全球服務(wù)器安全、虛擬化及云計算安全領(lǐng)導(dǎo)廠商趨勢科技提醒廣大企業(yè)用戶，近期針對頻發(fā)的黑客利用復(fù)雜精準的方式對特定對象發(fā)動高級持續(xù)性威脅（Advanced Persistent Threat，APT）攻擊，企業(yè)應(yīng)采取長期而有效的威脅管理以應(yīng)對從而避免成為APT攻擊的受害者。
　　眾所周知，黑客發(fā)動APT的目的是為了竊取機密情報，雖然此種威脅形式已談不上是一種創(chuàng)新之舉，但在APT威脅悄然來襲的今天，一些企業(yè)數(shù)據(jù)泄露的信息開始頻頻涌現(xiàn)，安全隱患堪憂。那么，企業(yè)如何才能清楚的認識到這些長期的、有計劃、有組織的“網(wǎng)絡(luò)間諜”行為，同時動用自己的安全防御手段，做到有的放矢呢？

黑客利用APT對目標進行著長期的、有計劃、有組織的“網(wǎng)絡(luò)間諜”行為

企業(yè)機密正成為APT攻擊的首選目標
　　美國著名軍事預(yù)測學(xué)家詹姆斯•亞當(dāng)斯在《下一場戰(zhàn)爭》中預(yù)言：“在未來的戰(zhàn)爭中，計算機本身就是武器，前線無處不在，奪取作戰(zhàn)空間控制權(quán)的不是炮彈和子彈，而是計算機網(wǎng)絡(luò)里流動的比特和字節(jié)。”
　　其實這場戰(zhàn)爭早已開始，早在1998年，就有蘇聯(lián)黑客針對美國官方等單位發(fā)動攻擊。而根據(jù)美國政府發(fā)布的數(shù)據(jù)顯示，僅2008年這種有組織的黑客攻擊行為就造成美國3980億美元的經(jīng)濟損失。而這種損失還在加劇，這份報告還指出了，時至今日，只有百分之十三的企業(yè)擁有應(yīng)對攻擊的能力。
　　在信息安全領(lǐng)域，APT已成為人盡皆知的“時髦術(shù)語”，越來越多的企業(yè)開始對其高度關(guān)注，甚至一些大型企業(yè)已經(jīng)成為APT攻擊的“俘虜”。2010年影響范圍最廣的莫過于Google Aurora（極光）攻擊，業(yè)界對此進行了深入的報道。其過程主要由于Google的一名雇員點擊即時消息中的一條惡意鏈接，引發(fā)了一系列事件，導(dǎo)致這個搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取的嚴重后果。其次，還有2011年2月出現(xiàn)針對全球主要能源公司的“夜龍攻擊”。還有，國際著名的安全公司RSA的SecurlD令牌技術(shù)文件外泄事件，這導(dǎo)致了全球上千萬的SecurID的使用者都感到極大的恐慌。我們可以確定，未來還將會有更多重大安全事件……
　　現(xiàn)在，幾乎所有的“定點”攻擊行為都與商業(yè)利益有著聯(lián)系。據(jù)新加坡《聯(lián)合早報》之前的報道，馬來西亞財政部、國會等51個政府網(wǎng)站陸續(xù)遭黑客攻擊，同時這名黑客在網(wǎng)上宣稱，他們?nèi)〉蒙嘲吐糜尉志W(wǎng)站逾3000名用戶的資料。趨勢科技近期也發(fā)現(xiàn)了一個正在進行中的APT攻擊，并將其稱之為“LURID”。該攻擊已經(jīng)成功入侵了位于61個不同國家和地區(qū)的1465臺電腦。趨勢科技已經(jīng)從中確定了47個受害者，包括外交單位、政府部門，甚至與太空工程有關(guān)的政府機構(gòu)和公司，以及研究機構(gòu)。
　　以往黑客受雇某些極端政治團體，使用這樣的APT手法，主要是針對國家層級的對象。但從過去一年半以來，從數(shù)起類似的安全事件中，卻可以發(fā)現(xiàn)，包含Yahoo！、Google、RSA、Comodo等大型企業(yè)或網(wǎng)絡(luò)安全公司，以往我們認為不是黑客采用APT手法攻擊的對象，也都陸續(xù)成為受害對象。這也充分證明了，企業(yè)已經(jīng)是繼政府之外，黑客采用APT手法的主要攻擊對象。

“低調(diào)且持續(xù)性”是APT攻擊最大的威脅
　　趨勢科技集合全球幾百名工程師一起，通過跟蹤不同種類APT攻擊行為的過程，得出了一個“令人擔(dān)憂”的結(jié)論。首先，眾多企業(yè)機構(gòu)慘遭“不測”的一個主要原因在于它們沒有發(fā)現(xiàn)真正的漏洞所在并加以修復(fù)。其次，由于APT攻擊具有持續(xù)性，甚至長達數(shù)年的特征，這讓企業(yè)的管理人員無從察覺。在此期間，這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段，以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，他們不斷收集各種信息，直到收集到重要情報。更加危險的是，這些新型的攻擊和威脅主要就針對國家重要的基礎(chǔ)設(shè)施和企業(yè)進行，包括能源、電力、金融、國防等關(guān)系到國計民生，或者是國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
　　趨勢科技中國區(qū)資深產(chǎn)品經(jīng)理林義軒表示：“以往這類攻擊手法都針對政府和某些政治狂熱份子為主，后來這種攻擊被黑客廣泛使用在一些大型企業(yè)的核心資料竊取上。這種APT的攻擊手法，因為是隱匿自己，針對特定對象，長期、有計劃性和組織性的竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為，就是一種“網(wǎng)絡(luò)間諜”的行為。這些發(fā)動APT攻擊的黑客目的往往不是為了在短時間內(nèi)獲利，而是借助“被控主機”當(dāng)成跳板，持續(xù)的搜索，直到能徹底掌握所針對的目標人、事、物。“
　　那么，這種間諜行為的潛伏期有多長呢？
　　針對“LURID”，趨勢科技指出，“LURID Downloader”通常也被稱為“Enfal”，這是一個眾所皆知的、長期存在的惡意軟件家族。這只惡意軟件，早在2006年就曾經(jīng)被用在目標攻擊中。到了2008年，一系列的記錄顯示了使用這種惡意軟件的攻擊目標包括政府機構(gòu)，非政府組織（ NGO），還有國防部承包商和美國政府雇員。在2009年和2010年，多倫多大學(xué)的研究人員和趨勢科技安全威脅研究員Nart Villeneuve共同發(fā)表了有關(guān)兩個間諜網(wǎng)絡(luò)的報告，被人稱為“GhostNet”和“Shadow-In-The-Cloud”，網(wǎng)絡(luò)中包括了Enfal木馬鏈接的惡意軟件和外界控制代碼。同時，根據(jù)“維基解密”的信息和一系列被稱為“Byzantine Hades”的連續(xù)攻擊行為發(fā)現(xiàn)，這系列連續(xù)攻擊，自2002年以來就一直在發(fā)生。#p#副標題#e#

長期而有效的威脅管理將有效避免成為APT攻擊的受害者
　　面對黑客使用APT網(wǎng)絡(luò)間諜的攻擊手法，趨勢科技中國臺灣技術(shù)總監(jiān)戴燊認為，這并沒有單一的解決之道，因為黑客為達目的、不擇手段的攻擊方式，企業(yè)的威脅防護也必須從造成企業(yè)威脅的每一個防護弱點下手。
　　首先，防病毒軟件還是基本防御之道。黑客使用這些針對式的惡意軟件，一般商用防病毒軟件無法偵測，戴燊建議，政府或企業(yè)環(huán)境內(nèi)應(yīng)首先部署各種過濾設(shè)備，并針對可疑的惡意軟件樣本先進行第一輪的過濾后，再送到后端自動化分析機制。如果要判斷該惡意軟件是否是有針對性的，則需要與防毒廠商充分達成默契，這樣就能讓防毒廠商針對該攻擊，制作出定制化的病毒特征給該單位。
　　第二，除了防病毒軟件的防御層面外，進行企業(yè)環(huán)境的威脅發(fā)現(xiàn)，則是預(yù)防APT的有效之道。要預(yù)防黑客發(fā)動APT攻擊，得先改變對威脅環(huán)境的認知，進行各種高級監(jiān)測威脅，以降低災(zāi)害。這包括，企業(yè)內(nèi)部的威脅發(fā)現(xiàn)機制是否足夠，以及是否有能力可以對網(wǎng)絡(luò)中的封包或Session進行攻擊特征的分析。
　　第三，就是針對APT攻擊的“持續(xù)性”建立長期的分析能力。除了日報、周報、月報外，更重要的是要看出長期的趨勢變化，時間更長的季度報甚至是年報所呈現(xiàn)出來的攻擊趨勢，其實更重要。因為面對黑客發(fā)動的APT攻擊，企業(yè)最忌諱當(dāng)成單一事件，所以IT工程師們應(yīng)對于每個月安全事件進行檢查，并確定是否每個月都重復(fù)發(fā)生，觀察是否有持續(xù)性。
　　第四，由于APT攻擊類型很多，也很難檢測，很多企業(yè)仍然僅依賴于以預(yù)防為主的工具，例如防毒代碼技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)層防火墻。高級持續(xù)攻擊者更傾向于0day漏洞，或者利用目標公司基礎(chǔ)設(shè)施存在的漏洞問題。因此，抵御APT攻擊者的理想防御方法是結(jié)合最新的云安全技術(shù)，對網(wǎng)絡(luò)和系統(tǒng)達到實時監(jiān)測和統(tǒng)一管理。但是現(xiàn)在市面上很多工具都是針對不同的基礎(chǔ)設(shè)施，縱觀所有事件和日志往往是需要手動來操作。這就給了攻擊者更多時間和機會來深入受害者組織，因此，將安全基礎(chǔ)設(shè)施利用云安全架構(gòu)中的統(tǒng)一管理模式，將這些報表和日志聯(lián)合起來，才能有效地識別出漏洞和攻擊的存在。
　　第五，也是我們反復(fù)提到的信息安全教育，因為這將是嚴防APT攻擊最后的防線。從Google到RSA，這些單位受到攻擊的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。從RSA受攻擊的事件可以發(fā)現(xiàn)，黑客剛一開始，就是針對某些特定員工發(fā)送的釣魚郵件，就是該起RSA遭到黑客使用APT手法進行攻擊的所有源頭。在今年稍早，美國有另外一家信息安全顧問公司HBGary也面臨類似的攻擊方式，那就是黑客假冒CEO發(fā)信給IT部門同事，由于“天時地利人和”的條件配合下，IT人員對于黑客冒名發(fā)送的這封信件完全不曾懷疑，IT人員直接將該公司IT系統(tǒng)Administrator的賬號、密碼給被黑客冒名的CEO發(fā)送回去。因此，HBGary內(nèi)部的IT系統(tǒng)防護也在一夜之間潰堤。

安全意識淡薄，APT只需要5個步驟就能輕松“俘虜”目標系統(tǒng)

　　最后，如果已經(jīng)清除了內(nèi)部的惡意代碼，員工和管理層還應(yīng)該預(yù)料到APT攻擊者們遲早還會卷土重來，然后重新建立他們的據(jù)點，這也就讓企業(yè)所面臨的威脅環(huán)境變得越來越具有挑戰(zhàn)性。不過，當(dāng)我們清楚的認識到，這些對于信息系統(tǒng)進行攻擊方法的正在變化，我們就有決心有毅力，并有效的能夠遏制住APT攻擊。