首页 > 信息安全 > 正文

安全专家谈:解读高级持续性威胁(APT)

2010-06-28 18:10:11  来源:赛迪网

摘要:如今高级持续性威胁(Advanced Persistent Threat)已成为人尽皆知的“时髦术语”。越来越多的企业开始对其高度关注,政府部门也面临着遭受APT攻击的危险,在安全顾问的每一篇分析报告中都会提
关键词: 黑客入侵 APT

  如今高级持续性威胁(Advanced Persistent Threat)已成为人尽皆知的“时髦术语”。越来越多的企业开始对其高度关注,政府部门也面临着遭受APT攻击的危险,在安全顾问的每一篇分析报告中都会提及它的“大名”。

  众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。如果用户还在疲于应对三年前的威胁,毫无疑问,这将于事无补。APT促使企业和机构必须将重点放到今天存在的真正威胁上。

  APT不容忽视,我们需要拨开围绕它的层层“迷雾”和不实之辞,真正关注它为什么对于用户而言是一个重要问题。不要只把它当作挂在嘴边的时髦语,如果我们能够深入了解APT的核心要素,就可以利用它来完善我们的安全举措。毫无疑问,威胁是风险防范的推动因素之一。只有充分了解攻击性威胁,企业和机构才能做到对症下药的修复漏洞。

  什么是APT?

  APT 是黑客入侵系统的一种新方法。它是一种高级的、狡猾的伎俩,高级黑客可以利用 APT 入侵网络、逃避“追捕”、随心所欲对泄露数据进行长期访问。以下是关于APT的一些要点:

  (1)任何组织(无论是政府机构还是非政府机构)都会成为APT的攻击目标。有些人错误地认为 APT 只是盯着美国国防部(Department of Defense)。对于网络攻击而言,政府机构和商业组织之间并没有明显区别,任何可能危害国家的事情都是攻击者垂涎的目标。

  (2)一旦进入网络,威胁便大有用武之地,许多攻击的切入点都是诱使用户点击链接。不过,一旦APT打入系统内部,它便可以大发其威,因为在攻击方式方面它是非常高级而狡猾的。签名分析对于防范APT毫无作用。高级攻击总是百变其身,不断重新编译和利用加密来逃避检测。

  (3)许多人误以为攻击类似天气变化,来也匆匆,去也匆匆,暴风雨的日子会过去,阳光灿烂的晴朗天会来临。然而,如今的互联网始终是阴云密布的。以往,攻击者只是定期骚扰某个机构,而如今则是持续不断的入侵。攻击没有停歇的时刻,攻击者更加“持之以恒”。如果某个组织一段时间内疏于防范,便给攻击者施威留下了可乘之机。

  (4)攻击者深知规模经济的功效,因此会尽可能快的进行多点入侵。攻击者选择的“利器”是自动化。自动化不仅确保了威胁的持续性,而且支持攻击者能够非常快的实施攻击。

  (5)老式攻击还会给受害者留下一些可见的破坏“线索”。而如今,攻击则是不留任何痕迹的逃避“追捕”。偷偷摸摸和加以伪装是目前攻击的主要伎俩。APT 的目标是要做到尽可能乱真 — 即使不完全相同 — 也要与合法流量尽可能接近。差别非常细微,以至于许多安全设备根本无法分辨出来。

  (6)APT的目的是帮助攻击者牟取经济或财务利益。因此,其核心目标是数据。任何对机构有价值的东西对攻击者而言同样有利可图。随着云计算技术的日益普及,通过互联网,数据已变得越来越“唾手可得”。

  (7)攻击者不仅需要做到对目标机构的系统进出自如,而且要能够长期访问到有价值的数据。如果攻击者下大力气侵入了一个机构的系统,他一定想做到长期“霸占”数据。偷一次数据会获得小利,而九个月内持续窃取数据则会使攻击者大发横财。

  所有这些意味着用户所面临的攻击和威胁将是长期的、持续的,因此对于机构而言必须时刻保持“战备”状态,这是十分必要的。这是一场不会结束的战争。APT极其狡猾、隐匿,这预示着机构很可能在几个月内持续遭受入侵,却浑然不知。如果出现这种受到攻击者数月隐匿攻击,自己却蒙在鼓里的情况,该如何应对呢?

  如何防范APT?

  防范是理想举措,而检测则是必要的。多数机构仅仅重视防范措施,对于 APT 而言,它是伪装成合法流量侵入网络的,很难加以分辨,因此防范效果甚微。只有攻击数据包进入网络内部,破坏和攻击才开始实施。

  针对 APT这种新的攻击媒介,以下是防范此类威胁的必要措施:

  (1)控制用户并增强安全意识 — 一条通用法则是:你不能阻止愚蠢行为发生,但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的措施。

  (2)对行为进行信誉评级 — 传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过,随着高级攻击日益增多,这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络,得逞后再实施破坏。由于攻击者的目标是先混入系统,因此,需要对行为进行跟踪,并对行为进行信誉评级,以确定其是否合法。

  (3)重视传出流量 — 传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑,这对于截获某些攻击还是有效的,而对于 APT,传出流量则更具危险性。如果意在拦截数据和信息的外泄,监控传出流量是检测异常行为的有效途径。

  (4)了解不断变化的威胁 — 对于您不了解的东西很难做到真正有效的防范。因此,有效防范的唯一途径是对攻击威胁有深入了解,做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩,将不能做到根据威胁状况有效调整防范措施。

  (5)管理终端 — 攻击者可能只是将侵入网络作为一个切入点,他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险,控制和锁定终端将是一项长期有效的机构安全保护措施。

  如今的威胁更加高级、更具持续性、更加隐匿,同时主要以数据为目标,因此,机构必须部署有效的防护措施加以应对。

  总结

  今后一段时期,APT将会越来越频繁的出现。忽视这一问题意味着您的机构将面临着威胁破坏的风险。应对APT的核心要务是要“了解系统/网络”。越了解网络流量和服务,越能更好的确定/识别异常行为,进而能更好的防范APT。

  确保机构得到适当保护的有效方法是运行模拟攻击(例如,入侵测试、红队和伦理黑客攻击),以了解组织的漏洞状况。最为重要的是,如何快速检测漏洞。确保成功的关键要素是:

  (1) 切记一定获得明确批准

  (2) 运行良性攻击

  (3) 确保执行测试的人员具备等同于真正黑客的专业技术水平

  (4) 及时修复漏洞

  好消息是通过了解威胁和机构的漏洞情况,用户将能够有效抵御APT。


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。