通過大數據分析尋找APT攻擊的蛛絲馬跡
在過去的20多年里,攻與防的較量始終沒有停息,信息終端所面臨的風險也從單純的病毒破壞發展到木馬、間諜軟件等帶有明確的利益驅動的行為。而APT(Advanced Persistent Threat,高級可持續性威脅)攻擊作為目前攻擊類型中最高端的攻擊模式,以及在全球多個國家的政府和企業中發生的眾多攻擊實例被頻繁討論。
“APT是結合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式。原來的APT攻擊主要是以軍事、政府和比較關鍵性的基礎設施為目標,而現在已經更多的轉向商用和民用領域的攻擊。它的目標不僅僅是得到情報,而是通過攻擊來獲利。”EMC信息安全事業部RSA產品管理經理Israel Aloni在接受ZDNet記者采訪時表示。
EMC信息安全事業部RSA產品管理經理Israel Aloni
APT以人為目標尋找攻擊薄弱點
在解釋APT典型的攻擊步驟時,Aloni告訴記者,攻擊者首先找出它們所需要的訪問權限的個人,然后發送偽造的帶有惡意鏈接或附件的電子郵件,感染特定的、高價值員工的機器。一旦進入,攻擊者映射出公司的IT環境以確定戰略資產、特權節點和具備更多有用權限的員工。隨后攻擊者通過其他釣魚方式或通過解密系統管理員的憑證來提升權限,接著安裝惡意軟件來劫持系統,創建后門,建立“后背連接”功能與指揮和控制服務器通訊。最后,攻擊者激活指揮和控制設施竊取、加密、壓縮和傳輸信息。
Aloni列舉了幾個APT攻擊的案例,某國際航天集團的員工在企業中的信息被黑客攻陷。通過鏈入社交網站,發現這個人的相關信息,再給他發送長矛式釣魚郵件,進入他的信息系統。利用這個記錄點,進入企業系統,發現企業系統的零日漏洞,利用漏洞使機器感染惡意軟件,而這些惡意軟件可以發現企業內部到底哪里會有重要的數字資產。借此進入運營中心,攻擊者持續對其他員工和網絡進行攻擊,最終發現并獲取最有價值的數據。
在以色列的反網絡欺詐中心發現,有些黑客攻擊了股票交易所。但其目的并不是要做股票交易,而是通過APT攻擊了解貿易雙方進行交易的人,通過長矛釣魚攻擊,從而獲取更有價值的信息。實際上攻擊者不僅僅是想獲得財務回報,還想得到知識產權、客戶數據庫等等,這些他都認為是高價值的資產。
所以,從APT典型的攻擊步驟和幾個案例來看,APT不再像傳統的攻擊方式找企業的漏洞,而是從人開始找薄弱點。APT的攻擊是針對一些高價值的信息,利用所有的網絡攻擊模式,持續瞄準目標以達到目的。Aloni指出,由于APT攻擊以人為目標,它的攻擊模式發生重大轉變。以往的防病毒、防入侵檢測主要目的是監測系統,它對應對新型攻擊的作用有待商榷,要采用新的安全策略予以應對。
從發現、大數據分析到響應形成閉環系統
因為APT攻擊以找到企業最薄弱的環節——人為跳板,所以企業需要教育員工,告訴員工不要隨意打開你不熟悉的軟件或者做違背公司規定的操作。Aloni強調,但企業自身的防范系統最重要。
根據歷史數據,大部分APT都是未被發現的,只有10%是被企業發現的,而90%是被外人告知的。所以企業首先要通過更加智能的工具及時發現這種攻擊,提升發現APT攻擊的能力。
其次,企業需要對大數據進行分析,以強大的調查平臺,在大量的數據中發現蛛絲馬跡。通過數據分析引擎,對工作流程進行相關數據的關聯性分析。Aloni指出,以前的問題在于所有的信息都分布在企業不同的地方,對于調查取證非常困難,所以很難發現這樣的攻擊。而系統如果可以快速搜集這些信息,進行關聯性分析就能很快發現這種攻擊。同時這套系統還要具備智能性,了解員工的行為信息,這是一種對使用情景的識別,圍繞流程或者行為,把這些信息收集起來進行識別。同時,還需要對外部、第三方提供的攻擊代碼模式智能感知。
在身份認證的層面上,要以風險為導向,因為原來的靜態密碼已經不能保護單一用戶了,企業系統要更加智能化才能應對當前這種攻擊。系統除了能做控制,還要能去發現不太正常的狀態。大數據需要一個中控系統把所有內部的、外部的信息收集起來進行分析,所有傳統意義上的邊界安全已經不能起到作用。
最后,除了前端的發現工具、分析工具外,要通過控制層進行快速響應。過去這種系統都是孤島型的,控制層和管理層都是隔離的,很難做到快速響應。隨著虛擬化和大量移動終端接入和云計算的普及,必須要形成閉環智能信息安全系統。
RSA針對APT攻擊有一套信息安全管理中心的解決方案,其主要的特點就是把一些大數據收集起來,進行分析、檢測、監控。Aloni表示,RSA第一次把這些變成整體的系統,因為原來做身份認證的只是身份認證,做日志管理的也只是日志管理。如今把控制點的信息都加起來,讓每個層面都變得智能、敏捷并進行協作。
在這套流程里,一邊有日志全采集,一邊有網絡監控,把所有的東西放到一個統一的監控平臺上,就相當于建立了全自動化的響應系統。可以為決策提供快速支持,相當于一個智能系統,而不是用分散的信息進行獨立的分析。Aloni進一步說到,其實這種智能有時候不光是企業內部系統產生的,如果有第三方類似經驗或類似攻擊模式的分享,就可以在系統中了解哪些是惡意軟件或APT攻擊,從而快速建立起防御。他同時強調,RSA的安全產品一個非常重要的功能就是Netwitness網絡監控可以回放,就像攝像頭一樣。發現不正常的情況后,可以把場景進行回放,了解攻擊的去向。原來邊界安全的做法是,如果受到攻擊,只要關閉端口就可以了。而APT可能潛伏一周、一個月、一年甚至更長的時間,所以必須要有網絡回放,從而增強監控能力。最后,從發現到響應形成閉環系統。
