當(dāng)然對(duì)于像Google、RSA、Comodo等深受其害的公司而言APT無(wú)疑是一場(chǎng)噩夢(mèng)，噩夢(mèng)的結(jié)果便是對(duì)現(xiàn)有安全防御體系的深入思考。

何為APT攻擊

APT(Advanced Persistent Threat)高級(jí)持續(xù)性威脅顧名思義，這種攻擊行為首先具有極強(qiáng)的隱蔽能力，通常是利用企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來(lái)形成攻擊者所需 C&C網(wǎng)絡(luò);其次APT攻擊具有很強(qiáng)的針對(duì)性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶(hù)業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息，情報(bào)收集的過(guò)程更是社工藝術(shù)的完美展現(xiàn);當(dāng)然針對(duì)被攻擊環(huán)境的各類(lèi)0day收集更是必不可少的環(huán)節(jié)。

在已經(jīng)發(fā)生的典型的APT攻擊中，攻擊者經(jīng)常會(huì)針對(duì)性的進(jìn)行為期幾個(gè)月甚至更長(zhǎng)時(shí)間的潛心準(zhǔn)備，熟悉用戶(hù)網(wǎng)絡(luò)壞境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲(chǔ)位置與通信方式，整個(gè)驚心動(dòng)魄的過(guò)程絕不遜于好萊塢巨制《偷天換日》。當(dāng)一切的準(zhǔn)備就緒，攻擊者所鎖定的重要信息便會(huì)從這條秘密通道悄無(wú)聲息的轉(zhuǎn)移。例如，在某臺(tái)服務(wù)器端成功部署Rootkit后，攻擊者便會(huì)通過(guò)精心構(gòu)造的C&C網(wǎng)絡(luò)定期回送目標(biāo)文件進(jìn)行審查。

也許很多IT管理者認(rèn)為APT攻擊這種長(zhǎng)期而復(fù)雜的攻擊方式不可能幸運(yùn)的發(fā)生在您所負(fù)責(zé)網(wǎng)絡(luò)中，但在西方先進(jìn)國(guó)家APT攻擊已經(jīng)成為國(guó)家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國(guó)國(guó)防部的High Level網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對(duì)APT攻擊行為的檢測(cè)與防御是整個(gè)風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。

對(duì)于APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰(zhàn)策略，法國(guó)人的整條防線便淪落成擺設(shè)，至于APT攻擊，任何疏忽大意都可能為信息系統(tǒng)帶來(lái)災(zāi)難性的破壞。相信您迫切想了解傳統(tǒng)的網(wǎng)絡(luò)犯罪集團(tuán)與APT攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。

不難看出APT攻擊更像一支配備了精良武器的特種部隊(duì)，這些尖端武器會(huì)讓用戶(hù)網(wǎng)絡(luò)環(huán)境中傳統(tǒng)的IPS/IDS、防火墻等安全網(wǎng)關(guān)失去應(yīng)有的防御能力。無(wú)論是0day或者精心構(gòu)造的惡意程序，傳統(tǒng)的機(jī)遇特征庫(kù)的被動(dòng)防御體系都無(wú)法抵御定向攻擊的入侵。即便是業(yè)界熱議的NGFW，利用CA證書(shū)自身的缺陷也可讓受信的應(yīng)用成為網(wǎng)絡(luò)入侵的短板。

典型的APT攻擊，通常會(huì)通過(guò)如下途徑入侵到您的網(wǎng)絡(luò)當(dāng)中：

通過(guò)SQL注入等攻擊手段突破面向外網(wǎng)的Web Server;

通過(guò)被入侵的Web Server做跳板，對(duì)內(nèi)網(wǎng)的其他服務(wù)器或桌面終端進(jìn)行掃描，并為進(jìn)一步入侵做準(zhǔn)備;

通過(guò)密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳號(hào)，并最終突破AD服務(wù)器或核心開(kāi)發(fā)環(huán)境;

被攻擊者的私人郵箱自動(dòng)發(fā)送郵件副本給攻擊者;

通過(guò)植入惡意軟件，如木馬、后門(mén)、Downloader等惡意軟件，回傳大量的敏感文件(WORD、PPT、PDF、CAD文件等);

通過(guò)高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點(diǎn)擊并入侵內(nèi)網(wǎng)終端。

典型的APT攻擊流程

為什么Web Server會(huì)成為攻擊者發(fā)起APT攻擊起點(diǎn)？通常這里是公司郵件網(wǎng)絡(luò)的集散地，這也驗(yàn)證了EMAIL電子郵件已淪為APT攻擊最重要的途徑之一，而且 EMAIL中包含的各類(lèi)重要信息更可能帶來(lái)意想不到的收獲。前面我們說(shuō)到，攻擊者攻擊Web Server的主要目的是為了充當(dāng)進(jìn)一步入侵的跳板，因此針對(duì)EMAIL的攻擊行為通常會(huì)執(zhí)行如下工作：

發(fā)送釣魚(yú)郵件：竊取用戶(hù)ID與密碼;

執(zhí)行惡意腳本：掃描終端用戶(hù)使用環(huán)境，發(fā)掘可利用的攻擊資源;

植入惡意軟件：針對(duì)用戶(hù)環(huán)境中應(yīng)用程序漏洞，注入惡意代碼，構(gòu)建僵尸網(wǎng)絡(luò)。

在針對(duì)郵件系統(tǒng)的APT攻擊的過(guò)程中，攻擊者通常會(huì)利用各種辦公系統(tǒng)所支持的各類(lèi)文檔0day，例如WORD、PDF、PPT等，越是頻繁使用的文檔，越有可能降低用戶(hù)安全意識(shí)。

如何防御APT攻擊

現(xiàn)在，相信博學(xué)淵博的您已經(jīng)對(duì)APT攻擊有了基礎(chǔ)的認(rèn)知，面對(duì)這種隨時(shí)隨地都可能發(fā)生的威脅，如何在長(zhǎng)期的持續(xù)的威脅中實(shí)現(xiàn)滿(mǎn)足企業(yè)安全生產(chǎn)所必需的IT生產(chǎn)環(huán)境呢？下面我們就來(lái)看看如何有效抵御APT攻擊。

電影《角斗士》中，Maximus攻防兼?zhèn)潋斢律茟?zhàn)，無(wú)論是面對(duì)野蠻兇殘的迦太基勇士，還是饑餓強(qiáng)壯的獅虎猛獸，Maximus總能憑借敏銳的洞察力和豐富的作戰(zhàn)經(jīng)驗(yàn)一一化解。對(duì)于APT攻擊的防范同樣需要深思熟慮，任何疏忽都可能讓您的安全壁壘坍塌。

對(duì)于傳統(tǒng)的攻擊行為，安全專(zhuān)家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動(dòng)機(jī)及傳播渠道，但對(duì)于APT攻擊以點(diǎn)概面的安全檢測(cè)手段已顯得不合時(shí)宜。面對(duì)APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動(dòng)更智能的安全防御體系。

必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測(cè)APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個(gè)細(xì)節(jié)，包括功能、 0day信息、命令與控制、社工手法、受害人、攻擊活動(dòng)頻率等信息。理論上針對(duì)單一攻擊事件，安全人員可以快速定位攻擊源頭，并作出對(duì)應(yīng)的安全防御策略，然而這些卻無(wú)法準(zhǔn)確提取APT攻擊屬性與特征。因此，針對(duì)APT攻擊行為的檢測(cè)，需要構(gòu)建一個(gè)多維度的安全模型，這里既有技術(shù)層面的檢測(cè)手段，也有包含深入產(chǎn)業(yè)鏈的動(dòng)態(tài)分析追蹤。為此，金山在針對(duì)APT攻擊行為檢測(cè)方面注重從三方面入手：

靜態(tài)檢測(cè)方式

從攻擊樣本中提取攻擊特征與功能特性;

對(duì)攻擊樣本逆向分析;

動(dòng)態(tài)檢測(cè)方式

模擬用戶(hù)環(huán)境，執(zhí)行APT代碼段，捕獲并記錄APT攻擊的所有行為;

審計(jì)網(wǎng)絡(luò)中應(yīng)用程序的帶寬占用情況;

APT攻擊溯源;

產(chǎn)業(yè)鏈跟蹤

實(shí)時(shí)跟蹤分析網(wǎng)絡(luò)犯罪團(tuán)伙的最新動(dòng)向。

多維度的安全防御體系，正如中醫(yī)理論中倡導(dǎo)的防患于未然思想，在威脅沒(méi)有發(fā)生前，為企業(yè)IT生產(chǎn)環(huán)境進(jìn)行全面的安全體檢，充分掌握企業(yè)所面臨的安全風(fēng)險(xiǎn)。為實(shí)現(xiàn)針對(duì)APT攻擊防御的多維分析與審計(jì)模型，金山安全研發(fā)團(tuán)隊(duì)從如下幾方面著手：

動(dòng)態(tài)的安全分析

提取并審核執(zhí)行文件體、Shellcode以及PE文件頭;

分析文件中的對(duì)象和異常結(jié)構(gòu)

動(dòng)態(tài)的安全分析

模擬系統(tǒng)環(huán)境安裝各類(lèi)執(zhí)行文件體;

實(shí)施掃描系統(tǒng)內(nèi)存與CPU中資源異常調(diào)要;

檢測(cè)關(guān)鍵位置的代碼注入或各類(lèi)API鉤子;

檢測(cè)任意已知的代碼分片;

檢測(cè)Rootkit、KeyLogger、Anti-AV等惡意程序;

檢測(cè)郵件、域、IP地址、URL中可疑的字符串。

APT防御利器，KingCloud私有云安全平臺(tái)

再好的解決方案，最終需要落地為產(chǎn)品和服務(wù)。金山KingCloud私有云安全系統(tǒng)著重實(shí)時(shí)掌控企業(yè)IT生產(chǎn)環(huán)境變化。豐富的終端運(yùn)維經(jīng)驗(yàn)，金山能夠幫助IT運(yùn)維管理人員構(gòu)建滿(mǎn)足企業(yè)運(yùn)維需求的終端安全基線，實(shí)現(xiàn)干凈可用的初始化環(huán)境，簡(jiǎn)單方便的網(wǎng)絡(luò)環(huán)境檢測(cè)過(guò)程，無(wú)需管理員干預(yù)即可掌握整個(gè)網(wǎng)絡(luò)應(yīng)用環(huán)境，一旦確認(rèn)應(yīng)用類(lèi)型即可下發(fā)靈活的權(quán)限控制策略，極大的降低了管理員的管理門(mén)檻。

作為全新的企業(yè)IT運(yùn)維級(jí)安全解決方案，金山私有云充分考慮終端資源濫用問(wèn)題，細(xì)粒度的應(yīng)用控制策略和低于10M的內(nèi)存資源占用，確保了在現(xiàn)有的IT環(huán)境中最大限度的優(yōu)化終端系統(tǒng)可用性。強(qiáng)大的云防御功能可以精確抵御各種非授權(quán)行為對(duì)網(wǎng)絡(luò)的破壞，管理員可根據(jù)用戶(hù)業(yè)務(wù)類(lèi)型嚴(yán)格限定用戶(hù)的訪問(wèn)權(quán)限和文件操作權(quán)限，無(wú)論是企業(yè)文件服務(wù)器、終端工作站、瘦客戶(hù)端、移動(dòng)PC或者智能終端，金山KingCloud私有云安全系統(tǒng)都可發(fā)揮極佳的安全防御效果。

獨(dú)有的云修復(fù)功能，可在企業(yè)內(nèi)網(wǎng)終端發(fā)生異常宕機(jī)或藍(lán)屏?xí)r，快速恢復(fù)系統(tǒng)初始狀態(tài)，為企業(yè)IT信息系統(tǒng)的安全穩(wěn)定運(yùn)營(yíng)提供強(qiáng)大的運(yùn)維保障。值得注意的是，金山KingCloud私有云可以幫助IT管理者實(shí)時(shí)掌控企業(yè)IT生產(chǎn)環(huán)境點(diǎn)滴變化，無(wú)論是受信軟件還是未知應(yīng)用，企業(yè)生產(chǎn)環(huán)境關(guān)鍵位置上所產(chǎn)生的任意微笑變化都將第一時(shí)間上報(bào)企業(yè)IT管理。，之前提到的受害者郵箱自動(dòng)轉(zhuǎn)發(fā)副本郵件給攻擊者，惡意腳本對(duì)用戶(hù)境的自動(dòng)檢測(cè)等行為，都逃不脫金山私有云安全平臺(tái)的掌控，管理員只需針對(duì)惡意行為或文件進(jìn)行統(tǒng)一策略下發(fā)，便可瞬間切斷隱藏在企業(yè)機(jī)構(gòu)背后的黑手。

當(dāng)然，今天的信息安全已不再是只靠產(chǎn)品解決方案便可衣食無(wú)憂(yōu)的年代，企業(yè)機(jī)構(gòu)內(nèi)部員工安全意識(shí)培訓(xùn)同樣必不可少。對(duì)于APT攻擊行為，控制用戶(hù)終端使用習(xí)慣提升安全操作意識(shí)，制定明確的信譽(yù)評(píng)估，甚是網(wǎng)內(nèi)傳出數(shù)據(jù)與流量，了解安全威脅趨勢(shì)和合理的終端設(shè)備管理，都會(huì)幫助用有效降低APT攻擊的發(fā)生。在殺毒軟件已經(jīng)成為企業(yè)安全防御的基本武器的同時(shí)，終端應(yīng)用與事件的精確管控同樣必不可少。

今天當(dāng)IT與日常生活工作結(jié)合的愈發(fā)緊密之時(shí)，安全的邊界已經(jīng)從傳統(tǒng)的網(wǎng)關(guān)、終端延續(xù)到任何應(yīng)用及業(yè)務(wù)可能到達(dá)的每一個(gè)節(jié)點(diǎn)，此時(shí)APT攻擊很可能就潛伏在您的身邊。，僅2011年就有多起嚴(yán)重的APT攻擊事件被媒體曝光，曾經(jīng)可靠的CA證書(shū)隨時(shí)可能成為擺設(shè)，Comodo、 DigiNotar、RSA、洛克希德馬丁每一起事件的發(fā)生都足以引起整個(gè)信息安全業(yè)界的思考，還有什么理由疏忽任何看似細(xì)小的威脅？

可以預(yù)見(jiàn)APT攻擊行為將在未來(lái)成為威脅政府、企業(yè)等重要信息系統(tǒng)的致命威脅，然而值得慶幸的是矛與盾的較量始終還在繼續(xù)，我們有理由相信正義終將戰(zhàn)勝邪惡。最后讓我們見(jiàn)證APT攻擊給今天信息安全帶來(lái)的改變：

西方先進(jìn)國(guó)家已將APT防御議題提升到國(guó)家安全層級(jí)，這絕不僅僅造成數(shù)據(jù)泄露;

APT攻擊時(shí)代的來(lái)臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢(shì)，傳統(tǒng)的蜜罐或蜜網(wǎng)將難以捕捉APT樣本;

針對(duì)APT攻擊防御手段，需要對(duì)整個(gè)信息安全環(huán)境有清晰的認(rèn)知，只有形成及時(shí)的產(chǎn)業(yè)鏈情報(bào)收集，甚至全球安全動(dòng)態(tài)跟蹤方有可能真正做到防患于未然;

落實(shí)信息安全管理策略，例如嚴(yán)格按照等級(jí)保護(hù)規(guī)范實(shí)施嚴(yán)格的系統(tǒng)隔離策略，制定嚴(yán)格的移動(dòng)設(shè)備管理策略。