APT的發(fā)展已經(jīng)到了一個(gè)轉(zhuǎn)變的時(shí)候,現(xiàn)在的APT攻擊與當(dāng)年首次被發(fā)現(xiàn)時(shí)有了許多的不同。APT2.0時(shí)代情勢(shì)已然轉(zhuǎn)變、防御怎能還一成不變。
在趨勢(shì)科技CloudSec2015網(wǎng)絡(luò)安全大會(huì)上,趨勢(shì)科技全球研究開(kāi)發(fā)部資深研究員翁世豪表示,對(duì)抗APT要有長(zhǎng)期抗戰(zhàn)的準(zhǔn)備,要有專業(yè)的人員支撐。
在與APT多年的交鋒中人們發(fā)現(xiàn),APT攻擊精準(zhǔn)具有針對(duì)性、重質(zhì)不重量、持久、安靜。也就是說(shuō),哪怕APT攻擊已然發(fā)生但大多數(shù)受害者卻還毫無(wú)察覺(jué)。
而今,曾經(jīng)利用可執(zhí)行文件發(fā)起的APT攻擊模式早已經(jīng)被替代,Office文檔漏洞、Adobe漏洞等等讓駭客們發(fā)現(xiàn),原來(lái)攻擊還可以這樣發(fā)起,“好簡(jiǎn)單啊,這些人這么好被騙”。很不幸的是,這里的“這些人”包含絕大多數(shù)的網(wǎng)友。
駭客發(fā)起的APT攻擊主要分為三個(gè)階段:攻擊階段、控制階段、活動(dòng)階段。在攻擊階段,駭客往往還處于企業(yè)外網(wǎng),內(nèi)部信息面臨被盜取的威脅還很遠(yuǎn)。當(dāng)APT攻擊進(jìn)入了控制階段和活動(dòng)階段,就意味著企業(yè)內(nèi)部信息對(duì)于駭客們而言已經(jīng)唾手可得。人們總是希望能夠遠(yuǎn)離危險(xiǎn),試圖將APT攻擊阻擋在企業(yè)內(nèi)網(wǎng)與外網(wǎng)邊界之外,將其消滅在攻擊發(fā)起之初。但新型惡意攻擊技術(shù)、越來(lái)越多被發(fā)現(xiàn)的零日漏洞、移動(dòng)化等等,使得駭客們?cè)诠綦A段占據(jù)了更多的優(yōu)勢(shì)。
所以,當(dāng)企業(yè)很久沒(méi)收到惡意郵件時(shí)不要高興,這很可能意味著APT攻擊已經(jīng)成功進(jìn)入企業(yè)網(wǎng)絡(luò)內(nèi)部并處于潛伏期,“現(xiàn)在APT的主戰(zhàn)場(chǎng)已經(jīng)從企業(yè)網(wǎng)絡(luò)邊界轉(zhuǎn)移到企業(yè)網(wǎng)絡(luò)內(nèi)部。”
面對(duì)APT2.0,安全防御者們真的就束手無(wú)策了么?答案當(dāng)然是“不”!小偷已經(jīng)開(kāi)始在墻角打洞,我們卻還在門口防守,那肯定沒(méi)有效果。所以現(xiàn)在是時(shí)候?qū)⒛愕哪抗廪D(zhuǎn)向“墻角”,換個(gè)思路了。
對(duì)于APT的攻擊防護(hù),人們向來(lái)會(huì)建立起多道安全防線,只是早期攻防的主戰(zhàn)場(chǎng)并不是內(nèi)網(wǎng)。而如今,則需要構(gòu)建起以“威脅來(lái)自內(nèi)網(wǎng)成員”為前提的隔離防護(hù)架構(gòu),加強(qiáng)對(duì)內(nèi)網(wǎng)活動(dòng)的監(jiān)控,必須知道內(nèi)網(wǎng)成員的所有動(dòng)作。定期進(jìn)行網(wǎng)絡(luò)安全檢測(cè),找出一切潛藏的威脅,防微杜漸。另外,以惡意程序?yàn)橹行牡氖录幚砘蛘邫z測(cè)方式還遠(yuǎn)遠(yuǎn)不夠,因?yàn)楣粽哌€可能通過(guò)控制合法的程序來(lái)實(shí)施攻擊。
企業(yè)網(wǎng)絡(luò)邊界防護(hù),據(jù)敵御外是基礎(chǔ)的安全防護(hù)?,F(xiàn)在還要增強(qiáng)對(duì)內(nèi)部網(wǎng)絡(luò)的細(xì)微監(jiān)控,要像大偵探福爾摩斯那般對(duì)任何安全事件都予以足夠的重視,觀察入微、善于關(guān)聯(lián)分析,從蛛絲馬跡的內(nèi)網(wǎng)異常中發(fā)現(xiàn)惡意攻擊的蹤跡。
在APT2.0時(shí)代,企業(yè)內(nèi)網(wǎng)需要專業(yè)的安全分析人員,或者能夠起到相同作用的大數(shù)據(jù)分析平臺(tái)等APT防護(hù)技術(shù)手段。在APT攻擊的第二階段與其展開(kāi)拼殺,先期于惡意攻擊者發(fā)現(xiàn)、獲取企業(yè)高價(jià)值信息前將其捕獲。
還要記住,“當(dāng)發(fā)生安全事件時(shí),要冷靜,因?yàn)檫@往往也是轉(zhuǎn)機(jī)的到來(lái)”。此時(shí)攻擊已經(jīng)暴露,防御者可以藉此展開(kāi)安全檢測(cè),實(shí)施更為有效的防護(hù)動(dòng)作,甚至探本溯源斬草除根。
APT2.0時(shí)代,企業(yè)內(nèi)部不僅需要有網(wǎng)絡(luò)警察,還需要有網(wǎng)絡(luò)安全偵探,共同應(yīng)對(duì)來(lái)勢(shì)洶洶的新型APT攻擊。