高持续性威胁攻击者可能已经渗透到你的网络:这是安全领域的新现象,并不罕见,但是你应该做些什么呢?这是超越传统思维定势(只考虑预防方面的问题)的问题,“我们正试图帮助人们从入侵防御转移到感染后检测和减小损害的工作上!”Fidelis公司的研究主管Will Irace表示。
攻击者已经入侵了你的网络内部可能让你感染,这让你有些不安,甚至震惊,但是事实上,这些网络间谍攻击已经从军事/国防部问题演变成困扰各行各业的问题。“在此之前,高级持续攻击首先是针对军事部门,接着是政府职能部门,然后是国防工业基地,我们看到相同的攻击形式不断地扩大他们的目标范围,甚至到石油和天然气、医药和其他领域的商业企业,”Mandiant公司首席安全官兼管理服务副总裁Richard Bejtlich表示,“这对于我来说是相当惊人的,他们现在的目标如此之广。”
Bejtlich表示,尽管这些攻击具有持续性和经常性,但我相信受害企业最终能够增强抵御。“这是第一次大家面对这种攻击,有人跟踪你,他们不会放弃,他们会不断试图进入你的企业,这对于大多数人来说都是前所未闻,”他表示,“可能需要花几年时间,但在受害企业抵御这些有针对攻击方面,我相信我们最终将看到改善。”
对于这些攻击,鲜少有受害者会公开披露自己受到攻击。在过去几个月中,网络间谍活动攻击开始瞄准多个联邦文职政府机构的高级官员,这些攻击活动仍然处于调查之中,但是受害机构的名称可能永远无法证实,或者说所产生的损害程度永远不得而知。攻击者使用了复杂的恶意软件和SSL加密连接来从该政府机构来窃取信息,并将信息发送回他们的主服务器。
我们的目标是尽快检测出这些攻击类型,并尽量减少你的知识产权信息或者商业机密的泄露数量或者损失,例如“如何在几小时或者几天内检测到他们?”RSA首席安全官Eddie Schwartz表示,“这需要访问所有与这个安全问题相关的潜在数据。”
Schwartz表示,与传统安全事件不同,对于高级持续攻击,你无法从单个日志或者防火墙事件上来作出决定。“一名最终用户访问了他正常情况下不需要访问的系统,”这就属于一种有针对性的攻击。
“对于高级持续性攻击,你需要问,‘这是否属于某种整体攻击的一部分,还有另外10到12个移动部分需要追踪?’”他表示。
但是这种攻击类型很难检测,很多企业仍然仅依赖于以预防为主的工具,例如基于签名的技术和防火墙。高级持续攻击者更倾向于零日漏洞,或者利用目标公司基础设施存在的问题。在大多数情况下,第一步都是对毫无戒心的用户使用社会工程学攻击,通常是通过看起来像是从用户熟知的人发来的电子邮件消息,邮件信息包含恶意附件或者网址,一旦打开,就会为攻击者提供立足点。
安全专家表示,抵御高级持续攻击者的理想防御方法是结合传统的防御工具和对网络和系统的实时监测。但是现在市面上很多工具都是针对基础设施的不同部分,纵观所有事件和日志往往是需要手动来操作。这就给了攻击者更多时间和机会来深入受害者组织,这样就更难将他们根除。
底线:专家表示,在抵御这些有针对性攻击方面,现在市面上并不存在“万能药”。
“企业部署的大多数监测工具都缺乏挖掘内容与上下文之间存在的重要信息的能力,或者只是一个渗出:加密数据伪装成数据?在发送到人力资源部的压缩文件的微软Office文件中是否存在恶意VBscript?”Fidelis公司的Irace表示,“ 在事故发生的十天后,通过取证数据包分析发现这个问题并不能够帮助发现高级持续攻击者:我们需要能够实时发现并解决这种问题的技术。”
网络行为异常监测工具可以帮上忙,但是对于内容就无能为力了。入侵防御系统可以发现一些情况,但是并不会检查负载。“此外,这些工具是为抵御服务器上的数据包攻击而设计的,而不是针对客户端的基于负载的攻击。沙盒技术有助于事后检查,但是它并不提供实时保护,”Irace表示。
数据包捕获工具对事后检查又帮助,但是与沙盒技术一样,无法提供实时帮助。
黑名单盒白名单防御
已知的黑名单或者最近发现的命令和控制域名可以帮助抓住高级持续攻击,“第一个增长最快的就是信标检测,IPS和IDS可以使用,”IT-Harvest的首席研究分析师Richard Stiennon表示,“但是可怕的是当攻击者设置一个从未使用过的新的ip地址和新的服务器时,你无法通过信标检测,”他表示。
“最大的担忧就是1%非常有针对性的攻击你没有检测到,”Stiennon表示。
白名单可以帮助平息有针对性的攻击,他表示。对白名单的批评就是很多企业并不一定知道在他们系统上运行的所有应用程序,但是新一代白名单产品能够识别这些应用程序。
T-Mobile公司首席信息安全官Bill Boni表示,安全专家必须现实地面对这个威胁,这意味着评估如何管理数据泄漏如何遏制这种攻击。
你能够检测到高级持续攻击渗透并不意味着你就能够抓住真正的的攻击者,或者说能够找到多有数据泄露的证据,“你最重要的资源时什么?我们如何确保我们部署了访问控制、日志记录和监测,以及对渗出的控制?”他表示。
“我们知道安全一直都有点军备竞赛的意味。我们所面临的挑战是确保你的企业处于竞赛之中,”Boni表示,“五年前必要的安全技术:防火墙、杀毒软件和入侵防御仍然都是必要的,但是并不足以抵抗目前针对企业的攻击。你需要不断升级你的工具来跟上新威胁的步伐。”
即使你结合了安全和监测工具的最佳组合,也永远不要低估高级持续攻击的危害。这种攻击通常是资金充足、由民族国家集团发起的,他们想要从受害者获取尽可能多的信息,或者处于金钱或者竞争力的驱使。“你不会知道攻击者是如何规避你的防御,”RSA的Schwartz表示,“你必须假设他们拥有与你相当的资源,并且他们具有创造性和专业技能。”
