高持續(xù)性威脅攻擊者可能已經(jīng)滲透到你的網(wǎng)絡：這是安全領(lǐng)域的新現(xiàn)象，并不罕見，但是你應該做些什么呢？這是超越傳統(tǒng)思維定勢（只考慮預防方面的問題）的問題，“我們正試圖幫助人們從入侵防御轉(zhuǎn)移到感染后檢測和減小損害的工作上！”Fidelis公司的研究主管Will Irace表示。

攻擊者已經(jīng)入侵了你的網(wǎng)絡內(nèi)部可能讓你感染，這讓你有些不安，甚至震驚，但是事實上，這些網(wǎng)絡間諜攻擊已經(jīng)從軍事/國防部問題演變成困擾各行各業(yè)的問題。“在此之前，高級持續(xù)攻擊首先是針對軍事部門，接著是政府職能部門，然后是國防工業(yè)基地，我們看到相同的攻擊形式不斷地擴大他們的目標范圍，甚至到石油和天然氣、醫(yī)藥和其他領(lǐng)域的商業(yè)企業(yè)，”Mandiant公司首席安全官兼管理服務副總裁Richard Bejtlich表示，“這對于我來說是相當驚人的，他們現(xiàn)在的目標如此之廣。”

Bejtlich表示，盡管這些攻擊具有持續(xù)性和經(jīng)常性，但我相信受害企業(yè)最終能夠增強抵御。“這是第一次大家面對這種攻擊，有人跟蹤你，他們不會放棄，他們會不斷試圖進入你的企業(yè)，這對于大多數(shù)人來說都是前所未聞，”他表示，“可能需要花幾年時間，但在受害企業(yè)抵御這些有針對攻擊方面，我相信我們最終將看到改善。”

對于這些攻擊，鮮少有受害者會公開披露自己受到攻擊。在過去幾個月中，網(wǎng)絡間諜活動攻擊開始瞄準多個聯(lián)邦文職政府機構(gòu)的高級官員，這些攻擊活動仍然處于調(diào)查之中，但是受害機構(gòu)的名稱可能永遠無法證實，或者說所產(chǎn)生的損害程度永遠不得而知。攻擊者使用了復雜的惡意軟件和SSL加密連接來從該政府機構(gòu)來竊取信息，并將信息發(fā)送回他們的主服務器。

我們的目標是盡快檢測出這些攻擊類型，并盡量減少你的知識產(chǎn)權(quán)信息或者商業(yè)機密的泄露數(shù)量或者損失，例如“如何在幾小時或者幾天內(nèi)檢測到他們?”RSA首席安全官Eddie Schwartz表示，“這需要訪問所有與這個安全問題相關(guān)的潛在數(shù)據(jù)。”

Schwartz表示，與傳統(tǒng)安全事件不同，對于高級持續(xù)攻擊，你無法從單個日志或者防火墻事件上來作出決定。“一名最終用戶訪問了他正常情況下不需要訪問的系統(tǒng)，”這就屬于一種有針對性的攻擊。

“對于高級持續(xù)性攻擊，你需要問，‘這是否屬于某種整體攻擊的一部分，還有另外10到12個移動部分需要追蹤?’”他表示。

但是這種攻擊類型很難檢測，很多企業(yè)仍然僅依賴于以預防為主的工具，例如基于簽名的技術(shù)和防火墻。高級持續(xù)攻擊者更傾向于零日漏洞，或者利用目標公司基礎(chǔ)設施存在的問題。在大多數(shù)情況下，第一步都是對毫無戒心的用戶使用社會工程學攻擊，通常是通過看起來像是從用戶熟知的人發(fā)來的電子郵件消息，郵件信息包含惡意附件或者網(wǎng)址，一旦打開，就會為攻擊者提供立足點。

安全專家表示，抵御高級持續(xù)攻擊者的理想防御方法是結(jié)合傳統(tǒng)的防御工具和對網(wǎng)絡和系統(tǒng)的實時監(jiān)測。但是現(xiàn)在市面上很多工具都是針對基礎(chǔ)設施的不同部分，縱觀所有事件和日志往往是需要手動來操作。這就給了攻擊者更多時間和機會來深入受害者組織，這樣就更難將他們根除。

底線：專家表示，在抵御這些有針對性攻擊方面，現(xiàn)在市面上并不存在“萬能藥”。

“企業(yè)部署的大多數(shù)監(jiān)測工具都缺乏挖掘內(nèi)容與上下文之間存在的重要信息的能力，或者只是一個滲出：加密數(shù)據(jù)偽裝成數(shù)據(jù)?在發(fā)送到人力資源部的壓縮文件的微軟Office文件中是否存在惡意VBscript？”Fidelis公司的Irace表示，“ 在事故發(fā)生的十天后，通過取證數(shù)據(jù)包分析發(fā)現(xiàn)這個問題并不能夠幫助發(fā)現(xiàn)高級持續(xù)攻擊者：我們需要能夠?qū)崟r發(fā)現(xiàn)并解決這種問題的技術(shù)。”

網(wǎng)絡行為異常監(jiān)測工具可以幫上忙，但是對于內(nèi)容就無能為力了。入侵防御系統(tǒng)可以發(fā)現(xiàn)一些情況，但是并不會檢查負載。“此外，這些工具是為抵御服務器上的數(shù)據(jù)包攻擊而設計的，而不是針對客戶端的基于負載的攻擊。沙盒技術(shù)有助于事后檢查，但是它并不提供實時保護，”Irace表示。

數(shù)據(jù)包捕獲工具對事后檢查又幫助，但是與沙盒技術(shù)一樣，無法提供實時幫助。

黑名單盒白名單防御

已知的黑名單或者最近發(fā)現(xiàn)的命令和控制域名可以幫助抓住高級持續(xù)攻擊，“第一個增長最快的就是信標檢測，IPS和IDS可以使用，”IT-Harvest的首席研究分析師Richard Stiennon表示，“但是可怕的是當攻擊者設置一個從未使用過的新的ip地址和新的服務器時，你無法通過信標檢測，”他表示。

“最大的擔憂就是1%非常有針對性的攻擊你沒有檢測到，”Stiennon表示。

白名單可以幫助平息有針對性的攻擊，他表示。對白名單的批評就是很多企業(yè)并不一定知道在他們系統(tǒng)上運行的所有應用程序，但是新一代白名單產(chǎn)品能夠識別這些應用程序。

T-Mobile公司首席信息安全官Bill Boni表示，安全專家必須現(xiàn)實地面對這個威脅，這意味著評估如何管理數(shù)據(jù)泄漏如何遏制這種攻擊。

你能夠檢測到高級持續(xù)攻擊滲透并不意味著你就能夠抓住真正的的攻擊者，或者說能夠找到多有數(shù)據(jù)泄露的證據(jù)，“你最重要的資源時什么?我們?nèi)绾未_保我們部署了訪問控制、日志記錄和監(jiān)測，以及對滲出的控制?”他表示。

“我們知道安全一直都有點軍備競賽的意味。我們所面臨的挑戰(zhàn)是確保你的企業(yè)處于競賽之中，”Boni表示，“五年前必要的安全技術(shù)：防火墻、殺毒軟件和入侵防御仍然都是必要的，但是并不足以抵抗目前針對企業(yè)的攻擊。你需要不斷升級你的工具來跟上新威脅的步伐。”

即使你結(jié)合了安全和監(jiān)測工具的最佳組合，也永遠不要低估高級持續(xù)攻擊的危害。這種攻擊通常是資金充足、由民族國家集團發(fā)起的，他們想要從受害者獲取盡可能多的信息，或者處于金錢或者競爭力的驅(qū)使。“你不會知道攻擊者是如何規(guī)避你的防御，”RSA的Schwartz表示，“你必須假設他們擁有與你相當?shù)馁Y源，并且他們具有創(chuàng)造性和專業(yè)技能。”