壓縮文件的微軟Office文件中是否存在惡意VBscript？”Fidelis公司的Irace表示，“ 在事故發(fā)生的十天后，通過(guò)取證數(shù)據(jù)包分析發(fā)現(xiàn)這個(gè)問(wèn)題并不能夠幫助發(fā)現(xiàn)高級(jí)持續(xù)攻擊者：我們需要能夠?qū)崟r(shí)發(fā)現(xiàn)并解決這種問(wèn)題的技術(shù)。”

網(wǎng)絡(luò)行為異常監(jiān)測(cè)工具可以幫上忙，但是對(duì)于內(nèi)容就無(wú)能為力了。入侵防御系統(tǒng)可以發(fā)現(xiàn)一些情況，但是并不會(huì)檢查負(fù)載。“此外，這些工具是為抵御服務(wù)器上的數(shù)據(jù)包攻擊而設(shè)計(jì)的，而不是針對(duì)客戶端的基于負(fù)載的攻擊。沙盒技術(shù)有助于事后檢查，但是它并不提供實(shí)時(shí)保護(hù)，”Irace表示。

數(shù)據(jù)包捕獲工具對(duì)事后檢查又幫助，但是與沙盒技術(shù)一樣，無(wú)法提供實(shí)時(shí)幫助。

黑名單盒白名單防御

已知的黑名單或者最近發(fā)現(xiàn)的命令和控制域名可以幫助抓住高級(jí)持續(xù)攻擊，“第一個(gè)增長(zhǎng)最快的就是信標(biāo)檢測(cè)，IPS和IDS可以使用，”IT-Harvest的首席研究分析師Richard Stiennon表示，“但是可怕的是當(dāng)攻擊者設(shè)置一個(gè)從未使用過(guò)的新的ip地址和新的服務(wù)器時(shí)，你無(wú)法通過(guò)信標(biāo)檢測(cè)，”他表示。

“最大的擔(dān)憂就是1%非常有針對(duì)性的攻擊你沒(méi)有檢測(cè)到，”Stiennon表示。

白名單可以幫助平息有針對(duì)性的攻擊，他表示。對(duì)白名單的批評(píng)就是很多企業(yè)并不一定知道在他們系統(tǒng)上運(yùn)行的所有應(yīng)用程序，但是新一代白名單產(chǎn)品能夠識(shí)別這些應(yīng)用程序。

T-Mobile公司首席信息安全官Bill Boni表示，安全專家必須現(xiàn)實(shí)地面對(duì)這個(gè)威脅，這意味著評(píng)估如何管理數(shù)據(jù)泄漏如何遏制這種攻擊。

你能夠檢測(cè)到高級(jí)持續(xù)攻擊滲透并不意味著你就能夠抓住真正的的攻擊者，或者說(shuō)能夠找到多有數(shù)據(jù)泄露的證據(jù)，“你最重要的資源時(shí)什么?我們?nèi)绾未_保我們部署了訪問(wèn)控制、日志記錄和監(jiān)測(cè)，以及對(duì)滲出的控制?”他表示。

“我們知道安全一直都有點(diǎn)軍備競(jìng)賽的意味。我們所面臨的挑戰(zhàn)是確保你的企業(yè)處于競(jìng)賽之中，”Boni表示，“五年前必要的安全技術(shù)：防火墻、殺毒軟件和入侵防御仍然都是必要的，但是并不足以抵抗目前針對(duì)企業(yè)的攻擊。你需要不斷升級(jí)你的工具來(lái)跟上新威脅的步伐。”

即使你結(jié)合了安全和監(jiān)測(cè)工具的最佳組合，也永遠(yuǎn)不要低估高級(jí)持續(xù)攻擊的危害。這種攻擊通常是資金充足、由民族國(guó)家集團(tuán)發(fā)起的，他們想要從受害者獲取盡可能多的信息，或者處于金錢(qián)或者競(jìng)爭(zhēng)力的驅(qū)使。“你不會(huì)知道攻擊者是如何規(guī)避你的防御，”RSA的Schwartz表示，“你必須假設(shè)他們擁有與你相當(dāng)?shù)馁Y源，并且他們具有創(chuàng)造性和專業(yè)技能。”