美国联邦调查局某高官曾经说过:“世界上只有两种大型企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。”
有人感觉,“高官”的言论未免太过极端,但不可争议的是,近几年APT攻击愈演愈烈。数据统计,仅2014年全球就有超过80000家公司遭遇网络攻击,其中只有2122家公司被迫公开承认,全球500强公司大面积沦陷,攻击范围涉及全球60多个国家和地区,由此可见,该高官的表述并不过分。
面对狡猾且技艺高超的黑客,由防火墙、入侵检测、防病毒系统组成“三大件”似乎失去了作用。以APT攻击为代表的高级新型攻击,正在毫无顾忌的冲破企业安全防线,他们悄悄潜伏,伺机窃取机密数据丢失或是破坏生产系统。那么,APT攻击为何难以发现?企业用户只能束手待毙吗?
APT攻击平均“559”天才被发现
亚信安全对大量APT攻击案件进行了系统调查,统计结果出乎意料,企业用户平均经过559天才会发觉自己正在遭遇攻击。此外,亚信安全还发现,APT攻击导致的核心数据泄密会对大型企业造成极为负面的影响,这不仅会造成知识产权的流失,这将在技术、业务、市场、客户等方面发生连锁反应。对于上市企业,APT事件一旦被公布,必然会直接影响企业股价,导致企业资产瞬间缩水。
一般来说,传统的木马病毒攻击采用的是 “广撒网”的方式,他们更加在意这张“网”的范围有多大,而很少在意哪些具体的鱼会被捕上来。与传统的网络威胁不同,APT攻击十分狡猾,彻底颠覆了我们对木马病毒、黑客攻击的认识。
针对APT攻击的特点,亚信安全产品总监、APT治理专家白日表示:“黑客从一开始就选定了明确的攻击对象和攻击目标,并为此进行长期的人力和物力的投入。攻击者追求的是攻击成功率,而不是攻击范围的扩大。一旦确定目标,‘专注’的黑客会采用一些极为个性化、针对强的攻击手法。这些攻击手法,以及他们所采用的攻击代码,有时只会使用一次,但这种攻击却是持续而影响深远的。”
如何抓住狐狸的尾巴?
黑客发动APT攻击,往往会精心选择隐匿行踪的技巧,通过有组织的行动将攻击分散开来,以躲避查杀。此外,黑客一旦进入到企业内部网络,多数会采用深度潜伏的方式。这些特点,让我们很难发现遭遇APT攻击,但狡猾的狐狸终究会露出尾巴。
要抓狐狸,就要了解它的习性。APT攻击共有6个阶段,这包括:情报收集、单点突破、命令与控制(C&C通信)、横向移动、资产/资料发掘、资料窃取。在一些受雇佣的黑客队伍中,常常分工明确,不同阶段甚至会有不同的黑客负责完成。这虽然增加了企业防御APT攻击的难度,但如果熟悉每个阶段的攻击特征,就可以做到有的放矢。例如:亚信安全发现,在APT“单点突破”阶段,有91%的目标攻击是利用电子邮件作为切入点。此外,有78%的针对性电子邮件会内含附件引诱用户点击。
针对APT的有效治理,白日表示:“发现APT攻击者在企业内部的藏身之处有一定的难度,但不是说企业就束手无策。企业用户要实现APT攻击的有效治理,最佳方案就是根据这6个阶段建立一一对应的抑制点。不仅需要在‘单点突破’这个阶段利用沙箱技术发现恶意代码,发现‘横向移动’阶段中的黑客扫描流量也很重要。”
沿用传统设备的“单兵作战”势必无法与黑客团体抗衡。为此,亚信安全推出了以监控为中心,以侦测、分析、响应、阻止为治理过程,以“深度威胁发现平台”为核心的完整而有效的APT治理整体解决方案。亚信安全深度威胁发现平台Deep Discovery包括:深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁安全网关Deep Edge、深度威胁邮件网关DDEI、服务器深度安全防护系统Deep Security,以及能够实现本地和云端威胁情报共享的统一联动控制管理中心TMCM和高级威胁调查取证服务DI。
APT攻击“简化版”—— 勒索软件
如今,很多政府机构和全球化企业在安全控管上都投入了巨大的人力和物力,但是APT攻击仍然渗透进这些组织,并且,许多黑客团体将这种进攻方案变得更加“简单粗暴”。
对于APT攻击的发展,白日认为:“一种非常简易的APT攻击已经开始大规模泛滥,这就是加密勒索软件。它具备APT攻击第2个阶段的典型特征,即利用社交工程邮件突破企业边界防护,进而控制企业的终端和服务器,最终获取并加密核心数据,恐吓勒索用户。所以说,表面看起来只是企业员工感染了勒索软件,但其实还是笼罩在APT攻击之下。因此,亚信安全的APT治理战略同样也适用于勒索软件攻击。”
原文发布时间为:2017年1月22日