就像是“鱷魚還是木頭”的寓言一樣，大多數(shù)APT攻擊并不會直接暴露真實面目，而是會很好的在用戶經(jīng)常訪問的可信網(wǎng)站上或是分支機構(gòu)中偽裝起來，等待粗心的企業(yè)用戶，這類的攻擊也被叫做 “水坑攻擊”(Water hole attack)。為了防范此類攻擊，亞信安全建議用戶改變“單點作戰(zhàn)”的傳統(tǒng)做法，更加重視威脅情報共享和定制化解決方案。

　　瞄準企業(yè)網(wǎng)絡(luò)弱點 “水坑攻擊”讓人防不勝防

水坑攻擊是APT攻擊的一種常用手段，黑客通過分析被攻擊者的網(wǎng)絡(luò)活動規(guī)律，尋找被攻擊者經(jīng)常訪問的網(wǎng)站弱點，入侵這些防御措施相對薄弱的服務(wù)器并植入惡意程序，當用戶訪問了這些網(wǎng)站，就會遭受感染。就像是鱷魚捕食的慣用伎倆一樣，捕食者埋伏在水里，等待角馬喝水時發(fā)動攻擊。

狡猾的黑客會繞過層層設(shè)防的主要入口，選擇企業(yè)的合作伙伴，或者是分支機構(gòu)，在必經(jīng)之路上設(shè)置一個“水坑(陷阱)”，這讓普通用戶甚至是管理員都很難防范。這其中的典型案例就是美國連鎖超市TARGET的信息泄露事件。

在TARGET的泄露事件中，黑客通過研究其供應(yīng)鏈的各個環(huán)節(jié)，選定了TARGET 的一家第三方供應(yīng)商為跳板，使用社交工程釣魚郵件竊取了該供應(yīng)商的用戶憑證，從而獲得進入TARGET 網(wǎng)絡(luò)系統(tǒng)的權(quán)限。隨后，黑客通過在POS 系統(tǒng)中植入軟件，感染了所有刷卡機，截取了刷卡機上的信用卡信息，最后成功入侵數(shù)據(jù)中心，竊走了所有的用戶信息。

單點防御產(chǎn)品無力鑒別APT風(fēng)險

針對“水坑攻擊”日漸猖獗的情況，亞信安全APT安全專家白日表示：”隨著互聯(lián)網(wǎng)+在各行各業(yè)的加速融合，許多企業(yè)網(wǎng)絡(luò)的邊界已經(jīng)模糊化，黑客利用“水坑攻擊”手段，以中小企業(yè)或合作伙伴為跳板，最終對大型企業(yè)發(fā)動APT攻擊，增加了核心數(shù)據(jù)的保全難度。這種攻擊方式超越了單點防護產(chǎn)品的功能范疇，用戶需要在偵測能力上部署更先進、更全面的防護手段。”

“水坑攻擊”和“路過式下載攻擊”有著很大區(qū)別，后者屬于一般性攻擊，很容易被發(fā)現(xiàn)，而利用“水坑”發(fā)動的APT攻擊則更加隱蔽。攻擊者還會利用網(wǎng)絡(luò)釣魚電子郵件、包含惡意代碼的下載包、零日漏洞來發(fā)動攻擊，而傳統(tǒng)的防火墻、入侵檢測、安全網(wǎng)關(guān)、殺毒軟件和反垃圾郵件系統(tǒng)等主要是采用特征碼匹配檢測技術(shù)對網(wǎng)絡(luò)邊界和主機邊界進行已知威脅檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。

有別于傳統(tǒng)設(shè)備的“單兵作戰(zhàn)”，亞信安全提供了深度威脅發(fā)現(xiàn)設(shè)備(TDA)、深度威脅安全網(wǎng)關(guān)(DE)、深度威脅郵件網(wǎng)關(guān)(DDEI)、深度威脅分析設(shè)備(DDAN)、深度威脅終端取證及行為分析系統(tǒng)(DDES )等產(chǎn)品構(gòu)成的深度威脅發(fā)現(xiàn)平臺(Deep Discovery，DD)，該平臺可以與亞信安全其它的網(wǎng)關(guān)、虛擬化、服務(wù)器以及終端安全防護產(chǎn)品整合。另外，亞信安全還與趨勢科技全球15 個惡意軟件實驗室、云安全智能保護網(wǎng)絡(luò)(Smart Protection Network)共享威脅信息 ，形成全覆蓋的偵測平臺。不論是傳統(tǒng)安全威脅，還是“水坑攻擊”都能從這里偵測并得到分析，同時還能清晰的描述攻擊路徑、定位到終端或個人，最終形成威脅的預(yù)警信息。

針對“水坑攻擊”重點對象，白日還表示：中小企業(yè)本身防護意識和能力比較薄弱，被攻擊的成功率也就很高，黑客往往會選擇這些對象進行“挖坑”。另外，國內(nèi)大部分的企業(yè)對APT攻擊都停留在簡單認知的層面，只有很少的一部分用戶非常了解APT攻擊的危害。因此，威脅情報共享和定制化解決方案對于防止和識別針對性攻擊而言越來越重要，亞信安全將全力協(xié)助企業(yè)用戶遠離此類風(fēng)險。