網(wǎng)絡(luò)威脅格局已經(jīng)改變。我們以前面對的是傳統(tǒng)意義上的黑客，從系統(tǒng)探險者到腳本小子，腳本小子使用的是新型自動化利用工具，即通過利用黑客技術(shù)知識并將其封裝開發(fā)而來的工具。在這個背景下還潛伏著地下組織和其他犯罪類型，只要有足夠的時間，他們能夠竊取到任何內(nèi)容。

這些早期罪犯的作案手法與現(xiàn)在很多企業(yè)所遇到的情況沒有太多不同。這涉及網(wǎng)絡(luò)釣魚活動，試圖誘騙人們登錄到自己的網(wǎng)上銀行賬戶，并在此過程中，泄露其登錄憑證。攻擊者還開發(fā)了病毒和僵尸程序來提供對受害者電腦的遠(yuǎn)程訪問和管理工具，允許僵尸程序主人獲取受害者的所有數(shù)據(jù)?，F(xiàn)在國家情報部門開始利用這些早期罪犯開發(fā)的這些工具，以使用互聯(lián)網(wǎng)作為提高其情報收集能力的渠道。

在過去沒有什么像這樣發(fā)生得如此之快，或者具有這么深遠(yuǎn)的影響和依存關(guān)系。關(guān)鍵網(wǎng)絡(luò)、公共事業(yè)和其他基礎(chǔ)設(shè)施都與企業(yè)及政府的網(wǎng)絡(luò)交織在一起，并且，我們構(gòu)建、設(shè)計和制造的一切事物都在互聯(lián)網(wǎng)上。如果互聯(lián)網(wǎng)停止運(yùn)行，全球經(jīng)濟(jì)將會崩潰。從這點(diǎn)來看，這又引出了國家安全問題。各國政府已經(jīng)意識到在電磁領(lǐng)域具有防御和進(jìn)攻能力的戰(zhàn)略性和戰(zhàn)術(shù)性優(yōu)勢。

這種模式的轉(zhuǎn)變?yōu)楦呒壘W(wǎng)絡(luò)威脅奠定了基礎(chǔ)?；诰W(wǎng)絡(luò)罪犯的早期技術(shù)，很多國家的安全服務(wù)已經(jīng)具有為其國家利益進(jìn)行攻擊和竊取的能力。隨著這些組織被其政府要求獲取情報信息，全新類型的“威脅”出現(xiàn)在網(wǎng)絡(luò)中。

2006年美國空軍上校Greg Rattray創(chuàng)造的高級持續(xù)威脅(APT)術(shù)語描述了自20世紀(jì)90年代末和21世紀(jì)初在政府網(wǎng)絡(luò)中發(fā)現(xiàn)的強(qiáng)大的網(wǎng)絡(luò)攻擊。對于美國政府而言，APT就是中國；而對于中國來說，APT則是美國。這始終是個角度問題。#p#

情報收集方法

APT攻擊如何發(fā)生以及原因?想要了解APT攻擊的構(gòu)造和生理機(jī)能，我們需要知道世界各地安全機(jī)構(gòu)使用的情報收集方法。所有這些機(jī)構(gòu)(包括美國中情局、軍情六處和俄羅斯聯(lián)邦安全局)有著管理程序來接收政府的情報產(chǎn)品和信息請求。他們會優(yōu)先這些請求，并傳遞到各個部門或者組織，然后這些組織負(fù)責(zé)獲取信息或產(chǎn)品。

請求可能從何而來?例如，內(nèi)部收集周期可能源自于參加巴黎航展的商務(wù)代表團(tuán)，在這個重要活動中，數(shù)以百計的航空航天和國防公司會展示其產(chǎn)品和創(chuàng)新。該代表團(tuán)(其中包括情報人員)拿著“購物清單”，花很長時間來尋找特定技術(shù)和系統(tǒng)。他們可能會發(fā)現(xiàn)一家國防承包商在“禁止的”國家出售新的創(chuàng)新雷達(dá)系統(tǒng)，而該制造商出售該技術(shù)給代表團(tuán)屬于違法行為，所以他們不能簡單地購買技術(shù)并進(jìn)行逆向工程。于是，該代表團(tuán)會拍攝銷售展示的照片，并盡可能獲取信息。當(dāng)該代表團(tuán)回國后，他們會將對這個雷達(dá)技術(shù)的情報或收集的正式請求提交給其國家的情報機(jī)構(gòu)。該情報請求會被優(yōu)先處理，當(dāng)執(zhí)行該請求時，它會被分配到網(wǎng)絡(luò)情報部門，該部門的專長是獲取他人網(wǎng)絡(luò)的訪問權(quán)，以獲取非常具體的信息。

APT是在美國中情局網(wǎng)站上介紹的經(jīng)典情報周期的收集部分：

· 規(guī)劃與方向

· 收集

· 處理

· 分析和生產(chǎn)

· 傳播

接著，有針對性的APT“活動”開始了。在這種情況下，這是A國的軍事部門向其情報部門發(fā)出的情報請求，其目的是找出在B國生產(chǎn)的雷達(dá)系統(tǒng)的所有信息。

該情報部門或其承包商首先會對目標(biāo)組織進(jìn)行全面的搜索。這種信息搜索包括關(guān)于該公司的基本信息，例如設(shè)施的物理位置;企業(yè)和供應(yīng)鏈關(guān)系;合同、產(chǎn)品和服務(wù);領(lǐng)導(dǎo)層和董事會;申請報告和財務(wù)報告;及其是否為上市公司。

該組織還會著眼于該公司的互聯(lián)網(wǎng)足跡：

· 域名、DNS記錄、MX郵件記錄

· 注冊的IP范圍以及該信息的掃描

· 電子郵件命名約定(名字.姓氏@公司.com)

· 電信關(guān)系以及主機(jī)托管的使用

· 云使用

· 面向公眾的服務(wù)或網(wǎng)站

· 雙因素身份驗(yàn)證的使用

他們將會建立對具體部門或計劃內(nèi)或領(lǐng)導(dǎo)層或企業(yè)共享服務(wù)內(nèi)的員工的信息檔案。這些信息的收集來自于LinkedIn和Facebook搜索、學(xué)術(shù)論文、公共網(wǎng)站、公開演講記錄以及行業(yè)協(xié)會和論壇等。在編譯好這些數(shù)據(jù)后，他們將會制定行動計劃來滲透網(wǎng)絡(luò)一集竊取目標(biāo)的信息。

APT活動的進(jìn)攻方面是從攻擊者執(zhí)行其計劃開始。在這個例子中，最開始是通過社會工程。在確定生產(chǎn)目標(biāo)數(shù)據(jù)的設(shè)施的物理位置后，APT在社交媒體撒網(wǎng)來“鏈接”與該項(xiàng)目有關(guān)或者接近該項(xiàng)目的個人--基于他們的LinkedIn資料。攻擊者創(chuàng)建虛假的人物角色，使用LinkedIn、Facebok頁面和其他社交媒體。然后他們試圖與這些個人“交朋友”以發(fā)現(xiàn)電子郵件地址(工作和個人郵箱)、其他朋友或關(guān)聯(lián)、地址、他們擁有的技能以及他們從事的其他項(xiàng)目。

根據(jù)這些社交媒體信息，APT創(chuàng)建了目標(biāo)人物清單，這些人與目標(biāo)項(xiàng)目有著直接或間接的關(guān)系，或者能夠間接參與到項(xiàng)目，或者為目標(biāo)提供下一步信息。這個社會工程學(xué)確定了魚叉式釣魚攻擊活動的目標(biāo)。幾乎所有APT攻擊都包括某種形式的魚叉式釣魚攻擊，或者使用惡意信息，其目的是感染受害者的計算機(jī)。#p#

APT工具集

APT為了執(zhí)行這些活動，他們需要準(zhǔn)備基礎(chǔ)設(shè)施和工具。大型APT活動有來自國家政府的大量資助，用于研發(fā)工作，例如針對大多數(shù)商業(yè)安全工具創(chuàng)建漏洞利用或測試代碼。APT工具集通常包括以下：

云服務(wù)提供商出租的命令控制(C2)計算機(jī)主機(jī)，或者作為C2主機(jī)的目的而被感染的主機(jī)。這些主機(jī)會間接與攻擊者通信。使用由A國政府擁有的C2主機(jī)，或者間接與A國通信的C2主機(jī)，都不是明智的做法。相反，這些主機(jī)應(yīng)該通過主機(jī)層和代理服務(wù)器進(jìn)行通信，以掩蓋流量的目的地。通過這些C2主機(jī)網(wǎng)絡(luò)，惡意軟件通過魚叉式釣魚攻擊進(jìn)行通信，以建立通道到受感染主機(jī)，然后下載工具集和遠(yuǎn)程管理工具(RAT)。

· 包含水坑或路過式漏洞利用(電子郵件中網(wǎng)址鏈接到的地方)的網(wǎng)站，可感染主機(jī)

· 用于保存滲出數(shù)據(jù)的互聯(lián)網(wǎng)文件共享，這些文件共享可能包括Google Docs或者Dropbox賬戶。

· 廣泛的惡意軟件庫，以在網(wǎng)絡(luò)獲取立足點(diǎn)來下載RAT和工具集。該惡意軟件將會嘗試?yán)媒闳栈蛄闳章┒?。零日漏洞通常用于高價值目標(biāo)，因?yàn)楫?dāng)這些漏洞在互聯(lián)網(wǎng)時，可能會開發(fā)補(bǔ)丁和簽名。

· 在域名和主機(jī)配置方面具有豐富技能的Windows管理員。這些技術(shù)人員將會推動受感染主機(jī)繼續(xù)在被感染網(wǎng)絡(luò)獲取主機(jī)，找到數(shù)據(jù)并滲出數(shù)據(jù)。

基于對目標(biāo)最初的搜索，該活動的模板被選定為從目標(biāo)獲取數(shù)據(jù)。這些模板或者運(yùn)作模式是基于目標(biāo)公司部署的技術(shù)、目標(biāo)的網(wǎng)絡(luò)安全狀況以及目標(biāo)的價值。

在模板被選定和批準(zhǔn)后，資源也準(zhǔn)備就緒，魚叉式釣魚電子郵件被發(fā)送到目標(biāo)。郵件被發(fā)送，并隱藏在目標(biāo)的防火墻背后。如果惡意軟件信標(biāo)進(jìn)入C2主機(jī)(其地址在利用代碼中)，就會成功。

幾年前，大多數(shù)公司對這種威脅都手足無措，攻擊者很容易得手。這些早期攻擊活動的作案手法還在延續(xù)，并根據(jù)防御的改進(jìn)作出了調(diào)整。隨著大家對APT認(rèn)識的提高，針對它的主動防御也在提高，這意味著，APT操作者需要調(diào)整其MO來抵御企業(yè)部署的新興防御技術(shù)。#p#

主動防御

了解了APT操作者如何攻擊可以幫助企業(yè)構(gòu)建抵御APT的主動防御。傳統(tǒng)基于簽名的防火墻和IDS無法對抗APT攻擊。APT操作者具有所有商業(yè)安全設(shè)備和軟件的副本，并構(gòu)建其模板來輕松抵御防病毒和反惡意軟件工具等系統(tǒng)。

這里還有一些方法來防止APT攻擊：

使用威脅情報。這包括APT操作者的最新信息;從分析惡意軟件獲取的威脅情報;已知的C2網(wǎng)站;已知的不良域名、電子郵件地址、惡意電子郵件附件、電子郵件主題行;以及惡意鏈接和網(wǎng)站。威脅情報在進(jìn)行商業(yè)銷售，并由行業(yè)網(wǎng)絡(luò)安全組共享。企業(yè)必須確保情報的相關(guān)性和及時性。威脅情報被用來建立“絆網(wǎng)”來提醒你網(wǎng)絡(luò)中的活動。

建立強(qiáng)大的出口規(guī)則。除網(wǎng)絡(luò)流量(必須通過代理服務(wù)器)外，阻止企業(yè)的所有出站流量，阻止所有數(shù)據(jù)共享、誒網(wǎng)站和未分類網(wǎng)站。阻止SSH、FTP、Telnet或其他端口和協(xié)議離開網(wǎng)絡(luò)。這可以打破惡意軟件到C2主機(jī)的通信信道，阻止未經(jīng)授權(quán)的數(shù)據(jù)滲出網(wǎng)絡(luò)。

收集強(qiáng)大的日志分析。企業(yè)應(yīng)該收集和分析對關(guān)鍵網(wǎng)絡(luò)和主機(jī)的詳細(xì)日志記錄以檢查異常行為。日志應(yīng)保留一段時間以便進(jìn)行調(diào)查。還應(yīng)該建立與威脅情報匹配的警報。

聘請安全分析師。安全分析師的作用是配合威脅情報、日志分析以及提醒對APT的積極防御。這個職位的關(guān)鍵是經(jīng)驗(yàn)。

你的企業(yè)是否面臨APT威脅?你的公司是否存在吸引APT攻擊者愿意花時間和金錢試圖竊取的東西?企業(yè)可以詢問美國聯(lián)邦調(diào)查局他們是否可能受到APT攻擊。如果答案是否定的，那么，花錢在抵御APT的防御工作并不是很好的投資。但可能成為潛在“目標(biāo)”的企業(yè)必須考慮進(jìn)行防御。