當(dāng)然對于像Google、RSA、Comodo等深受其害的公司而言APT無疑是一場噩夢，噩夢的結(jié)果便是對現(xiàn)有安全防御體系的深入思考。

何為APT攻擊

APT(Advanced Persistent Threat)高級持續(xù)性威脅顧名思義，這種攻擊行為首先具有極強(qiáng)的隱蔽能力，通常是利用企業(yè)或機(jī)構(gòu)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來形成攻擊者所需 C&C網(wǎng)絡(luò);其次APT攻擊具有很強(qiáng)的針對性，攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息，情報(bào)收集的過程更是社工藝術(shù)的完美展現(xiàn);當(dāng)然針對被攻擊環(huán)境的各類0day收集更是必不可少的環(huán)節(jié)。

在已經(jīng)發(fā)生的典型的APT攻擊中，攻擊者經(jīng)常會針對性的進(jìn)行為期幾個月甚至更長時(shí)間的潛心準(zhǔn)備，熟悉用戶網(wǎng)絡(luò)壞境，搜集應(yīng)用程序與業(yè)務(wù)流程中的安全隱患，定位關(guān)鍵信息的存儲位置與通信方式，整個驚心動魄的過程絕不遜于好萊塢巨制《偷天換日》。當(dāng)一切的準(zhǔn)備就緒，攻擊者所鎖定的重要信息便會從這條秘密通道悄無聲息的轉(zhuǎn)移。例如，在某臺服務(wù)器端成功部署Rootkit后，攻擊者便會通過精心構(gòu)造的C&C網(wǎng)絡(luò)定期回送目標(biāo)文件進(jìn)行審查。

也許很多IT管理者認(rèn)為APT攻擊這種長期而復(fù)雜的攻擊方式不可能幸運(yùn)的發(fā)生在您所負(fù)責(zé)網(wǎng)絡(luò)中，但在西方先進(jìn)國家APT攻擊已經(jīng)成為國家網(wǎng)絡(luò)安全防御戰(zhàn)略的重要環(huán)節(jié)。例如，美國國防部的High Level網(wǎng)絡(luò)作戰(zhàn)原則中，明確指出針對APT攻擊行為的檢測與防御是整個風(fēng)險(xiǎn)管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。

對于APT攻擊我們需要高度重視，正如看似固若金湯的馬奇諾防線，德軍只是改變的作戰(zhàn)策略，法國人的整條防線便淪落成擺設(shè)，至于APT攻擊，任何疏忽大意都可能為信息系統(tǒng)帶來災(zāi)難性的破壞。相信您迫切想了解傳統(tǒng)的網(wǎng)絡(luò)犯罪集團(tuán)與APT攻擊行為到底有哪些異同，下面的表格或許能讓您找到答案。

不難看出APT攻擊更像一支配備了精良武器的特種部隊(duì)，這些尖端武器會讓用戶網(wǎng)絡(luò)環(huán)境中傳統(tǒng)的IPS/IDS、防火墻等安全網(wǎng)關(guān)失去應(yīng)有的防御能力。無論是0day或者精心構(gòu)造的惡意程序，傳統(tǒng)的機(jī)遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業(yè)界熱議的NGFW，利用CA證書自身的缺陷也可讓受信的應(yīng)用成為網(wǎng)絡(luò)入侵的短板。

典型的APT攻擊，通常會通過如下途徑入侵到您的網(wǎng)絡(luò)當(dāng)中：

通過SQL注入等攻擊手段突破面向外網(wǎng)的Web Server;

通過被入侵的Web Server做跳板，對內(nèi)網(wǎng)的其他服務(wù)器或桌面終端進(jìn)行掃描，并為進(jìn)一步入侵做準(zhǔn)備;

通過密碼爆破或者發(fā)送欺詐郵件，獲取管理員帳號，并最終突破AD服務(wù)器或核心開發(fā)環(huán)境;

被攻擊者的私人郵箱自動發(fā)送郵件副本給攻擊者;

通過植入惡意軟件，如木馬、后門、Downloader等惡意軟件，回傳大量的敏感文件(WORD、PPT、PDF、CAD文件等);

通過高層主管郵件，發(fā)送帶有惡意程序的附件，誘騙員工點(diǎn)擊并入侵內(nèi)網(wǎng)終端。

典型的APT攻擊流程

為什么Web Server會成為攻擊者發(fā)起APT攻擊起點(diǎn)？通常這里是公司郵件網(wǎng)絡(luò)的集散地，這也驗(yàn)證了EMAIL電子郵件已淪為APT攻擊最重要的途徑之一，而且 EMAIL中包含的各類重要信息更可能帶來意想不到的收獲。前面我們說到，攻擊者攻擊Web Server的主要目的是為了充當(dāng)進(jìn)一步入侵的跳板，因此針對EMAIL的攻擊行為通常會執(zhí)行如下工作：

發(fā)送釣魚郵件：竊取用戶ID與密碼;

執(zhí)行惡意腳本：掃描終端用戶使用環(huán)境，發(fā)掘可利用的攻擊資源;

植入惡意軟件：針對用戶環(huán)境中應(yīng)用程序漏洞，注入惡意代碼，構(gòu)建僵尸網(wǎng)絡(luò)。

在針對郵件系統(tǒng)的APT攻擊的過程中，攻擊者通常會利用各種辦公系統(tǒng)所支持的各類文檔0day，例如WORD、PDF、PPT等，越是頻繁使用的文檔，越有可能降低用戶安全意識。

如何防御APT攻擊

現(xiàn)在，相信博學(xué)淵博的您已經(jīng)對APT攻擊有了基礎(chǔ)的認(rèn)知，面對這種隨時(shí)隨地都可能發(fā)生的威脅，如何在長期的持續(xù)的威脅中實(shí)現(xiàn)滿足企業(yè)安全生產(chǎn)所必需的IT生產(chǎn)環(huán)境呢？下面我們就來看看如何有效抵御APT攻擊。

電影《角斗士》中，Maximus攻防兼?zhèn)潋斢律茟?zhàn)，無論是面對野蠻兇殘的迦太基勇士，還是饑餓強(qiáng)壯的獅虎猛獸，Maximus總能憑借敏銳的洞察力和豐富的作戰(zhàn)經(jīng)驗(yàn)一一化解。對于APT攻擊的防范同樣需要深思熟慮，任何疏忽都可能讓您的安全壁壘坍塌。

對于傳統(tǒng)的攻擊行為，安全專家僅需關(guān)注惡意程序的樣本提取并做分析，便可以掌握攻擊者的動機(jī)及傳播渠道，但對于APT攻擊以點(diǎn)概面的安全檢測手段已顯得不合時(shí)宜。面對APT攻擊威脅，我們應(yīng)當(dāng)有一套更完善更主動更智能的安全防御體系。

必須承認(rèn)APT攻擊的發(fā)起者有著超群的智慧和豐富的經(jīng)驗(yàn)，因此檢測APT攻擊就必須密切關(guān)注攻擊者所釋放的惡意代碼的每一個細(xì)節(jié)，包括功能、 0day信息、命令與控制、社工手法、受害人、攻擊活動頻率等信息。理論上針對單一攻擊事件，安全人員可以快速定位攻擊源頭，并作出對應(yīng)的安全防御策略，然而這些卻無法準(zhǔn)確提取APT攻擊屬性與特征。因此，針對APT攻擊行為的檢測，需要構(gòu)建一個多維度的安全模型，這里既有技術(shù)層面的檢測手段，也有包含深入產(chǎn)業(yè)鏈的動態(tài)分析追蹤。為此，金山在針對APT攻擊行為檢測方面注重從三方面入手：

靜態(tài)檢測方式

從攻擊樣本中提取攻擊特征與功能特性;

對攻擊樣本逆向分析;

動態(tài)檢測方式

模擬用戶環(huán)境，執(zhí)行APT代碼段，捕獲并記錄APT攻擊的所有行為;

審計(jì)網(wǎng)絡(luò)中應(yīng)用程序的帶寬占用情況;

APT攻擊溯源;

產(chǎn)業(yè)鏈跟蹤

實(shí)時(shí)跟蹤分析網(wǎng)絡(luò)犯罪團(tuán)伙的最新動向。

多維度的安全防御體系，正如中醫(yī)理論中倡導(dǎo)的防患于未然思想，在威脅沒有發(fā)生前，為企業(yè)IT生產(chǎn)環(huán)境進(jìn)行全面的安全體檢，充分掌握企業(yè)所面臨的安全風(fēng)險(xiǎn)。為實(shí)現(xiàn)針對APT攻擊防御的多維分析與審計(jì)模型，金山安全研發(fā)團(tuán)隊(duì)從如下幾方面著手：

動態(tài)的安全分析

提取并審核執(zhí)行文件體、Shellcode以及PE文件頭;

分析文件中的對象和異常結(jié)構(gòu)

動態(tài)的安全分析

模擬系統(tǒng)環(huán)境安裝各類執(zhí)行文件體;

實(shí)施掃描系統(tǒng)內(nèi)存與CPU中資源異常調(diào)要;

檢測關(guān)鍵位置的代碼注入或各類API鉤子;

檢測任意已知的代碼分片;

檢測Rootkit、KeyLogger、Anti-AV等惡意程序;

檢測郵件、域、IP地址、URL中可疑的字符串。

APT防御利器，KingCloud私有云安全平臺

再好的解決方案，最終需要落地為產(chǎn)品和服務(wù)。金山KingCloud私有云安全系統(tǒng)著重實(shí)時(shí)掌控企業(yè)IT生產(chǎn)環(huán)境變化。豐富的終端運(yùn)維經(jīng)驗(yàn)，金山能夠幫助IT運(yùn)維管理人員構(gòu)建滿足企業(yè)運(yùn)維需求的終端安全基線，實(shí)現(xiàn)干凈可用的初始化環(huán)境，簡單方便的網(wǎng)絡(luò)環(huán)境檢測過程，無需管理員干預(yù)即可掌握整個網(wǎng)絡(luò)應(yīng)用環(huán)境，一旦確認(rèn)應(yīng)用類型即可下發(fā)靈活的權(quán)限控制策略，極大的降低了管理員的管理門檻。

作為全新的企業(yè)IT運(yùn)維級安全解決方案，金山私有云充分考慮終端資源濫用問題，細(xì)粒度的應(yīng)用控制策略和低于10M的內(nèi)存資源占用，確保了在現(xiàn)有的IT環(huán)境中最大限度的優(yōu)化終端系統(tǒng)可用性。強(qiáng)大的云防御功能可以精確抵御各種非授權(quán)行為對網(wǎng)絡(luò)的破壞，管理員可根據(jù)用戶業(yè)務(wù)類型嚴(yán)格限定用戶的訪問權(quán)限和文件操作權(quán)限，無論是企業(yè)文件服務(wù)器、終端工作站、瘦客戶端、移動PC或者智能終端，金山KingCloud私有云安全系統(tǒng)都可發(fā)揮極佳的安全防御效果。

獨(dú)有的云修復(fù)功能，可在企業(yè)內(nèi)網(wǎng)終端發(fā)生異常宕機(jī)或藍(lán)屏?xí)r，快速恢復(fù)系統(tǒng)初始狀態(tài)，為企業(yè)IT信息系統(tǒng)的安全穩(wěn)定運(yùn)營提供強(qiáng)大的運(yùn)維保障。值得注意的是，金山KingCloud私有云可以幫助IT管理者實(shí)時(shí)掌控企業(yè)IT生產(chǎn)環(huán)境點(diǎn)滴變化，無論是受信軟件還是未知應(yīng)用，企業(yè)生產(chǎn)環(huán)境關(guān)鍵位置上所產(chǎn)生的任意微笑變化都將第一時(shí)間上報(bào)企業(yè)IT管理。，之前提到的受害者郵箱自動轉(zhuǎn)發(fā)副本郵件給攻擊者，惡意腳本對用戶境的自動檢測等行為，都逃不脫金山私有云安全平臺的掌控，管理員只需針對惡意行為或文件進(jìn)行統(tǒng)一策略下發(fā)，便可瞬間切斷隱藏在企業(yè)機(jī)構(gòu)背后的黑手。

當(dāng)然，今天的信息安全已不再是只靠產(chǎn)品解決方案便可衣食無憂的年代，企業(yè)機(jī)構(gòu)內(nèi)部員工安全意識培訓(xùn)同樣必不可少。對于APT攻擊行為，控制用戶終端使用習(xí)慣提升安全操作意識，制定明確的信譽(yù)評估，甚是網(wǎng)內(nèi)傳出數(shù)據(jù)與流量，了解安全威脅趨勢和合理的終端設(shè)備管理，都會幫助用有效降低APT攻擊的發(fā)生。在殺毒軟件已經(jīng)成為企業(yè)安全防御的基本武器的同時(shí)，終端應(yīng)用與事件的精確管控同樣必不可少。

今天當(dāng)IT與日常生活工作結(jié)合的愈發(fā)緊密之時(shí)，安全的邊界已經(jīng)從傳統(tǒng)的網(wǎng)關(guān)、終端延續(xù)到任何應(yīng)用及業(yè)務(wù)可能到達(dá)的每一個節(jié)點(diǎn)，此時(shí)APT攻擊很可能就潛伏在您的身邊。，僅2011年就有多起嚴(yán)重的APT攻擊事件被媒體曝光，曾經(jīng)可靠的CA證書隨時(shí)可能成為擺設(shè)，Comodo、 DigiNotar、RSA、洛克希德馬丁每一起事件的發(fā)生都足以引起整個信息安全業(yè)界的思考，還有什么理由疏忽任何看似細(xì)小的威脅？

可以預(yù)見APT攻擊行為將在未來成為威脅政府、企業(yè)等重要信息系統(tǒng)的致命威脅，然而值得慶幸的是矛與盾的較量始終還在繼續(xù)，我們有理由相信正義終將戰(zhàn)勝邪惡。最后讓我們見證APT攻擊給今天信息安全帶來的改變：

西方先進(jìn)國家已將APT防御議題提升到國家安全層級，這絕不僅僅造成數(shù)據(jù)泄露;

APT攻擊時(shí)代的來臨預(yù)示著定向攻擊將成為惡意軟件發(fā)展的新趨勢，傳統(tǒng)的蜜罐或蜜網(wǎng)將難以捕捉APT樣本;

針對APT攻擊防御手段，需要對整個信息安全環(huán)境有清晰的認(rèn)知，只有形成及時(shí)的產(chǎn)業(yè)鏈情報(bào)收集，甚至全球安全動態(tài)跟蹤方有可能真正做到防患于未然;

落實(shí)信息安全管理策略，例如嚴(yán)格按照等級保護(hù)規(guī)范實(shí)施嚴(yán)格的系統(tǒng)隔離策略，制定嚴(yán)格的移動設(shè)備管理策略。