今天，網(wǎng)絡(luò)攻擊已逐漸被利益因素驅(qū)動(dòng)，傳統(tǒng)的“破壞型”攻擊方式已全面轉(zhuǎn)向有組織、有商業(yè)目的、有利益的惡意攻擊。勒索軟件（Ransomware）就是在這樣的大背景下誕生的，并在近兩年開(kāi)始呈現(xiàn)愈演愈烈的態(tài)勢(shì)。一份最新的調(diào)查報(bào)告就顯示，2016年第一季度勒索軟件受害者的數(shù)量相比2015年第四季度增長(zhǎng)了近一倍！

中招勒索軟件？或許這只是一個(gè)開(kāi)始

雖然中招勒索軟件的人數(shù)不斷擴(kuò)大，但令人頗為無(wú)奈的是，普通企業(yè)用戶幾乎無(wú)法通過(guò)暴力破解等第三方解密方式對(duì)被加密的文件進(jìn)行破解，只能被迫支付“贖金”，然后外連到黑客不斷變化的C&C服務(wù)器才能拿到解密的密鑰。

然而并非支付了“贖金”事情就能順利解決，一方面是黑客本身的“職業(yè)道德”問(wèn)題（可能你支付了贖金，依然拿不到密鑰）；另一方面，如果你是企業(yè)員工，你很可能已經(jīng)成為黑客“單點(diǎn)突破”的對(duì)象，你所在的企業(yè)或許也已遭受到APT（高級(jí)持續(xù)性威脅）攻擊。

那么對(duì)于企業(yè)而言，如何降低中招勒索軟件的幾率，進(jìn)而降低被APT攻擊的風(fēng)險(xiǎn)？而一旦發(fā)現(xiàn)已被APT攻擊，又該如何應(yīng)對(duì)？如何調(diào)查取證呢？帶著這些問(wèn)題，筆者借參加2016年首屆C3安全峰會(huì)之機(jī)，專訪了亞信安全業(yè)APT治理戰(zhàn)略及網(wǎng)關(guān)產(chǎn)品線總監(jiān)白日和亞信安全產(chǎn)品管理部總監(jiān)徐江明。

　　2016年首屆C3安全峰會(huì)

勒索軟件其實(shí)就是簡(jiǎn)易的APT攻擊

或許對(duì)于企業(yè)員工來(lái)說(shuō)，中招勒索軟件后，很難想到其會(huì)與APT攻擊有關(guān)，但對(duì)于企業(yè)的IT人員來(lái)說(shuō)，就需格外注意了。對(duì)此，白日特別談到，近兩年，一種非常簡(jiǎn)易的APT攻擊方式開(kāi)始涌現(xiàn)，這就是加密勒索軟件。為何說(shuō)其是APT攻擊呢？因?yàn)槠浞螦PT攻擊的幾個(gè)關(guān)鍵特征——單點(diǎn)突破、命令與控制、橫向移動(dòng)、資料發(fā)掘和資料竊取。簡(jiǎn)單來(lái)說(shuō)，攻擊者在控制企業(yè)員工的個(gè)人終端后，一方面加密員工的重要文件，并索要贖金；另一方面，還可借助員工的終端設(shè)備突破企業(yè)的邊界防護(hù)，進(jìn)而控制企業(yè)的服務(wù)器，最終獲取更有價(jià)值的企業(yè)數(shù)據(jù)信息。所以說(shuō)，表面看起來(lái)只是企業(yè)員工中招了勒索軟件，但背后可能蘊(yùn)藏巨大的“危機(jī)”。

亞信安全業(yè)APT治理戰(zhàn)略及網(wǎng)關(guān)產(chǎn)品線總監(jiān)白日和亞信安全產(chǎn)品管理部總監(jiān)徐江明

阻止APT攻擊，你有六次機(jī)會(huì)

那么如何阻止或者說(shuō)降低被APT攻擊的幾率呢？對(duì)此，白日指出，APT攻擊可細(xì)分為情報(bào)收集、單點(diǎn)突破、外聯(lián)、橫向移動(dòng)、信息發(fā)掘、信息竊取共六個(gè)階段。也就是說(shuō)，阻止APT攻擊，你有六次機(jī)會(huì)。

第一階段，情報(bào)收集，也就是攻擊者在尋找漏洞。而對(duì)于企業(yè)來(lái)說(shuō)，“人”無(wú)疑是最大的漏洞，所以加強(qiáng)員工安全意識(shí)的培訓(xùn)，正是APT防護(hù)的第一步。

第二階段，單點(diǎn)突破。其實(shí)在攻擊者眼中，“人”依然是破口企業(yè)邊界防護(hù)的最佳選擇，而其中最有效的方法就是類似于釣魚(yú)郵件這類社會(huì)工程學(xué)攻擊。但對(duì)于企業(yè)員工來(lái)說(shuō)，即使提升了安全防護(hù)意識(shí)，也難免被“釣魚(yú)”，所以亞信安全特別推出了APT郵件沙盒，可有效避免員工遭受釣魚(yú)郵件的攻擊。

第三階段，外聯(lián)。黑客在完成單點(diǎn)突破后，就需要對(duì)被控制的設(shè)備下達(dá)指令，或者從外界獲取更多的攻擊工具，以進(jìn)行下一階段的攻擊。此時(shí)就必須與企業(yè)外的服務(wù)器或站點(diǎn)聯(lián)接，而如果能阻止外聯(lián)，自然就能阻止APT攻擊。為此，亞信安全推出了內(nèi)網(wǎng)安全監(jiān)測(cè)解決方案，可有效阻止內(nèi)網(wǎng)的服務(wù)器、終端等設(shè)備違規(guī)外聯(lián)。

第四階段，橫向移動(dòng)。如今仍有不少企業(yè)將安全防護(hù)重點(diǎn)集中在企業(yè)邊界，忽視了內(nèi)網(wǎng)安全防護(hù)，這就讓攻擊者在突破企業(yè)邊界后，可以在企業(yè)內(nèi)網(wǎng)“為所欲為”。而借助亞信安全的內(nèi)網(wǎng)安全監(jiān)測(cè)和防護(hù)解決方案，可以及時(shí)發(fā)現(xiàn)有風(fēng)險(xiǎn)的內(nèi)網(wǎng)設(shè)備，及時(shí)隔離，以阻止攻擊者的入侵行為。

第五階段，信息發(fā)掘。即阻止攻擊者找到企業(yè)的核心信息資產(chǎn)或者是重要數(shù)據(jù)，這就需要借助APT防追蹤解決方案，同時(shí)還需要對(duì)這些核心資產(chǎn)和數(shù)據(jù)進(jìn)行加密。

第六階段，信息竊取。攻擊者的最終目的就是將企業(yè)的核心信息資產(chǎn)或者是重要數(shù)據(jù)打包帶走，此時(shí)企業(yè)的重點(diǎn)工作還是加強(qiáng)內(nèi)網(wǎng)安全防護(hù)，阻止違規(guī)外聯(lián)；并借助DRP技術(shù)，做好進(jìn)一步的安全防護(hù)。

最后，白日還特別強(qiáng)調(diào)，APT防護(hù)不是一個(gè)技術(shù)、產(chǎn)品、解決方案就能扼制的，企業(yè)需做好長(zhǎng)期持久對(duì)抗的準(zhǔn)備，而在這個(gè)過(guò)程中，就需要借助多種技術(shù)和解決方案來(lái)實(shí)現(xiàn)APT攻擊偵測(cè)、分析和多維度防護(hù)。為此，亞信安全針對(duì)APT攻擊的各個(gè)階段均打造了相應(yīng)的防護(hù)產(chǎn)品和解決方案，可更好的助力企業(yè)抵御APT攻擊。

中小企業(yè)也能防住APT攻擊？

通過(guò)剛剛的介紹不難看出，應(yīng)對(duì)APT攻擊并不是一件簡(jiǎn)單的事情，似乎只有大型企業(yè)才能打造這種立體化、可視化的安全防護(hù)解決方案。但隨著勒索軟件等的出現(xiàn)，APT攻擊也開(kāi)始向中小企業(yè)市場(chǎng)拓展。因?yàn)樵诓簧俟粽呖磥?lái)，中小企業(yè)不會(huì)像大型企業(yè)那樣部署復(fù)雜、難以進(jìn)攻的安全解決方案，而且與消費(fèi)者相比，中小企業(yè)更有能力支付贖金，且網(wǎng)絡(luò)中的資料也“更值錢”！

那么面對(duì)讓大企業(yè)都頭疼的APT攻擊，中小企業(yè)是否有能力阻止呢？對(duì)于這一問(wèn)題，白日給出了肯定的答案。他舉例談到，中小企業(yè)大多預(yù)算有限，同時(shí)缺乏專業(yè)的IT人員，為此亞信安全特別提供了輕量級(jí)的APT防護(hù)解決方案，借助帶有APT偵測(cè)和治理能力的亞信安全網(wǎng)關(guān)產(chǎn)品，再搭配桌面或服務(wù)器的相關(guān)安全產(chǎn)品，用最簡(jiǎn)單的產(chǎn)品組合就能抵御大多數(shù)的APT攻擊和未知威脅攻擊。

APT攻擊調(diào)查取證，關(guān)鍵核心還是人

眾所周知，在網(wǎng)絡(luò)安全領(lǐng)域，并沒(méi)有百分百的防護(hù)解決方案，特別是對(duì)于APT攻擊來(lái)說(shuō)。因此企業(yè)不僅要部署APT防護(hù)解決方案，還要做好APT攻擊后的調(diào)查取證準(zhǔn)備，通過(guò)回溯APT的攻擊過(guò)程（包括APT攻擊是何時(shí)開(kāi)始的，在企業(yè)內(nèi)網(wǎng)中做了什么，竊取了哪些數(shù)據(jù)等等），將損失降到最低。

但針對(duì)APT攻擊的調(diào)查取證并不是一件簡(jiǎn)單地事情。徐江明就指出，APT調(diào)查取證的門檻較高，需要企業(yè)能夠識(shí)別、分析APT的攻擊手段，并能回溯整個(gè)過(guò)程。這不僅需要企業(yè)在各個(gè)APT的攻擊階段部署相應(yīng)的安全產(chǎn)品，更需要專業(yè)人員根據(jù)相關(guān)日志信息進(jìn)行APT事件的挖掘分析。所以亞信安全不僅推出了APT調(diào)查取證產(chǎn)品，同時(shí)提供了專業(yè)服務(wù)平臺(tái)，目的就是借助自身的專業(yè)知識(shí)和經(jīng)驗(yàn)積累，幫助企業(yè)更好的完成APT攻擊的調(diào)查取證工作。

亞信安全：不止能抵御APT攻擊

如今，基于立體化、可視化的防護(hù)架構(gòu)，亞信安全的解決方案已幫助大量客戶成功辨析APT攻擊和勒索軟件。而除了APT防護(hù)，亞信安全還在積極推動(dòng)企業(yè)構(gòu)建“立體、可視、智能”的安全架構(gòu)，既通過(guò)云安全和大數(shù)據(jù)分析技術(shù)提高了傳統(tǒng)網(wǎng)關(guān)、網(wǎng)絡(luò)、端點(diǎn)等縱向攔截面的威脅識(shí)別能力，還加入了云數(shù)據(jù)中心、虛擬化主機(jī)和應(yīng)用層的威脅深度偵測(cè)技術(shù)，希望從多個(gè)層面確保業(yè)務(wù)安全、數(shù)據(jù)安全，幫助用戶識(shí)別、分析、攔截每一個(gè)非法的業(yè)務(wù)信息流或是端點(diǎn)的可疑行為，旨在全面提升企業(yè)的網(wǎng)絡(luò)安全水平。