1.3 PT和APT的区别
请君入瓮——APT攻防指南之兵不厌诈
在一些反间谍行业的行家里手才会知道的圈子里,多数网络情报分析员的工作就是检测主动威胁并且为其生成数字签名。他们称自己的这份苦差事就是“捉间谍、贴签”1。而(鉴定国内外间谍的)反间谍团队主要处理对手直接推销上门的威胁和事故;他们自称工作是“捉间谍、贴签、追踪”,即一直重复进行的事故检测和模式识别的工作。所谓“贴签”就是按照不同的权重和标准,对威胁进行全方面的评估。所有企业都应该这样处理网络威胁和安全事故。
PT(持续性威胁)和APT(高级持续性威胁)有很大区别。我们可以从下面几个方面进行区分。
最终目标(Objectives):对手发起攻击的最终目的。
时间进度(Timelines):对手在试探系统、控制系统时各花了多少时间。
后勤资源(Resources):攻击事件涉及的知识水平和工具的水准(需要以此衡量他们的技巧和手段)。
风险承受力(Risk Tolerance):藏匿、掩盖攻击行为的程度。
技巧和手段(Skills and Methods):事件中的工具和技术。
行动措施(Actions):攻击的确切行为。
初期规模(Attack Origination Points):在入侵启始的阶段,受对手攻击的弱点的总数。
波及程度(Numbers Involved in the Attack):受影响的内部、外部的系统的总数,按影响的程度对受害系统进行分情况统计。
知识来源(Knowledge Source):网络中可收集到的有关特定威胁的信息的来源(只要您保有积极的态度去作网络搜索,收获到的情报必然多得惊人)。
接下来我们一起来从反间谍的视角分析这9个可观测点,即“可观测量”。所有入侵企业网络或者业务系统的行为,都必须通过网线在网络上实施。可观测量就是在网络上观测、分析这些入侵和威胁。某种意义上来说,可观测量是用“退一步”的视角得到的高度概括的全局信息,这有助于更为清晰地分析问题。
多数企业都只关注入侵者得手之后的补救措施,即所谓的“事后响应”。在安全人员检测到入侵之后,这些单位难免陷于恐怖的“补救-监测-再补救”的后制于人的模式之中。如果仅仅关注事后的响应策略和处理手段,无论面临的威胁是PT还是APT,后制于人的模式都会挑战工作人员的能力极限。我们将近些年来观测到的可观测量绘制成了下面这张图。虽然它并不能适于所有单位的具体情况,但是较为准确地描述了采取“事后响应”的单位的普遍情况。
从图中可以看到,这些单位最清楚的可观测量是遭受攻击的目标。哪些资料被盗、被获取、被篡改——这些通常就是他们所认为的最终目的。但是他们这话说得太早了。只有在测量事故的全貌(可观测量)之后,我们才能明确了解对手(或入侵者)的最终意图。从“入侵事件发生”到“安全团队开始响应”之前,存在太长的数据空白期。这使分析工作的拼图游戏已经变得难以下手,非常复杂。在安全团队接班之前,日志会变得越来越长,各种管控手段将逐一失效,分析人员无法及时识别入侵的模式特征;最终,他们也无法继续解读残留下来的可观测量。那些残存的可观测量变成面包屑组成的路线图,而无论我们再怎么找,也不可能知道面包——入侵事件的全貌——是什么样子。那些被漏掉的可观测量,才是分析攻击者全局意图和动机的关键数据。
股东们常常只求事后的简单的处理方法和清理手段,他们只关心灾后的业务能否返回正轨。这种模式的主要问题是战略上过于被动,使人员疲于应付。不关注现在的情况和可能发生的情况,就必须被动地响应入侵事件。这种被人牵着鼻子走的消极应对策略,对于股东来说无非就是烧钱和头痛这点代价而已。大部分的受害单位看都不看主机系统上的证据,就格式化硬盘重装操作系统了事。
对于绝大多数的安全人士来说,最头痛的事情莫过于等着被入侵——如同谚语所说的“等着第二只鞋掉下来”2。入侵是迟早要发生的,是不是会发生不是问题;问题是它什么时候会发生。所以应该尽早思考争取主动的方法,让安全专业人员更好地理解威胁、对手和入侵。
决定采取主动防守之后,就要采取相应的策略在运营系统的边界部署工具,增强网络和人员检测、识别、追踪、反击各种PT和APT的能力。网上其实有不少主动防守所需的工具,有商业用途的版本也有公共版本(公共版并不等同于免费版)。结合这些工具和手段,安全人士可以建立较为明确的可观测量的特征表。
在客户听取建议之后,会采取积极防御计划。我们根据他们新计划的新的数据绘制出了下面这张图。这张图勾勒出积极防御计划的优点。
从图中可以看出,新的积极防御计划在两个方面与传统的事后响应方法存在明显区别。我们整理了一些客户成功解决的安全事件,将其中的可观测量进行统计,根据相关数据绘制而成上述的消极防御、积极防御的效果对比图。客户都能成功识别出背后的肇事者,有些肇事者已经被捕。虽然建立网络罪犯的档案确实烧钱,这些费用也没有向肇事者索要,但是有关部门已经建立了相关的卷宗。目前,世界各地的情报机构和执法机构都在共同使用和维护这些卷宗。
在刚才分析对手的过程中,应当能注意到我们同时着手多个可观测量,在整体上把握问题。而在传统的被动响应的工作方法中,仅有屈指可数的专业人士才能够做到这点。请您理解,即使您采取了积极防御和积极反击的应对态势,肯定也不能应对全部的实际情况。在受到某些人、某些事的影响之后,安全维护人员可能最终不得不采取事后响应的处理手段。即便如此,我们相信在通读本书之后,您和您的团队也能做好更为充分的准备,应对各种出其不意的情况,并将能够妥善采取各种策略有效反击高级的和持续的攻击。
1译者注:原文中“间谍”使用的是“mole(鼹鼠)”这个词。这里的“鼬鼠”指代间谍、双面间谍或者泄密者。
2译者注:可当作苏文茂的相声《扔靴子》。美国文化中也有类似的段子。
本文仅用于学习和交流目的,不代表异步社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。