惡意軟件只是高級(jí)持續(xù)性攻擊的一小部分，傳統(tǒng)網(wǎng)絡(luò)攻擊者也變得越來(lái)越“持續(xù)性”。有針對(duì)性的攻擊發(fā)展速度非?？欤芎φ吒緹o(wú)法檢測(cè)得到，而且這種攻擊不再只是網(wǎng)絡(luò)間諜了：受利益驅(qū)使的攻擊者還開始使用高級(jí)持續(xù)性攻擊方法來(lái)更長(zhǎng)期地隱蔽在網(wǎng)絡(luò)中以獲得更多利益。

根據(jù)Mandiant、HBGary和Trustwave Spider Labs的最新研究顯示高級(jí)持續(xù)性攻擊正變得越來(lái)越難以控制。

安全專家表示，雖然大多數(shù)企業(yè)都依賴于安全工具來(lái)檢測(cè)惡意軟件，但惡意軟件只是高級(jí)持續(xù)性攻擊的一小部分，“現(xiàn)在存在太多高級(jí)持續(xù)攻擊了，”HBGary公司首席執(zhí)行官Greg Hoglund(其公司正在追蹤約18個(gè)不同的高級(jí)持續(xù)攻擊團(tuán)伙)表示，“你不能只是去查找惡意軟件，你需要去追蹤網(wǎng)絡(luò)行為，攻擊者會(huì)留下取證證據(jù)，也就是你的員工不會(huì)做的事情。”

Mandiant公司在其高級(jí)持續(xù)性威脅報(bào)告中也表示，查找來(lái)自高級(jí)持續(xù)攻擊的惡意軟件只是冰山一角。根據(jù)Mandiant在對(duì)其客戶的調(diào)查中收集的數(shù)據(jù)顯示，被惡意軟件感染的機(jī)器只代表了54%受到高級(jí)持續(xù)攻擊的系統(tǒng)。在所有情況下，攻擊者使用偷來(lái)的合法用戶登錄憑證來(lái)在網(wǎng)絡(luò)中移動(dòng)。

并且這些攻擊者并不總是使用零日攻擊，在Mandiant調(diào)查的案例中有77%的案例攻擊者使用了網(wǎng)絡(luò)上公開的惡意軟件。

Mandiant和其他安全公司還發(fā)現(xiàn)通常被用于竊取知識(shí)產(chǎn)權(quán)的這種持續(xù)的隱蔽技術(shù)現(xiàn)在也開始被攻擊者用于謀取利益。

Trustwave Spider Labs的研究人員也注意到了這個(gè)趨勢(shì)。Trustwave Spider Labs的高級(jí)副總裁Nicholas Percoco最近在談?wù)撛摴咀钚?011全球安全報(bào)告時(shí)提到了這種轉(zhuǎn)變，“攻擊者正變得越來(lái)越復(fù)雜，并且無(wú)法被檢測(cè)，”他表示，“很難抓住這種攻擊，這種攻擊具有絕對(duì)的持久性：你一定聽說(shuō)過(guò)很多關(guān)于間諜和高級(jí)持續(xù)攻擊的故事。那些想要謀取利益的犯罪團(tuán)伙沒有理由不會(huì)想到使用這種相同的技術(shù)。”

Mandiant的報(bào)告也呼應(yīng)了這種趨勢(shì)。雖然這些受利益驅(qū)使的攻擊者經(jīng)常使用簡(jiǎn)單的工具實(shí)施“砸窗搶劫”的辦法，但現(xiàn)在一切都改變了。Mandiant表示：“有組織的犯罪團(tuán)伙開始采用由高級(jí)持續(xù)攻擊者采用的持續(xù)性攻擊機(jī)制。長(zhǎng)期采用這種技術(shù)能夠讓攻擊者在較長(zhǎng)時(shí)間內(nèi)獲取更多數(shù)據(jù)，并確保他們的數(shù)據(jù)是最新的。”

Mandiant發(fā)現(xiàn)，在他們的“武器庫(kù)”中，能夠讓他們盡可能久地不被發(fā)現(xiàn)地待在網(wǎng)絡(luò)中的方法就是定制后門、公開提供的后門、webshell、Metasploit Meterpreter和遠(yuǎn)程訪問工具。

Hoglund表示，攻擊者在目標(biāo)企業(yè)內(nèi)的橫向運(yùn)動(dòng)幾乎無(wú)法被察覺，并且能夠?qū)ζ髽I(yè)造成最嚴(yán)重的損害。“一個(gè)企業(yè)可能擁有5萬(wàn)個(gè)節(jié)點(diǎn)，你會(huì)發(fā)現(xiàn)100臺(tái)機(jī)器出現(xiàn)某些行為，有些行為看起來(lái)很正常，而有些行為則讓人質(zhì)疑，例如用戶打開進(jìn)程間通信端口。”

Mandiant表示，在他們接觸的企業(yè)中，只有6%的受害企業(yè)發(fā)現(xiàn)了企業(yè)中的攻擊。大多數(shù)企業(yè)是從外部信息來(lái)源才知道自己企業(yè)受到攻擊，例如執(zhí)法部門。并且這些攻擊在被發(fā)現(xiàn)之前，通常會(huì)潛伏一年以上。

安全專家表示，關(guān)鍵在于發(fā)現(xiàn)和分析網(wǎng)絡(luò)行為，而不只是查找惡意軟件。并且不要以為你不會(huì)受到攻擊，因?yàn)檫@些攻擊在各個(gè)行業(yè)蔓延。根據(jù)Mandiant的報(bào)告，23%的攻擊瞄準(zhǔn)了通信行業(yè);18%，航空航天和國(guó)防;14%，計(jì)算機(jī)硬件和軟件;10%，電子產(chǎn)品;10%，能源和石油及天然氣，還有另外25%則在其他各種行業(yè)。

“我碰到很多首席安全官再說(shuō)，‘我只關(guān)心高級(jí)持續(xù)攻擊，’”BT Counterpane公司首席技術(shù)官Bruce Schneier表示，“一切都是關(guān)于靈敏的安全和檢測(cè)。”