近几年曝光的一些信息安全事件,使得APT(Advanced Persistent Threat,高级持续性威胁)攻击逐渐引起业界的广泛关注,这一被外界赋予神秘外衣的攻击行为已在全球多个国家的政府和企业内部发生。
顾名思义,所谓APT可以从高级与持续两个方面理解,一是它有比较明确的攻击目标,采用多种侦查手段全方位搜集情报,并利用多种入侵技术;二是攻击准备和攻击过程的持续时间都很长,直至达到其目的。
回顾过往发生过的典型APT攻击案例,无论是RSA SecurID遭窃取攻击,谷歌极光攻击事件,伊朗核电站震网攻击事件等等,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉对象网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式,并最终致使用户遭受巨大损失。
对于用户来说,普遍关心的是如何有效发现并阻止APT攻击,对于整个安全服务的产业来说,也在思考如何为客户提供防御APT的能力。伴随着这一攻击行为的愈演愈烈,安全防御能力的建设过程无疑需要加快。
APT事件的样本集之外
由于APT本身带有高度的定向性和隐蔽性,“迄今为止,中国的网络安全厂商和团队虽然曝光了很多漏洞,但真正就一个以中国为目标进行的一套作业链的揭示依然缺乏有效进展。”安天实验室首席技术架构师肖新光在2014中国互联网安全大会上如是说。
对于一个传统的反恶意代码团队来说拥有海量的样本集,却往往不知道哪一个样本集归属于哪个事件,如何把事件和样本之间的关系建立起来是APT分析的关键之处。
当然,样本集是APT分析的一部分,而且是研究APT最有效、最直接的资源,“但我们匮乏的是它投放、回传的过程。”肖新光说,像震网这样纵深行的APT攻击,对它分析的工作量不在样本集上,而是在于对手场景的仿真、模拟,这个过程超出了我们现有的研究能力和成本。
也就是说,安全服务团队手里拥有小偷作案的痕迹,有他丢在现场的作案工具,却缺少其撬锁时的录像或逃跑时的轨迹。
大数据的联合防控
对安全服务团队的挑战还体现在其他方面,360企业安全产品总监韩志立指出,其一是APT往往具备高级逃逸技术,或者是0day等先进方法的恶意软件。多态和变形使安全团队掌握的攻击特征总不及时,并且数以亿计的规模是检测引擎无法承载。其二,由于攻击者具备内网合法权限,无需使用攻击手段,击者针对现有监控措施,有意识规避,致使传统内网检测方案无法监控内网持续渗透。
从以上不难理解“没有任何一个单独的产品能够实现APT百分百的防御”这一说法。
所以APT防御是一个综合的解决方案,需要在黑客的研究、渗入、数据发现、数据捕获和数据传出等阶段进行全面的防护,这样就需要多个产品之间的协同配合。
新闻资讯
NEWS