近幾年，安全威脅發(fā)生了很大變化，尤其是高級(jí)持續(xù)性威脅（簡(jiǎn)稱APT）有愈演愈烈之勢(shì)。那么，APT威脅最近有哪些新的發(fā)展？傳統(tǒng)檢測(cè)方法應(yīng)對(duì)APT有哪些不足？我們又該如何防御？對(duì)此，很多安全公司都形成了自己的思路，并推出了相關(guān)解決方案。而“棱鏡”事件警示我們，我國(guó)在信息安全領(lǐng)域急需自主可控，對(duì)付APT攻擊同樣如此。所幸，本土安全廠商啟明星辰公司已經(jīng)推出APT攻擊防御解決方案，并在多個(gè)行業(yè)實(shí)現(xiàn)應(yīng)用。

[[84456]]

層出不窮的APT攻擊事件

先來回顧一下近年來的一些APT攻擊事件：

2007年發(fā)現(xiàn)的Stuxnet蠕蟲病毒（超級(jí)工廠病毒）曾經(jīng)感染了伊朗境內(nèi)14臺(tái)離心機(jī)的系統(tǒng)，最終致使離心機(jī)遭到損壞。相關(guān)資料顯示，Stuxnet病毒最早于2005年就已經(jīng)存在，被稱為Stuxnet0.5。在2011年，一種基于Stuxnet代碼的新型的蠕蟲Duqu又出現(xiàn)在歐洲，號(hào)稱“震網(wǎng)二代”。

2010年的GoogleAurora(極光)攻擊是一個(gè)十分著名的APT攻擊。Google的一名雇員點(diǎn)擊即時(shí)消息中的一條惡意鏈接，引發(fā)了一系列事件導(dǎo)致這個(gè)搜索引擎巨人的網(wǎng)絡(luò)被滲入數(shù)月，并且造成各種系統(tǒng)的數(shù)據(jù)被竊取。

2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術(shù)及客戶資料被竊取。其后果導(dǎo)致很多使用SecurID作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司——包括洛克希德馬丁公司、諾斯羅普公司等美國(guó)國(guó)防外包商——受到攻擊，重要資料被竊取。

2012年，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)Flame(火焰)病毒它是一種高度復(fù)雜的惡意程序，被用作網(wǎng)絡(luò)武器并已經(jīng)攻擊了多個(gè)國(guó)家。它是迄今為止最復(fù)雜、威脅程度最高的計(jì)算機(jī)病毒。

2013年3月20日，韓國(guó)多家大型銀行及數(shù)家媒體遭受APT攻擊;

2013年4月，啟明星辰發(fā)現(xiàn)了一個(gè)擁有合法數(shù)字簽名的后門程序，這個(gè)后門利用AdobeFlash漏洞(CVE-2013-0634)，可能已經(jīng)存活很長(zhǎng)時(shí)間。

2013年5月，截獲以波士頓馬拉松爆炸事件為題材的APT郵件攻擊。

2013年5月，火眼實(shí)驗(yàn)室發(fā)現(xiàn)了針對(duì)我國(guó)政府要員的APT攻擊郵件，郵件包含針對(duì)Office的EXP套件(CVE-2012-0158)。

2013年7月15日，TrendMicro宣布發(fā)現(xiàn)一個(gè)針對(duì)亞洲和歐洲政府機(jī)構(gòu)的APT攻擊。這個(gè)攻擊發(fā)起是通過一封定向釣魚郵件。郵件以中國(guó)國(guó)防部外事辦的名義發(fā)出，對(duì)特定受害人具有很強(qiáng)的誘惑力。#p#

APT威脅最新發(fā)展動(dòng)態(tài)

根據(jù)FireEye發(fā)布的《2012年下半年高級(jí)威脅分析報(bào)告》指出，約每三分鐘就會(huì)有一個(gè)組織或者單位遭受一次惡意代碼攻擊，特指帶有惡意附件、或者惡意WEB鏈接、或者CnC通訊的郵件；在所有遭受攻擊的企業(yè)和組織中，擁有核心關(guān)鍵技術(shù)的技術(shù)類企業(yè)占比最高；在定向釣魚郵件(spearphishingemail)中經(jīng)常使用通用的商業(yè)術(shù)語，具有很大的欺騙性;92%的攻擊郵件都使用zip格式的附件，剩下的格式還有pdf等。

另外，根據(jù)CN-CERT發(fā)布的《2012年我國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢(shì)綜述》顯示，2012年我國(guó)境內(nèi)至少有4.1萬余臺(tái)主機(jī)感染了具有APT特征的木馬程序。

分析以上APT攻擊事件，我們會(huì)發(fā)現(xiàn)：我們對(duì)跨年度的惡意代碼無法及時(shí)感知，傳統(tǒng)反病毒體系的獲取實(shí)時(shí)性遭到了挑戰(zhàn)；APT攻擊的攻擊范圍廣針對(duì)性強(qiáng)，它不僅僅局限于傳統(tǒng)的信息網(wǎng)絡(luò)，還會(huì)威脅工控系統(tǒng)、移動(dòng)終端等其它信息系統(tǒng)，針對(duì)如能源、軍工、金融、科研、大型制造、IT、政府、軍事等大型組織的重要資產(chǎn)發(fā)動(dòng)APT攻擊；APT威脅愈演愈烈，普遍存在且影響嚴(yán)重。隨著魚叉式釣魚攻擊、水坑攻擊等新型攻擊技術(shù)和攻擊手段的出現(xiàn)，對(duì)于APT攻擊的檢測(cè)和防范變得越發(fā)困難。

目前，電子數(shù)據(jù)信息對(duì)于國(guó)家、政府、企業(yè)的重要性與日俱增，對(duì)競(jìng)爭(zhēng)對(duì)手的意義也同樣重大，如果信息系統(tǒng)遭受APT攻擊，那么單位受到的影響也會(huì)日益嚴(yán)重。然而在APT時(shí)代，由于感知能力比較差，感知時(shí)間比較長(zhǎng)，基于事后簽名機(jī)制的傳統(tǒng)產(chǎn)品如IPS、IDS、殺毒軟件等，在面對(duì)APT攻擊時(shí)，這種事后簽名機(jī)制幾乎失效。與此同時(shí)APT攻擊針對(duì)性、隱蔽性又在不斷加強(qiáng)，攻擊者通過持續(xù)的攻擊，對(duì)信息系統(tǒng)的威脅仍在不斷加大。因此，加強(qiáng)APT攻擊防護(hù)任務(wù)艱巨。#p#

APT攻擊技術(shù)日益復(fù)雜

攻擊過程：APT攻擊一般可以劃分為4個(gè)階段，即搜索階段、進(jìn)入階段、滲透階段、收獲階段。

在搜索階段，APT攻擊的攻擊者會(huì)花費(fèi)大量的時(shí)間和精力用于搜索目標(biāo)系統(tǒng)的相關(guān)信息、制定周密的計(jì)劃、開發(fā)或購(gòu)買攻擊工具等，在進(jìn)入階段，攻擊者會(huì)進(jìn)行間斷性的攻擊嘗試，直到找到突破口，控制企業(yè)內(nèi)網(wǎng)的第一臺(tái)計(jì)算機(jī)，隨后進(jìn)入滲透階段，攻擊者利用已經(jīng)控制的計(jì)算機(jī)作為跳板，通過遠(yuǎn)程控制，對(duì)企業(yè)內(nèi)網(wǎng)進(jìn)行滲透，尋找有價(jià)值的數(shù)據(jù)，最后，攻擊者會(huì)構(gòu)建一條隱蔽的數(shù)據(jù)傳輸通道，將已經(jīng)獲取的機(jī)密數(shù)據(jù)傳送出來。

這里需要強(qiáng)調(diào)一點(diǎn)，APT攻擊的發(fā)起者與普通攻擊者相比有所不同，只要不被發(fā)現(xiàn)，攻擊行為往往不會(huì)停止，并持續(xù)的嘗試竊取新的敏感數(shù)據(jù)與機(jī)密信息。

攻擊手段：APT攻擊是攻擊者利用多種攻擊技術(shù)、攻擊手段，同時(shí)結(jié)合社會(huì)工程學(xué)的知識(shí)實(shí)施的復(fù)雜的、持續(xù)的、目標(biāo)明確的網(wǎng)絡(luò)攻擊，這些攻擊技術(shù)和攻擊手段包括sql注入攻擊、XSS跨站腳本、0Day漏洞利用、特種木馬等。

近幾年，APT攻擊技術(shù)更加復(fù)雜、攻擊手段更加隱蔽，而且攻擊已經(jīng)不局限于傳統(tǒng)的信息系統(tǒng)，而是逐漸把目標(biāo)擴(kuò)散到工業(yè)控制等系統(tǒng)，例如針對(duì)工業(yè)控制系統(tǒng)編寫的破壞性病毒stuxnet、duqu。#p#

APT攻擊防御手段需持續(xù)改進(jìn)

傳統(tǒng)的檢測(cè)手段在應(yīng)對(duì)APT攻擊時(shí)已顯得力不從心。因?yàn)閭鹘y(tǒng)的檢測(cè)手段主要針對(duì)已知的威脅，對(duì)于未知的漏洞利用、木馬程序、攻擊手法，無法進(jìn)行檢測(cè)和定位，并且很多企業(yè)因?yàn)槿鄙賹I(yè)的安全服務(wù)團(tuán)隊(duì)，無法對(duì)檢測(cè)設(shè)備的告警信息進(jìn)行關(guān)聯(lián)分析。目前，在APT攻擊的檢測(cè)和防御上，主要有如下幾種思路：

◆惡意代碼檢測(cè)：在互聯(lián)網(wǎng)入口點(diǎn)對(duì)Web、郵件、文件共享等可能攜帶的惡意代碼進(jìn)行檢測(cè)。

◆數(shù)據(jù)防泄密：在主機(jī)上部署DLP產(chǎn)品，APT攻擊目標(biāo)是有價(jià)值的數(shù)據(jù)信息，防止敏感信息的外傳也是防御APT攻擊的方法之一。

◆網(wǎng)絡(luò)入侵檢測(cè)：在網(wǎng)絡(luò)層對(duì)APT攻擊的行為進(jìn)行檢測(cè)、分析，例如網(wǎng)絡(luò)入侵檢測(cè)類產(chǎn)品。

◆大數(shù)據(jù)分析：全面采集網(wǎng)絡(luò)中的各種數(shù)據(jù)(原始的網(wǎng)絡(luò)數(shù)據(jù)包、業(yè)務(wù)和安全日志)，形成大數(shù)據(jù)，采用大數(shù)據(jù)分析技術(shù)和智能分析算法來檢測(cè)APT，可以覆蓋APT攻擊的各個(gè)階段。

上述的防御方式各有各自的特點(diǎn)，惡意代碼檢測(cè)產(chǎn)品通常部署在互聯(lián)網(wǎng)入口點(diǎn)，可以在APT攻擊的初始階段對(duì)攻擊進(jìn)行檢測(cè)、發(fā)現(xiàn)，例如可以抓取攜帶后門程序、異常代碼的word文件、pdf文件等等;網(wǎng)絡(luò)入侵檢測(cè)可以在網(wǎng)路層對(duì)APT攻擊行為進(jìn)行檢測(cè)，如果攻擊者通過跳板對(duì)內(nèi)網(wǎng)進(jìn)行滲透攻擊，網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)可以進(jìn)行預(yù)警、定位;數(shù)據(jù)防泄密可以防止APT攻擊者將計(jì)算機(jī)中的敏感數(shù)據(jù)外傳，可以有效降低攻擊行為所造成的損失;大數(shù)據(jù)分析的檢測(cè)比較全面，可以覆蓋APT攻擊的各個(gè)環(huán)節(jié)。

但是，啟明星辰ADLab副總監(jiān)楊紅光認(rèn)為：“雖然每種防御方式針對(duì)APT攻擊的各個(gè)階段進(jìn)行檢測(cè)，但是由于APT攻擊的復(fù)雜性、隱蔽性，不排除有漏報(bào)或誤報(bào)的可能，所以APT攻擊的檢測(cè)和防御產(chǎn)品同樣需要跟隨信息安全的發(fā)展動(dòng)態(tài)，持續(xù)的進(jìn)行改進(jìn)。”

因此，他建議在不能完全擋住APT攻擊的情況下，組織要將APT攻擊危害降到最小，就需要做到以下幾點(diǎn)：

要有APT攻擊檢測(cè)和防御的手段，可以通過安全檢測(cè)產(chǎn)品，由專業(yè)的安全服務(wù)人員進(jìn)行運(yùn)維、分析，及時(shí)發(fā)現(xiàn)、處置攻擊事件。

要定期的組織信息安全培訓(xùn)，警惕攻擊者結(jié)合社會(huì)工程學(xué)進(jìn)行欺騙攻擊。

要加強(qiáng)對(duì)重要信息資產(chǎn)的保護(hù)，從訪問控制、用戶權(quán)限、安全審計(jì)等等層面對(duì)控制措施和手段進(jìn)行優(yōu)化和加強(qiáng)。

針對(duì)APT攻擊，很多安全廠商都推出了相關(guān)的安全防護(hù)產(chǎn)品及解決方案。楊紅光表示，針對(duì)APT攻擊，啟明星辰公司為用戶提供了專業(yè)的安全產(chǎn)品以及專業(yè)的安全服務(wù)。啟明星辰依托惡意代碼檢測(cè)引擎、網(wǎng)絡(luò)入侵檢測(cè)引擎、蜜罐系統(tǒng)、Armin大數(shù)據(jù)分析系統(tǒng)等安全產(chǎn)品實(shí)現(xiàn)對(duì)用戶信息系統(tǒng)的安全監(jiān)測(cè)，然后由其安全服務(wù)團(tuán)隊(duì)積極防御實(shí)驗(yàn)室（ADLab）的安全服務(wù)專家對(duì)APT攻擊進(jìn)行分析、跟蹤，幫助用戶及時(shí)處理APT攻擊事件。