——大型企業(yè)分兩種:一種知道已被黑客入侵,一種還不知道已被黑客入侵
美國聯(lián)邦調(diào)查局某高官曾經(jīng)說過: “世界上只有兩種大型企業(yè),一種是知道已經(jīng)被黑客入侵的企業(yè),另一種則是被入侵卻渾然不知的企業(yè)。”
有人感覺,“高官”的言論未免太過極端,但不可爭議的是,近幾年APT攻擊愈演愈烈。數(shù)據(jù)統(tǒng)計,僅2014年全球就有超過80000家公司遭遇網(wǎng)絡(luò)攻擊,其中只有2122家公司被迫公開承認(rèn),全球500強公司大面積淪陷,攻擊范圍涉及全球60多個國家和地區(qū),由此可見,該高官的表述并不過分。
面對狡猾且技藝高超的黑客,由防火墻、入侵檢測、防病毒系統(tǒng)組成“三大件”似乎失去了作用。以APT攻擊為代表的高級新型攻擊,正在毫無顧忌的沖破企業(yè)安全防線,他們悄悄潛伏,伺機竊取機密數(shù)據(jù)丟失或是破壞生產(chǎn)系統(tǒng)。那么,APT攻擊為何難以發(fā)現(xiàn)?企業(yè)用戶只能束手待斃嗎?
APT 攻擊平均“ 559”天才被發(fā)現(xiàn)
亞信安全對大量 APT攻擊案件進行了系統(tǒng)調(diào)查,統(tǒng)計結(jié)果出乎意料,企業(yè)用戶平均經(jīng)過 559天才會發(fā)覺自己正在遭遇攻擊。此外,亞信安全還發(fā)現(xiàn),APT攻擊導(dǎo)致的核心數(shù)據(jù)泄密會對大型企業(yè)造成極為負(fù)面的影響,這不僅會造成知識產(chǎn)權(quán)的流失,這將在技術(shù)、業(yè)務(wù)、市場、客戶等方面發(fā)生連鎖反應(yīng)。對于上市企業(yè),APT事件一旦被公布,必然會直接影響企業(yè)股價,導(dǎo)致企業(yè)資產(chǎn)瞬間縮水。
一般來說,傳統(tǒng)的木馬病毒攻擊采用的是 “廣撒網(wǎng)”的方式,他們更加在意這張“網(wǎng)”的范圍有多大,而很少在意哪些具體的魚會被捕上來。與傳統(tǒng)的網(wǎng)絡(luò)威脅不同,APT攻擊十分狡猾,徹底顛覆了我們對木馬病毒、黑客攻擊的認(rèn)識。
針對APT攻擊的特點,亞信安全產(chǎn)品總監(jiān)、APT治理專家白日表示:“黑客從一開始就選定了明確的攻擊對象和攻擊目標(biāo),并為此進行長期的人力和物力的投入。攻擊者追求的是攻擊成功率,而不是攻擊范圍的擴大。一旦確定目標(biāo),‘專注’的黑客會采用一些極為個性化、針對強的攻擊手法。這些攻擊手法,以及他們所采用的攻擊代碼,有時只會使用一次,但這種攻擊卻是持續(xù)而影響深遠的。”
如何抓住狐貍的尾巴?
黑客發(fā)動APT攻擊,往往會精心選擇隱匿行蹤的技巧,通過有組織的行動將攻擊分散開來,以躲避查殺。此外,黑客一旦進入到企業(yè)內(nèi)部網(wǎng)絡(luò),多數(shù)會采用深度潛伏的方式。這些特點,讓我們很難發(fā)現(xiàn)遭遇APT攻擊,但狡猾的狐貍終究會露出尾巴。
要抓狐貍,就要了解它的習(xí)性。APT攻擊共有6個階段,這包括:情報收集、單點突破、命令與控制(C&C 通信)、橫向移動、資產(chǎn)/資料發(fā)掘、資料竊取。在一些受雇傭的黑客隊伍中,常常分工明確,不同階段甚至?xí)胁煌暮诳拓?fù)責(zé)完成。這雖然增加了企業(yè)防御APT攻擊的難度,但如果熟悉每個階段的攻擊特征,就可以做到有的放矢。例如:亞信安全發(fā)現(xiàn),在APT“單點突破”階段,有91%的目標(biāo)攻擊是利用電子郵件作為切入點。此外,有78%的針對性電子郵件會內(nèi)含附件引誘用戶點擊。
針對APT的有效治理,白日表示:“發(fā)現(xiàn)APT攻擊者在企業(yè)內(nèi)部的藏身之處有一定的難度,但不是說企業(yè)就束手無策。企業(yè)用戶要實現(xiàn)APT攻擊的有效治理,最佳方案就是根據(jù)這6個階段建立一一對應(yīng)的抑制點。不僅需要在‘單點突破’這個階段利用沙箱技術(shù)發(fā)現(xiàn)惡意代碼,發(fā)現(xiàn)‘橫向移動’階段中的黑客掃描流量也很重要。”
沿用傳統(tǒng)設(shè)備的“單兵作戰(zhàn)”勢必?zé)o法與黑客團體抗衡。為此,亞信安全推出了以監(jiān)控為中心,以偵測、分析、響應(yīng)、阻止為治理過程,以“深度威脅發(fā)現(xiàn)平臺”為核心的完整而有效的APT治理整體解決方案。亞信安全深度威脅發(fā)現(xiàn)平臺Deep Discovery包括:深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅安全網(wǎng)關(guān)Deep Edge、深度威脅郵件網(wǎng)關(guān)DDEI、服務(wù)器深度安全防護系統(tǒng) Deep Security,以及能夠?qū)崿F(xiàn)本地和云端威脅情報共享的統(tǒng)一聯(lián)動控制管理中心TMCM和高級威脅調(diào)查取證服務(wù)DI。
APT攻擊“簡化版”—— 勒索軟件
如今,很多政府機構(gòu)和全球化企業(yè)在安全控管上都投入了巨大的人力和物力,但是APT攻擊仍然滲透進這些組織,并且,許多黑客團體將這種進攻方案變得更加“簡單粗暴”。
對于APT攻擊的發(fā)展,白日認(rèn)為:“一種非常簡易的APT攻擊已經(jīng)開始大規(guī)模泛濫,這就是加密勒索軟件。它具備APT攻擊第2個階段的典型特征,即利用社交工程郵件突破企業(yè)邊界防護,進而控制企業(yè)的終端和服務(wù)器,最終獲取并加密核心數(shù)據(jù),恐嚇勒索用戶。所以說,表面看起來只是企業(yè)員工感染了勒索軟件,但其實還是籠罩在APT攻擊之下。因此,亞信安全的APT治理戰(zhàn)略同樣也適用于勒索軟件攻擊。”