最新病毒库日期:
  • 两招抵御APT攻击
2017-06-13 10:09 来源:未知
【文章摘要】APT攻击作为一种复杂且多方位的攻击,对于企业的安全保障构成了极大的风险。尽管很多全球化企业在安全控管上都投入了庞大的资源,但是APT攻击仍然渗透进这些企业,并使韩国金融
       APT攻击作为一种复杂且多方位的攻击,对于企业的安全保障构成了极大的风险。尽管很多全球化企业在安全控管上都投入了庞大的资源,但是APT攻击仍然渗透进这些企业,并使韩国金融企业、Adobe等遭遇了重大损失。这些事件都向我们警示了APT攻击的复杂性与巨大破坏性,并敦促我们尽快采取相应防范措施。当前,APT(Advanced Persistent Threat,高级持续性威胁)攻击事件此起彼伏,从针对乌克兰国家电网的网络攻击事件,到孟加拉国央行被黑客攻击导致8100万元美元被窃取,APT攻击已经达到无孔不入的地步。那么什么是APT,又该如何进行防御?
      APT已成网络安全巨大威胁
      以伊朗核设施被震网病毒攻击案例为例,早在05年某超级大国就通过各种手段突破伊朗核设施的层层防护,将病毒植入其中。震网病毒造成伊朗1/5的离心机报废,直到2012年因为在一个U盘中发现了震网病毒才彻底解决掉这个问题。整整7年,伊朗都没搞明白到底自己的离心机各种出状况是为什么。
      从APT名字中的高级和持续性这两个单词中就能明白APT同一般的攻击手法不是一个段位。对企业的管理者和CSO们而言,高级可持续性威胁(APT)是他们的噩梦。对于APT攻击,企业很难做到阻止,应对这种攻击通常需要明确的响应和恢复计划,这样做的目的是减少损害和损失。因为一旦发现APT活动,这通常意味着已经为时已晚。那么究竟该如何预防APT攻击呢?笔者认为下面的两点最为关键。
      第一、如何发现及判定APT
      近年来,有组织的APT攻击愈发呈现出隐蔽性与多样化,并且往往针对商业和政治目标展开长期的经营与策划。不过一旦得手,其影响则是巨大而深远的。因此,APT攻击的特点是不会追求短期经济收益或简单的系统破坏,却会专注于步步为营的系统入侵,每一步都要达到一个目标,而不做其他多余的事来打草惊蛇。
      正是由于APT攻击针对性强、隐蔽性高、代码复杂度高等特点,传统的安全防御手段往往应对乏力,而受到攻击的个人或机构更是无法进行有效判定,成为APT攻击屡屡得手的关键原因。
      江民大数据APT检测防御系统对网络环境进行实时监控,集成了下一代入侵检测、BDE引擎及SDE引擎,模拟多种仿真环境,对行为异常、流量异常的用户进行动态分析及关联分析,当恶意程序在试图网络中传播感染其它用户时,它们就会被发现并标记,其中就包括向外界传送信息或从恶意的来源接收命令的隐藏型恶意软件。
      事实上,任何静态的防御技术对于APT攻击来说都是基本无效的。因为APT攻击面往往很小,单纯依靠本地数据监测,无法进行有效判定。对此,企事业单位急需革新传统的、孤立的安全理念与防护手段,建立全新的技术体系来应对APT引发的挑战。而安全厂商则应从中起到引导和带头作用,协助企业建立轻量级的大数据安全平台,通过收集企业内部各类安全数据展开关联分析,结合多源头的可机读威胁情报应用,沙箱动态行为发现,以及关联引擎分析等多维度方法,来实现对高级威胁的判定。
      第二,如何防御APT
      APT高级持续性威胁具有目标明确、手段组合、持续时间长、难以检测等特征,传统基于特征检测的安全技术在检测和防御APT方面效果很不理想,因此需要采用更全面、更先进的新一代安全检测技术,并通过大数据平台对各种网络数据、环境数据、主机数据及威胁情报数据进行长时间、大范围的关联分析,才能有效对抗APT高级持续性威胁。
不过面对不易察觉的APT攻击,应该从分析大量攻防基础数据入手,逐步对APT攻击链进行识别,深度掌握攻击方的各种攻击链、攻击手法、攻击工具和策略等等,总结出攻击模型,便于开展有效的全面协同与主动防御。
      典型的APT攻击链主要包括扫描探测、工具投送、漏洞利用、木马下载、远程控制、横向渗透、目标行动等七个阶段。针对APT攻击链的每个阶段,需要采用多种不同的检测技术,包括基于机器学习/深度学习的网络异常行为/异常流量检测、下一代网络入侵检测、已知网络病毒/木马多引擎交叉检测、威胁变种基因图谱检测及未知威胁沙箱行为检测等多种检测技术,并通过大数据技术实现对整个APT攻击链的全面关联分析。
      通过对内网系统流量的动态监测,全系统日志的综合分析,联网设备的实时监控,以及不同品类安全产品运维数据的综合分析处理,真正意义上帮助用户拥有在数分钟内发现并追踪APT攻击源头能力,解决传统技术无法识别或是需要数日时间才能进行预警的被动局面。
      可以预见,未来几年针对能源、交通、制造、金融、通信等领域的基础设施,以及特定高价值人群或个体为目标的APT攻击仍会持续增加。而通过“快速发现+有效处置”这两招,或将最终能够实现对APT攻击的成功抵御。