全球服務(wù)器安全、虛擬化及云計算安全領(lǐng)導(dǎo)廠商趨勢科技提醒廣大企業(yè)用戶,近期針對頻發(fā)的黑客利用復(fù)雜精準的方式對特定對象發(fā)動高級持續(xù)性威脅(Advanced Persistent Threat,APT)攻擊,企業(yè)應(yīng)采取長期而有效的威脅管理以應(yīng)對從而避免成為APT攻擊的受害者。
眾所周知,黑客發(fā)動APT的目的是為了竊取機密情報,雖然此種威脅形式已談不上是一種創(chuàng)新之舉,但在APT威脅悄然來襲的今天,一些企業(yè)數(shù)據(jù)泄露的信息開始頻頻涌現(xiàn),安全隱患堪憂。那么,企業(yè)如何才能清楚的認識到這些長期的、有計劃、有組織的“網(wǎng)絡(luò)間諜”行為,同時動用自己的安全防御手段,做到有的放矢呢?
黑客利用APT對目標進行著長期的、有計劃、有組織的“網(wǎng)絡(luò)間諜”行為
企業(yè)機密正成為APT攻擊的首選目標
美國著名軍事預(yù)測學(xué)家詹姆斯•亞當(dāng)斯在《下一場戰(zhàn)爭》中預(yù)言:“在未來的戰(zhàn)爭中,計算機本身就是武器,前線無處不在,奪取作戰(zhàn)空間控制權(quán)的不是炮彈和子彈,而是計算機網(wǎng)絡(luò)里流動的比特和字節(jié)。”
其實這場戰(zhàn)爭早已開始,早在1998年,就有蘇聯(lián)黑客針對美國官方等單位發(fā)動攻擊。而根據(jù)美國政府發(fā)布的數(shù)據(jù)顯示,僅2008年這種有組織的黑客攻擊行為就造成美國3980億美元的經(jīng)濟損失。而這種損失還在加劇,這份報告還指出了,時至今日,只有百分之十三的企業(yè)擁有應(yīng)對攻擊的能力。
在信息安全領(lǐng)域,APT已成為人盡皆知的“時髦術(shù)語”,越來越多的企業(yè)開始對其高度關(guān)注,甚至一些大型企業(yè)已經(jīng)成為APT攻擊的“俘虜”。2010年影響范圍最廣的莫過于Google Aurora(極光)攻擊,業(yè)界對此進行了深入的報道。其過程主要由于Google的一名雇員點擊即時消息中的一條惡意鏈接,引發(fā)了一系列事件,導(dǎo)致這個搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月,并且造成各種系統(tǒng)的數(shù)據(jù)被竊取的嚴重后果。其次,還有2011年2月出現(xiàn)針對全球主要能源公司的“夜龍攻擊”。還有,國際著名的安全公司RSA的SecurlD令牌技術(shù)文件外泄事件,這導(dǎo)致了全球上千萬的SecurID的使用者都感到極大的恐慌。我們可以確定,未來還將會有更多重大安全事件……
現(xiàn)在,幾乎所有的“定點”攻擊行為都與商業(yè)利益有著聯(lián)系。據(jù)新加坡《聯(lián)合早報》之前的報道,馬來西亞財政部、國會等51個政府網(wǎng)站陸續(xù)遭黑客攻擊,同時這名黑客在網(wǎng)上宣稱,他們?nèi)〉蒙嘲吐糜尉志W(wǎng)站逾3000名用戶的資料。趨勢科技近期也發(fā)現(xiàn)了一個正在進行中的APT攻擊,并將其稱之為“LURID”。該攻擊已經(jīng)成功入侵了位于61個不同國家和地區(qū)的1465臺電腦。趨勢科技已經(jīng)從中確定了47個受害者,包括外交單位、政府部門,甚至與太空工程有關(guān)的政府機構(gòu)和公司,以及研究機構(gòu)。
以往黑客受雇某些極端政治團體,使用這樣的APT手法,主要是針對國家層級的對象。但從過去一年半以來,從數(shù)起類似的安全事件中,卻可以發(fā)現(xiàn),包含Yahoo!、Google、RSA、Comodo等大型企業(yè)或網(wǎng)絡(luò)安全公司,以往我們認為不是黑客采用APT手法攻擊的對象,也都陸續(xù)成為受害對象。這也充分證明了,企業(yè)已經(jīng)是繼政府之外,黑客采用APT手法的主要攻擊對象。
“低調(diào)且持續(xù)性”是APT攻擊最大的威脅
趨勢科技集合全球幾百名工程師一起,通過跟蹤不同種類APT攻擊行為的過程,得出了一個“令人擔(dān)憂”的結(jié)論。首先,眾多企業(yè)機構(gòu)慘遭“不測”的一個主要原因在于它們沒有發(fā)現(xiàn)真正的漏洞所在并加以修復(fù)。其次,由于APT攻擊具有持續(xù)性,甚至長達數(shù)年的特征,這讓企業(yè)的管理人員無從察覺。在此期間,這種“持續(xù)性”體現(xiàn)在攻擊者不斷嘗試的各種攻擊手段,以及在滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏,他們不斷收集各種信息,直到收集到重要情報。更加危險的是,這些新型的攻擊和威脅主要就針對國家重要的基礎(chǔ)設(shè)施和企業(yè)進行,包括能源、電力、金融、國防等關(guān)系到國計民生,或者是國家核心利益的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
趨勢科技中國區(qū)資深產(chǎn)品經(jīng)理林義軒表示:“以往這類攻擊手法都針對政府和某些政治狂熱份子為主,后來這種攻擊被黑客廣泛使用在一些大型企業(yè)的核心資料竊取上。這種APT的攻擊手法,因為是隱匿自己,針對特定對象,長期、有計劃性和組織性的竊取數(shù)據(jù),這種發(fā)生在數(shù)字空間的偷竊資料、搜集情報的行為,就是一種“網(wǎng)絡(luò)間諜”的行為。這些發(fā)動APT攻擊的黑客目的往往不是為了在短時間內(nèi)獲利,而是借助“被控主機”當(dāng)成跳板,持續(xù)的搜索,直到能徹底掌握所針對的目標人、事、物。“
那么,這種間諜行為的潛伏期有多長呢?
針對“LURID”,趨勢科技指出,“LURID Downloader”通常也被稱為“Enfal”,這是一個眾所皆知的、長期存在的惡意軟件家族。這只惡意軟件,早在2006年就曾經(jīng)被用在目標攻擊中。到了2008年,一系列的記錄顯示了使用這種惡意軟件的攻擊目標包括政府機構(gòu),非政府組織( NGO),還有國防部承包商和美國政府雇員。在2009年和2010年,多倫多大學(xué)的研究人員和趨勢科技安全威脅研究員Nart Villeneuve共同發(fā)表了有關(guān)兩個間諜網(wǎng)絡(luò)的報告,被人稱為“GhostNet”和“Shadow-In-The-Cloud”,網(wǎng)絡(luò)中包括了Enfal木馬鏈接的惡意軟件和外界控制代碼。同時,根據(jù)“維基解密”的信息和一系列被稱為“Byzantine Hades”的連續(xù)攻擊行為發(fā)現(xiàn),這系列連續(xù)攻擊,自2002年以來就一直在發(fā)生。#p#副標題#e#
長期而有效的威脅管理將有效避免成為APT攻擊的受害者
面對黑客使用APT網(wǎng)絡(luò)間諜的攻擊手法,趨勢科技中國臺灣技術(shù)總監(jiān)戴燊認為,這并沒有單一的解決之道,因為黑客為達目的、不擇手段的攻擊方式,企業(yè)的威脅防護也必須從造成企業(yè)威脅的每一個防護弱點下手。
首先,防病毒軟件還是基本防御之道。黑客使用這些針對式的惡意軟件,一般商用防病毒軟件無法偵測,戴燊建議,政府或企業(yè)環(huán)境內(nèi)應(yīng)首先部署各種過濾設(shè)備,并針對可疑的惡意軟件樣本先進行第一輪的過濾后,再送到后端自動化分析機制。如果要判斷該惡意軟件是否是有針對性的,則需要與防毒廠商充分達成默契,這樣就能讓防毒廠商針對該攻擊,制作出定制化的病毒特征給該單位。
第二,除了防病毒軟件的防御層面外,進行企業(yè)環(huán)境的威脅發(fā)現(xiàn),則是預(yù)防APT的有效之道。要預(yù)防黑客發(fā)動APT攻擊,得先改變對威脅環(huán)境的認知,進行各種高級監(jiān)測威脅,以降低災(zāi)害。這包括,企業(yè)內(nèi)部的威脅發(fā)現(xiàn)機制是否足夠,以及是否有能力可以對網(wǎng)絡(luò)中的封包或Session進行攻擊特征的分析。
第三,就是針對APT攻擊的“持續(xù)性”建立長期的分析能力。除了日報、周報、月報外,更重要的是要看出長期的趨勢變化,時間更長的季度報甚至是年報所呈現(xiàn)出來的攻擊趨勢,其實更重要。因為面對黑客發(fā)動的APT攻擊,企業(yè)最忌諱當(dāng)成單一事件,所以IT工程師們應(yīng)對于每個月安全事件進行檢查,并確定是否每個月都重復(fù)發(fā)生,觀察是否有持續(xù)性。
第四,由于APT攻擊類型很多,也很難檢測,很多企業(yè)仍然僅依賴于以預(yù)防為主的工具,例如防毒代碼技術(shù)和傳統(tǒng)的網(wǎng)絡(luò)層防火墻。高級持續(xù)攻擊者更傾向于0day漏洞,或者利用目標公司基礎(chǔ)設(shè)施存在的漏洞問題。因此,抵御APT攻擊者的理想防御方法是結(jié)合最新的云安全技術(shù),對網(wǎng)絡(luò)和系統(tǒng)達到實時監(jiān)測和統(tǒng)一管理。但是現(xiàn)在市面上很多工具都是針對不同的基礎(chǔ)設(shè)施,縱觀所有事件和日志往往是需要手動來操作。這就給了攻擊者更多時間和機會來深入受害者組織,因此,將安全基礎(chǔ)設(shè)施利用云安全架構(gòu)中的統(tǒng)一管理模式,將這些報表和日志聯(lián)合起來,才能有效地識別出漏洞和攻擊的存在。
第五,也是我們反復(fù)提到的信息安全教育,因為這將是嚴防APT攻擊最后的防線。從Google到RSA,這些單位受到攻擊的關(guān)鍵因素都與普通員工遭遇社交工程的惡意郵件有關(guān)。從RSA受攻擊的事件可以發(fā)現(xiàn),黑客剛一開始,就是針對某些特定員工發(fā)送的釣魚郵件,就是該起RSA遭到黑客使用APT手法進行攻擊的所有源頭。在今年稍早,美國有另外一家信息安全顧問公司HBGary也面臨類似的攻擊方式,那就是黑客假冒CEO發(fā)信給IT部門同事,由于“天時地利人和”的條件配合下,IT人員對于黑客冒名發(fā)送的這封信件完全不曾懷疑,IT人員直接將該公司IT系統(tǒng)Administrator的賬號、密碼給被黑客冒名的CEO發(fā)送回去。因此,HBGary內(nèi)部的IT系統(tǒng)防護也在一夜之間潰堤。
安全意識淡薄,APT只需要5個步驟就能輕松“俘虜”目標系統(tǒng)
最后,如果已經(jīng)清除了內(nèi)部的惡意代碼,員工和管理層還應(yīng)該預(yù)料到APT攻擊者們遲早還會卷土重來,然后重新建立他們的據(jù)點,這也就讓企業(yè)所面臨的威脅環(huán)境變得越來越具有挑戰(zhàn)性。不過,當(dāng)我們清楚的認識到,這些對于信息系統(tǒng)進行攻擊方法的正在變化,我們就有決心有毅力,并有效的能夠遏制住APT攻擊。