看眼2016,淺談去年的那些APT攻擊
在過去的2016年,網(wǎng)絡(luò)安全攻擊最引人注目的發(fā)展是從基于URL的網(wǎng)絡(luò)攻擊轉(zhuǎn)變?yōu)橐揽繍阂馕募郊墓簟8鶕?jù)柯力士信息安全進(jìn)行的案例分析和安全調(diào)查,2016年的網(wǎng)絡(luò)罪犯開始進(jìn)行越來(lái)越多的進(jìn)行惡意攻擊特別是APT攻擊,而相應(yīng)的企業(yè)正努力跟上網(wǎng)絡(luò)犯罪技術(shù)快速變化節(jié)奏。
根據(jù)柯力士所做的上一份《2016信息安全漏洞報(bào)告》顯示除了常規(guī)的修補(bǔ)新的漏洞和零日漏洞(zero-day exploit)之外,在過去的2016年上半年,我們還看到了利用工具包的進(jìn)行安全威脅的快速發(fā)展,這對(duì)于企業(yè)信息安全發(fā)展非常的不利
針對(duì)信息安全的發(fā)展,國(guó)家已經(jīng)制定了相關(guān)的“網(wǎng)絡(luò)安全法”,遏制不同信息安全事件。而2016年的安全威脅有如下四大主要趨勢(shì):
·轉(zhuǎn)向以附件為基礎(chǔ)的攻擊運(yùn)動(dòng)。
·網(wǎng)絡(luò)釣魚技術(shù)變化,針對(duì)企業(yè)用戶。
·社交媒體越來(lái)越多的成為品牌和合規(guī)風(fēng)險(xiǎn)的來(lái)源。
·垃圾郵件信息的總量繼續(xù)減少。
一句話總結(jié)的話:就是攻擊威脅越來(lái)越大,并且持續(xù)性也有所增強(qiáng)。
從附件和惡意文檔來(lái)進(jìn)行的信息安全攻擊
2016年最引人注目的安全威脅的發(fā)展經(jīng)歷了一項(xiàng)重大的轉(zhuǎn)變:從2015年占主導(dǎo)的基于URL的安全威脅轉(zhuǎn)變?yōu)橐揽繍阂馕臋n附件來(lái)傳播惡意軟件的威脅。
惡意附件成為了迄今為止,2016年網(wǎng)絡(luò)安全威脅攻擊活動(dòng)的主導(dǎo),大量的附件和消息經(jīng)由Dridex及其他僵尸網(wǎng)絡(luò)傳遞出來(lái)。
這種安全威脅活動(dòng)于2014年十月下旬首次出現(xiàn),并在2015年初成為一大趨勢(shì),顯示了安全威脅攻擊活動(dòng)的重大變化,并展示了網(wǎng)絡(luò)罪犯迅速切換到新的戰(zhàn)術(shù)和技術(shù),以保持在不斷變化的安全威脅領(lǐng)域領(lǐng)先地位的能力。
圖為小編遇到的文檔惡意附件攻擊
這些文檔附件主要通過微軟的Word文檔承載惡意的宏,需要用戶交互才能執(zhí)行。通過結(jié)合各種文檔模板,吸引最終用戶,使惡意宏觀混淆技術(shù),這些安全威脅活動(dòng)利用社會(huì)化的工程造成大量的威脅,且非常成功的避免了被殺毒軟件檢測(cè)到。
而這些惡意的攻擊,都可以被歸入APT攻擊之中
APT是高級(jí)持續(xù)性威脅,攻擊者是有針對(duì)性的持續(xù)活動(dòng),這些活動(dòng)背后的操作者會(huì)花費(fèi)大量時(shí)間和經(jīng)歷制定詳細(xì)計(jì)劃,讓他們不僅能夠訪問企業(yè)網(wǎng)絡(luò)和數(shù)據(jù),還能夠保持其訪問權(quán)限達(dá)數(shù)年之久。而一般使用的方法包括惡意軟件、軟件漏洞、WEB漏洞、釣魚郵件等完成攻擊,所以可以理解是各種日常攻擊的組合。
從2016年發(fā)生的這些信息安全事件可以看出,APT攻擊已經(jīng)成為當(dāng)前信息安全面臨的極大問題,如果說(shuō)信息安全的漏洞是伴隨系統(tǒng)不斷發(fā)展的客觀存在,那么APT攻擊則是利用這些漏洞,甚至是不為人知的缺陷發(fā)起的擁有巨大威脅的攻擊。
APT攻擊有哪些?
APT入侵客戶的途徑多種多樣,主要包括以下幾個(gè)方面。
——以智能手機(jī)、平板電腦和USB等移動(dòng)設(shè)備為目標(biāo)和攻擊對(duì)象繼而入侵企業(yè)信息系統(tǒng)的方式。
——社交工程的惡意郵件是許多APT攻擊成功的關(guān)鍵因素之一,隨著社交工程攻擊手法的日益成熟,郵件幾乎真假難辨。從一些受到APT攻擊的大型企業(yè)可以發(fā)現(xiàn),這些企業(yè)受到威脅的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。黑客剛一開始,就是針對(duì)某些特定員工發(fā)送釣魚郵件,以此作為使用APT手法進(jìn)行攻擊的源頭。
——利用防火墻、服務(wù)器等系統(tǒng)漏洞繼而獲取訪問企業(yè)網(wǎng)絡(luò)的有效憑證信息是使用APT攻擊的另一重要手段。
2017年,我們?cè)撊绾螒?yīng)對(duì)可能遇到的APT攻擊?
我們知道APT攻擊是一種高持續(xù)的高威脅攻擊,而主導(dǎo)APT攻擊的是人,只要能對(duì)攻擊者的攻擊行為進(jìn)行預(yù)測(cè),那么接下來(lái)的一連環(huán)的攻擊可能都不會(huì)造成威脅。
所有的攻擊行為會(huì)以數(shù)據(jù)方式進(jìn)行固化保存,即使攻擊行為已經(jīng)結(jié)束,并且攻擊者消除企業(yè)內(nèi)受影響系統(tǒng)內(nèi)的日志,他的攻擊行為都會(huì)被完整記錄下來(lái)。攻擊行為的記錄能夠作為證據(jù)進(jìn)行永久保存,這不僅能成為未來(lái)維權(quán)時(shí)的有效證據(jù),而且也可以成為針對(duì)APT攻擊進(jìn)行防御的重要資料。
若想要不被任何數(shù)據(jù)安全隱困擾,不用再為重要數(shù)據(jù)丟失而煩惱擔(dān)心,尤其是有高度的隱秘性,以竊取核心資料為目的的APT攻擊威脅,不妨試試基于云端的WAF防火墻?
柯力士旗下的安犬漏洞管理云平臺(tái)不僅提供最新信息安全漏洞的收集,集成了云WAF防御功能,也從多方面發(fā)布最新信息安全業(yè)界動(dòng)態(tài)!目前注冊(cè)即送每日5次免費(fèi)掃描資格,長(zhǎng)按二維碼或點(diǎn)擊閱讀原文即可直達(dá)安犬平臺(tái)。
【本文為51CTO專欄“柯力士信息安全”原創(chuàng)稿件,轉(zhuǎn)載請(qǐng)聯(lián)系原作者(微信號(hào):JW-assoc)】
