現在網絡世界里最厲害的攻擊殺器是什么?病毒、木馬、蠕蟲、惡意程序……都不是,聽說過“有針對性攻擊”么,也可以稱之為“APT——高級可持續性攻擊”。這是當今互聯網世界里最難對付的網絡攻擊方式。
先回顧一下,最早有關APT類攻擊的報道就是2010年伊朗核設施遭遇Stuxnet——超級工廠病毒攻擊,造成伊朗核電站推遲發電。2011年索尼、RSA、洛克希德 馬丁公司……相繼遭遇有針對性攻擊。去年安全技術公司nCircle進行的一份調查咨詢了563名IT安全專家,16%的受訪者將APT列為了自己2011年最大的安全顧慮。有報告稱,每日針對性攻擊數量由2010年底的77次增加到了2011年底的82次。
這類有針對性攻擊的持續出現,意味著網絡惡意攻擊正在愈加職業化、有組織化,并正在具有商業犯罪、軍事攻擊、恐怖襲擊等高級屬性。雖然現在安全業界已經有了一些防御思路,但人們也不得不承認的是“阻止APT攻擊,實在太難了……”
APT不是炒作,APT是一種攻擊的類型。其主要針對經濟、軍事、情報發起有針對性的攻擊,它可以在目標系統里潛伏很長時間。為了發起APT攻擊,攻擊者會進行針對性的資料搜集,對被攻擊目標進行詳盡的分析。攻擊者對于各類網絡技術、安全技術都十分熟悉。
APT攻擊與傳統攻擊不同,傳統攻擊方式在正常的系統里非常明顯,很容易被識別。而APT攻擊則完全將自身融入到正常系統里,極其難于被檢測發現。
APT攻擊在早期的攻擊階段,也就是準備階段、進入攻擊的初期階段,其更注重隱藏性。這就像疾病的初期,沒有很明顯的征兆。然而當疾病暴發時——也就是當APT發現(等到)了攻擊目標時,在APT發起攻擊動作后,其就會與整個系統格格不入。這也正是進行APT防御的最佳時機,也是攻擊者與防御者爭分奪秒的時候:如果攻擊者搶先一步實現完整的攻擊,那么被攻擊者將損失巨大;如果防御者能夠在及時發現攻擊者動作后,搶先一步實現防御阻斷,那么就能避免可能的損失,使得APT攻擊功虧一簣。
說起來似乎很簡單,但實際操作起來太難了。
要想防御APT有針對性攻擊,需要對整個網絡進行不間斷性的監控,進行網絡情報分析,而這里將涉及大量結構化數據、非機構化數據。所以目前來看,網絡情報分析僅有大型機構才有條件、有能力進行。而進行情報分析并不意味著就能發現攻擊痕跡,網絡情報分析意味著為發現APT攻擊提供一種可行的方法。比如對于“匿名者”這類惡意攻擊組織,可以針對其攻擊行為進行調研分析,發現其攻擊特征,提前進行防御。這需要將網絡情報的分析連接起來,而只有技術非常進步的公司才能做到這一點。這需要借助于云計算等技術來對大數據量的情報進行分析,爭取更早的發現APT攻擊的痕跡,進行更早的防御、反擊。
如果企業即將作出的某個決策可能吸引黑客組織的注意,那么企業的風險管理部門是應該讓安全團隊保持警惕,還是應該否決這項業務呢?如果企業的某個決定不會由于黑客攻擊給企業造成巨大損失,那么企業的風險管理團隊應該盡快考慮如何加強安全防范——從真實的人到虛擬的網絡。在黑客專業的網絡攻擊面前,網絡安全將不僅僅局限于網絡自身,還將涉及網絡在現實世界里的延展。
京公網安備 11010502049343號