全球服務器安全、虛擬化及云計算安全領導廠商趨勢科技提醒廣大企業用戶,近期針對頻發的黑客利用復雜精準的方式對特定對象發動高級持續性威脅(Advanced Persistent Threat,APT)攻擊,企業應采取長期而有效的威脅管理以應對從而避免成為APT攻擊的受害者。
眾所周知,黑客發動APT的目的是為了竊取機密情報,雖然此種威脅形式已談不上是一種創新之舉,但在APT威脅悄然來襲的今天,一些企業數據泄露的信息開始頻頻涌現,安全隱患堪憂。那么,企業如何才能清楚的認識到這些長期的、有計劃、有組織的“網絡間諜”行為,同時動用自己的安全防御手段,做到有的放矢呢?
黑客利用APT對目標進行著長期的、有計劃、有組織的“網絡間諜”行為
企業機密正成為APT攻擊的首選目標
美國著名軍事預測學家詹姆斯•亞當斯在《下一場戰爭》中預言:“在未來的戰爭中,計算機本身就是武器,前線無處不在,奪取作戰空間控制權的不是炮彈和子彈,而是計算機網絡里流動的比特和字節。”
其實這場戰爭早已開始,早在1998年,就有蘇聯黑客針對美國官方等單位發動攻擊。而根據美國政府發布的數據顯示,僅2008年這種有組織的黑客攻擊行為就造成美國3980億美元的經濟損失。而這種損失還在加劇,這份報告還指出了,時至今日,只有百分之十三的企業擁有應對攻擊的能力。
在信息安全領域,APT已成為人盡皆知的“時髦術語”,越來越多的企業開始對其高度關注,甚至一些大型企業已經成為APT攻擊的“俘虜”。2010年影響范圍最廣的莫過于Google Aurora(極光)攻擊,業界對此進行了深入的報道。其過程主要由于Google的一名雇員點擊即時消息中的一條惡意鏈接,引發了一系列事件,導致這個搜索引擎巨人的網絡被滲入數月,并且造成各種系統的數據被竊取的嚴重后果。其次,還有2011年2月出現針對全球主要能源公司的“夜龍攻擊”。還有,國際著名的安全公司RSA的SecurlD令牌技術文件外泄事件,這導致了全球上千萬的SecurID的使用者都感到極大的恐慌。我們可以確定,未來還將會有更多重大安全事件……
現在,幾乎所有的“定點”攻擊行為都與商業利益有著聯系。據新加坡《聯合早報》之前的報道,馬來西亞財政部、國會等51個政府網站陸續遭黑客攻擊,同時這名黑客在網上宣稱,他們取得沙巴旅游局網站逾3000名用戶的資料。趨勢科技近期也發現了一個正在進行中的APT攻擊,并將其稱之為“LURID”。該攻擊已經成功入侵了位于61個不同國家和地區的1465臺電腦。趨勢科技已經從中確定了47個受害者,包括外交單位、政府部門,甚至與太空工程有關的政府機構和公司,以及研究機構。
以往黑客受雇某些極端政治團體,使用這樣的APT手法,主要是針對國家層級的對象。但從過去一年半以來,從數起類似的安全事件中,卻可以發現,包含Yahoo!、Google、RSA、Comodo等大型企業或網絡安全公司,以往我們認為不是黑客采用APT手法攻擊的對象,也都陸續成為受害對象。這也充分證明了,企業已經是繼政府之外,黑客采用APT手法的主要攻擊對象。
“低調且持續性”是APT攻擊最大的威脅
趨勢科技集合全球幾百名工程師一起,通過跟蹤不同種類APT攻擊行為的過程,得出了一個“令人擔憂”的結論。首先,眾多企業機構慘遭“不測”的一個主要原因在于它們沒有發現真正的漏洞所在并加以修復。其次,由于APT攻擊具有持續性,甚至長達數年的特征,這讓企業的管理人員無從察覺。在此期間,這種“持續性”體現在攻擊者不斷嘗試的各種攻擊手段,以及在滲透到網絡內部后長期蟄伏,他們不斷收集各種信息,直到收集到重要情報。更加危險的是,這些新型的攻擊和威脅主要就針對國家重要的基礎設施和企業進行,包括能源、電力、金融、國防等關系到國計民生,或者是國家核心利益的網絡基礎設施。
趨勢科技中國區資深產品經理林義軒表示:“以往這類攻擊手法都針對政府和某些政治狂熱份子為主,后來這種攻擊被黑客廣泛使用在一些大型企業的核心資料竊取上。這種APT的攻擊手法,因為是隱匿自己,針對特定對象,長期、有計劃性和組織性的竊取數據,這種發生在數字空間的偷竊資料、搜集情報的行為,就是一種“網絡間諜”的行為。這些發動APT攻擊的黑客目的往往不是為了在短時間內獲利,而是借助“被控主機”當成跳板,持續的搜索,直到能徹底掌握所針對的目標人、事、物。“
那么,這種間諜行為的潛伏期有多長呢?
針對“LURID”,趨勢科技指出,“LURID Downloader”通常也被稱為“Enfal”,這是一個眾所皆知的、長期存在的惡意軟件家族。這只惡意軟件,早在2006年就曾經被用在目標攻擊中。到了2008年,一系列的記錄顯示了使用這種惡意軟件的攻擊目標包括政府機構,非政府組織( NGO),還有國防部承包商和美國政府雇員。在2009年和2010年,多倫多大學的研究人員和趨勢科技安全威脅研究員Nart Villeneuve共同發表了有關兩個間諜網絡的報告,被人稱為“GhostNet”和“Shadow-In-The-Cloud”,網絡中包括了Enfal木馬鏈接的惡意軟件和外界控制代碼。同時,根據“維基解密”的信息和一系列被稱為“Byzantine Hades”的連續攻擊行為發現,這系列連續攻擊,自2002年以來就一直在發生。#p#副標題#e#
長期而有效的威脅管理將有效避免成為APT攻擊的受害者
面對黑客使用APT網絡間諜的攻擊手法,趨勢科技中國臺灣技術總監戴燊認為,這并沒有單一的解決之道,因為黑客為達目的、不擇手段的攻擊方式,企業的威脅防護也必須從造成企業威脅的每一個防護弱點下手。
首先,防病毒軟件還是基本防御之道。黑客使用這些針對式的惡意軟件,一般商用防病毒軟件無法偵測,戴燊建議,政府或企業環境內應首先部署各種過濾設備,并針對可疑的惡意軟件樣本先進行第一輪的過濾后,再送到后端自動化分析機制。如果要判斷該惡意軟件是否是有針對性的,則需要與防毒廠商充分達成默契,這樣就能讓防毒廠商針對該攻擊,制作出定制化的病毒特征給該單位。
第二,除了防病毒軟件的防御層面外,進行企業環境的威脅發現,則是預防APT的有效之道。要預防黑客發動APT攻擊,得先改變對威脅環境的認知,進行各種高級監測威脅,以降低災害。這包括,企業內部的威脅發現機制是否足夠,以及是否有能力可以對網絡中的封包或Session進行攻擊特征的分析。
第三,就是針對APT攻擊的“持續性”建立長期的分析能力。除了日報、周報、月報外,更重要的是要看出長期的趨勢變化,時間更長的季度報甚至是年報所呈現出來的攻擊趨勢,其實更重要。因為面對黑客發動的APT攻擊,企業最忌諱當成單一事件,所以IT工程師們應對于每個月安全事件進行檢查,并確定是否每個月都重復發生,觀察是否有持續性。
第四,由于APT攻擊類型很多,也很難檢測,很多企業仍然僅依賴于以預防為主的工具,例如防毒代碼技術和傳統的網絡層防火墻。高級持續攻擊者更傾向于0day漏洞,或者利用目標公司基礎設施存在的漏洞問題。因此,抵御APT攻擊者的理想防御方法是結合最新的云安全技術,對網絡和系統達到實時監測和統一管理。但是現在市面上很多工具都是針對不同的基礎設施,縱觀所有事件和日志往往是需要手動來操作。這就給了攻擊者更多時間和機會來深入受害者組織,因此,將安全基礎設施利用云安全架構中的統一管理模式,將這些報表和日志聯合起來,才能有效地識別出漏洞和攻擊的存在。
第五,也是我們反復提到的信息安全教育,因為這將是嚴防APT攻擊最后的防線。從Google到RSA,這些單位受到攻擊的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。從RSA受攻擊的事件可以發現,黑客剛一開始,就是針對某些特定員工發送的釣魚郵件,就是該起RSA遭到黑客使用APT手法進行攻擊的所有源頭。在今年稍早,美國有另外一家信息安全顧問公司HBGary也面臨類似的攻擊方式,那就是黑客假冒CEO發信給IT部門同事,由于“天時地利人和”的條件配合下,IT人員對于黑客冒名發送的這封信件完全不曾懷疑,IT人員直接將該公司IT系統Administrator的賬號、密碼給被黑客冒名的CEO發送回去。因此,HBGary內部的IT系統防護也在一夜之間潰堤。
安全意識淡薄,APT只需要5個步驟就能輕松“俘虜”目標系統
最后,如果已經清除了內部的惡意代碼,員工和管理層還應該預料到APT攻擊者們遲早還會卷土重來,然后重新建立他們的據點,這也就讓企業所面臨的威脅環境變得越來越具有挑戰性。不過,當我們清楚的認識到,這些對于信息系統進行攻擊方法的正在變化,我們就有決心有毅力,并有效的能夠遏制住APT攻擊。