近几年,安全威胁发生了很大变化,尤其是高级持续性威胁(简称APT)有愈演愈烈之势。那么,APT威胁最近有哪些新的发展?传统检测方法应对APT有哪些不足?我们又该如何防御?对此,很多安全公司都形成了自己的思路,并推出了相关解决方案。而“棱镜”事件警示我们,我国在信息安全领域急需自主可控,对付APT攻击同样如此。所幸,本土安全厂商启明星辰公司已经推出APT攻击防御解决方案,并在多个行业实现应用。
层出不穷的APT攻击事件
先来回顾一下近年来的一些APT攻击事件:
2007年发现的Stuxnet蠕虫病毒(超级工厂病毒)曾经感染了伊朗境内14台离心机的系统,最终致使离心机遭到损坏。相关资料显示,Stuxnet病毒最早于2005年就已经存在,被称为Stuxnet0.5。在2011年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。
2010年的GoogleAurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。
2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。
2012年,卡巴斯基实验室发现Flame(火焰)病毒它是一种高度复杂的恶意程序,被用作网络武器并已经攻击了多个国家。它是迄今为止最复杂、威胁程度最高的计算机病毒。
2013年3月20日,韩国多家大型银行及数家媒体遭受APT攻击;
2013年4月,启明星辰发现了一个拥有合法数字签名的后门程序,这个后门利用AdobeFlash漏洞(CVE-2013-0634),可能已经存活很长时间。
2013年5月,截获以波士顿马拉松爆炸事件为题材的APT邮件攻击。
2013年5月,火眼实验室发现了针对我国政府要员的APT攻击邮件,邮件包含针对Office的EXP套件(CVE-2012-0158)。
2013年7月15日,TrendMicro宣布发现一个针对亚洲和欧洲政府机构的APT攻击。这个攻击发起是通过一封定向钓鱼邮件。邮件以中国国防部外事办的名义发出,对特定受害人具有很强的诱惑力。#p#
APT威胁最新发展动态
根据FireEye发布的《2012年下半年高级威胁分析报告》指出,约每三分钟就会有一个组织或者单位遭受一次恶意代码攻击,特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件;在所有遭受攻击的企业和组织中,拥有核心关键技术的技术类企业占比最高;在定向钓鱼邮件(spearphishingemail)中经常使用通用的商业术语,具有很大的欺骗性;92%的攻击邮件都使用zip格式的附件,剩下的格式还有pdf等。
另外,根据CN-CERT发布的《2012年我国互联网网络安全态势综述》显示,2012年我国境内至少有4.1万余台主机感染了具有APT特征的木马程序。
分析以上APT攻击事件,我们会发现:我们对跨年度的恶意代码无法及时感知,传统反病毒体系的获取实时性遭到了挑战;APT攻击的攻击范围广针对性强,它不仅仅局限于传统的信息网络,还会威胁工控系统、移动终端等其它信息系统,针对如能源、军工、金融、科研、大型制造、IT、政府、军事等大型组织的重要资产发动APT攻击;APT威胁愈演愈烈,普遍存在且影响严重。随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和攻击手段的出现,对于APT攻击的检测和防范变得越发困难。
目前,电子数据信息对于国家、政府、企业的重要性与日俱增,对竞争对手的意义也同样重大,如果信息系统遭受APT攻击,那么单位受到的影响也会日益严重。然而在APT时代,由于感知能力比较差,感知时间比较长,基于事后签名机制的传统产品如IPS、IDS、杀毒软件等,在面对APT攻击时,这种事后签名机制几乎失效。与此同时APT攻击针对性、隐蔽性又在不断加强,攻击者通过持续的攻击,对信息系统的威胁仍在不断加大。因此,加强APT攻击防护任务艰巨。#p#
APT攻击技术日益复杂
攻击过程:APT攻击一般可以划分为4个阶段,即搜索阶段、进入阶段、渗透阶段、收获阶段。
在搜索阶段,APT攻击的攻击者会花费大量的时间和精力用于搜索目标系统的相关信息、制定周密的计划、开发或购买攻击工具等,在进入阶段,攻击者会进行间断性的攻击尝试,直到找到突破口,控制企业内网的第一台计算机,随后进入渗透阶段,攻击者利用已经控制的计算机作为跳板,通过远程控制,对企业内网进行渗透,寻找有价值的数据,最后,攻击者会构建一条隐蔽的数据传输通道,将已经获取的机密数据传送出来。
这里需要强调一点,APT攻击的发起者与普通攻击者相比有所不同,只要不被发现,攻击行为往往不会停止,并持续的尝试窃取新的敏感数据与机密信息。
攻击手段:APT攻击是攻击者利用多种攻击技术、攻击手段,同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击,这些攻击技术和攻击手段包括sql注入攻击、XSS跨站脚本、0Day漏洞利用、特种木马等。
近几年,APT攻击技术更加复杂、攻击手段更加隐蔽,而且攻击已经不局限于传统的信息系统,而是逐渐把目标扩散到工业控制等系统,例如针对工业控制系统编写的破坏性病毒stuxnet、duqu。#p#
APT攻击防御手段需持续改进
传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的威胁,对于未知的漏洞利用、木马程序、攻击手法,无法进行检测和定位,并且很多企业因为缺少专业的安全服务团队,无法对检测设备的告警信息进行关联分析。目前,在APT攻击的检测和防御上,主要有如下几种思路:
◆恶意代码检测:在互联网入口点对Web、邮件、文件共享等可能携带的恶意代码进行检测。
◆数据防泄密:在主机上部署DLP产品,APT攻击目标是有价值的数据信息,防止敏感信息的外传也是防御APT攻击的方法之一。
◆网络入侵检测:在网络层对APT攻击的行为进行检测、分析,例如网络入侵检测类产品。
◆大数据分析:全面采集网络中的各种数据(原始的网络数据包、业务和安全日志),形成大数据,采用大数据分析技术和智能分析算法来检测APT,可以覆盖APT攻击的各个阶段。
上述的防御方式各有各自的特点,恶意代码检测产品通常部署在互联网入口点,可以在APT攻击的初始阶段对攻击进行检测、发现,例如可以抓取携带后门程序、异常代码的word文件、pdf文件等等;网络入侵检测可以在网路层对APT攻击行为进行检测,如果攻击者通过跳板对内网进行渗透攻击,网络入侵检测系统可以进行预警、定位;数据防泄密可以防止APT攻击者将计算机中的敏感数据外传,可以有效降低攻击行为所造成的损失;大数据分析的检测比较全面,可以覆盖APT攻击的各个环节。
但是,启明星辰ADLab副总监杨红光认为:“虽然每种防御方式针对APT攻击的各个阶段进行检测,但是由于APT攻击的复杂性、隐蔽性,不排除有漏报或误报的可能,所以APT攻击的检测和防御产品同样需要跟随信息安全的发展动态,持续的进行改进。”
因此,他建议在不能完全挡住APT攻击的情况下,组织要将APT攻击危害降到最小,就需要做到以下几点:
要有APT攻击检测和防御的手段,可以通过安全检测产品,由专业的安全服务人员进行运维、分析,及时发现、处置攻击事件。
要定期的组织信息安全培训,警惕攻击者结合社会工程学进行欺骗攻击。
要加强对重要信息资产的保护,从访问控制、用户权限、安全审计等等层面对控制措施和手段进行优化和加强。
针对APT攻击,很多安全厂商都推出了相关的安全防护产品及解决方案。杨红光表示,针对APT攻击,启明星辰公司为用户提供了专业的安全产品以及专业的安全服务。启明星辰依托恶意代码检测引擎、网络入侵检测引擎、蜜罐系统、Armin大数据分析系统等安全产品实现对用户信息系统的安全监测,然后由其安全服务团队积极防御实验室(ADLab)的安全服务专家对APT攻击进行分析、跟踪,帮助用户及时处理APT攻击事件。
