漫谈类似007电影中的APT攻击事件

APT （Advanced Persistent Threat高级可持续威胁）是时下比较热门的安全话题，也是很具有威胁的网络攻击之一。这种目的性很强的攻击行为具有着高度的潜伏性，专业性及隐蔽性。可以针对特定对象，长期有计划有组织的窃取机密数据，可以对企业，国家，造成重大的损失。

先来回顾一下最近发生的一些APT的经典案例:针对谷歌等高科技公司的极光攻击：通过谷歌一个员工电脑，获得了GMAIL系统中很多敏感用户的访问权限；针对RSA窃取SECURID的令牌攻击，是通过发送一封附件带有FLASH 0day的电子邮件，取得了财务一名员工的系统权限，逐步渗透，窃取了SECURID令牌种子；而针对伊朗核电站的震网攻击则是利用了USB移动设备攻击到了物理隔离的网络等等。可见，APT攻击往往会攻击到安全体系中的最薄弱环节，而这恰好也验证了安全理论中的木桶原则。

那么针对视频中的MI6被入侵这个案例(http://netsecurity.51cto.com/secu/007_APT/)，如何做到有效的防御，我个人认为需要从时间及事件的进度进行划分。在划分的每个阶段，进行防御。

从时间上划分，分为事前，事中，事后三个阶段。首先是事前阶段，在这一阶段，需要做的事情是非常多的，不过我认为首先需要确定核心的机密数据。针对核心的数据进行保护，确定安全区域，同时并做好相应的基线(BASELINE)建立工作。例如网络流量，系统登录正确错误频率，对关键系统的访问频率等等。并建立好具有一定防护能力的网络。一般来说，网络大体会分为如下三层：核心层，汇聚层以及接入层。如下图所示：

核心层一般与INTERNET直接连接，因此需要部署网络IPS，对内网与INTERNET之间的数据交互进行检查，以便及时发现恶意的流量或攻击。而汇聚层以服务器居多，因此需要配置主机IDS，针对主机的所产生的异常行为事件进行报警。此外也可以部署蜜罐这类技术，也可能会受到一些不错的效果。而接入层则大多为工作人员的PC机，因此，需要对这些PC机安装杀毒软件及主机IDS，并且进行配置相应的准入策略。以防止从内部攻陷整个安全体系。同样，日志收集分析及事件关联系统也可以部署在网络中，以便对整体网络进行集中分析。加入安全设备的对应图示为：

另外，更重要的一点，便是三分技术，七分管理，可以从上面的APT例子看出，攻击都是由于员工的一些安全意识不足而产生的，因此，加强员工的安全意识教育也是非常有必要的。事中阶段，如视频中演示的一样，当已经检测到有（APT）攻击时，这个时候便是与黑客在时间上的赛跑，虽然，作为内部安全人员，会比较了解内部的网络环境，但对于潜伏时间很长的黑客来说，也可能同样了解，也变失去了比对抗普通黑客攻击的一个优势，因此需要的便是及时响应，这也需要事前准备与多次演练。做到及时切断攻击源，甚至对核心资源的访问。需要有多条备份系统及链路，保证可以从多渠道进行，而不是像视频中只能眼看着系统遭到破坏。同时也可以站在黑客的角度，分析黑客的动机及轨迹。事后阶段，只有评估损失，进行总结分析，发现不足，以免下次遭受同样攻击。毕竟谁也不希望当事后诸葛亮。

那么从事件的进度来划分，我针对视频中的事件画了一张猜想图。

在每个阶段，都可以做一些工作来预防，比如，对员工进行安全教育，对系统进行安全加固，安装对应的杀毒软件与IDS，当已经突破了第一道防线后，黑客在进行对其他服务器进行扫描以及窃取数据时，势必会产生一些蛛丝马迹，分析这些蛛丝马迹，需要有IDS及相应的流量分析系统完成，同时，我们可以针对数据进行加密或对文件系统进行改变，使其看得见，拿不到，拿得到，用不了。最后，当黑客试图将这些数据进行转移，也会对网络流量产生一定的波动，或者即使不产生波动，也可以对核心文件进行基于MD5签名等技术，在发现网络中不应该产生这类MD5签名的流量中发现了也可以确定发生了数据丢失问题。因此，在每个环节，均做好对应的防御，则也可以对APT 起到一定的防御作用。如下图所示：

综上，便是我针对MI6中出现的APT攻击所采用的部分解决方案。当然APT攻击千变万化，如人身体的恶性肿瘤一般潜伏在网络内部，想彻底防御APT 除了需要足够的技术支持外，还需要完善的体系制度，层次的防御体系，几乎无缝隙的安全体系，像一个坚持锻炼，身体健康的免疫力强的健康人一样，使攻击者无处下手，无处躲藏。同时我们也可以想象到，在一个大型的网络内部，每日的信息及事件告警量也会很多，如何将这些海量日志进行系统分析，从中分离出有用的信息，这也考验了内部安全人员敏锐的观察能力与分析细节及蛛丝马迹的洞察力，同时也需要一定的实践经验。另外，鉴于篇幅问题，还没有针对时下比较流行的无线网络，以及移动设备安全问题进行说明，但并不代表可以忽视掉这部分。这部分也应该作为安全考虑的重要环节。

总之，需要防范APT，要考虑到方方面面，不能给黑客留下任何的死角，亦要动态和静态相结合的方式，虽然很难，但却无法避免。如果一旦疏忽了一个小细节，变可能会使整个防御体系变成马其诺防线。因此防范APT---任重而道远。