APT(AdvancedPersistentThreat),高级持续威胁,它是组织(特别是政府)或者小团体利用先进的计算机网络攻击手段对特定高价值数据目标进行长期持续性网络侵害的攻击形式。APT攻击的原理相对于其他常见的网络攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前,需要对攻击对象的业务流程和目标系统进行精确的情报收集,在收集过程中,攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞,在这些漏洞的基础上形成攻击者所需的C&C网络,此种行为没有采取任何可能触发警报或者引起怀疑的行动,因此更接近于融入被攻击者的系统或程序。有人甚至认为;APT攻击是各种社会工程学攻击与各类0day利用的综合体。下图说明了一次常见的APT攻击的过程:
防范APT攻击难在哪儿
APT攻击的操纵者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。
最新一次的APT攻击效果技术试验中,一组研究人员收集并分析了82种新电脑病毒,并在40种杀毒软件产品中进行了测试。尽管这些产品多数都来自业内知名厂商,但这些传统模式的杀毒引擎,对于收集到的82种电脑病毒初始探测率却不足5%,问题的产生源于两方面:一方面是以代码特征为基础的,传统恶意软件探测方式已经无法顺应时代的发展,而另一方面则是以蠕虫、木马、0Day漏洞为手段的攻击形式正在向复杂性更高的APT形式过渡。
而另据某网络安全技术厂商的“最新网络攻击现状”报告显示,在发生APT攻击活动的亚洲和东欧,有184个国家都拥有内部通信枢纽或数控服务器。攻击期间,数控服务器以回调的方式与被感染的服务器保持联通并被大量运行,使得攻击者的恶意软件下载和修改能够躲过安全监测,从而窃取更多的数据,扩大目标组织攻击面。
APT攻击防范四大策略
在2013年的全球RSA大会上,APT防范再次成为热点议题。在APT防范领域,国内外厂商也展出了最优秀的APT解决方案,他们的防范策略和解决方案可以概括为四类:
1、主机文件保护类:不管攻击者通过何种渠道执行攻击文件,必须在员工的个人电脑上执行。因此,能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案,典型代表厂商包括国内的金山网络和国外的Bit9。
2、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过搭建企业内部的可信文件知识库,全面收集重要终端和服务器上的文件信息,在发现APT攻击的蛛丝马迹后,通过全面分析海量数据,杜绝APT攻击的发生,采用这类技术的典型厂商是RSA。
3、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的,典型代表厂商包括FireEye。
4、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码网络通信的命令和控制通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有飞塔。
