在過去的20多年里，攻與防的較量始終沒有停息，信息終端所面臨的風(fēng)險也從單純的病毒破壞發(fā)展到木馬、間諜軟件等帶有明確的利益驅(qū)動的行為。而APT(Advanced Persistent Threat，高級可持續(xù)性威脅)攻擊作為目前攻擊類型中最高端的攻擊模式，以及在全球多個國家的政府和企業(yè)中發(fā)生的眾多攻擊實例被頻繁討論。

“APT是結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式。原來的APT攻擊主要是以軍事、政府和比較關(guān)鍵性的基礎(chǔ)設(shè)施為目標(biāo)，而現(xiàn)在已經(jīng)更多的轉(zhuǎn)向商用和民用領(lǐng)域的攻擊。它的目標(biāo)不僅僅是得到情報，而是通過攻擊來獲利。”EMC信息安全事業(yè)部RSA產(chǎn)品管理經(jīng)理Israel Aloni在接受ZDNet記者采訪時表示。

[[67792]] 
EMC信息安全事業(yè)部RSA產(chǎn)品管理經(jīng)理Israel Aloni

APT以人為目標(biāo)尋找攻擊薄弱點

在解釋APT典型的攻擊步驟時，Aloni告訴記者，攻擊者首先找出它們所需要的訪問權(quán)限的個人，然后發(fā)送偽造的帶有惡意鏈接或附件的電子郵件，感染特定的、高價值員工的機器。一旦進(jìn)入，攻擊者映射出公司的IT環(huán)境以確定戰(zhàn)略資產(chǎn)、特權(quán)節(jié)點和具備更多有用權(quán)限的員工。隨后攻擊者通過其他釣魚方式或通過解密系統(tǒng)管理員的憑證來提升權(quán)限，接著安裝惡意軟件來劫持系統(tǒng)，創(chuàng)建后門，建立“后背連接”功能與指揮和控制服務(wù)器通訊。最后，攻擊者激活指揮和控制設(shè)施竊取、加密、壓縮和傳輸信息。

Aloni列舉了幾個APT攻擊的案例，某國際航天集團(tuán)的員工在企業(yè)中的信息被黑客攻陷。通過鏈入社交網(wǎng)站，發(fā)現(xiàn)這個人的相關(guān)信息，再給他發(fā)送長矛式釣魚郵件，進(jìn)入他的信息系統(tǒng)。利用這個記錄點，進(jìn)入企業(yè)系統(tǒng)，發(fā)現(xiàn)企業(yè)系統(tǒng)的零日漏洞，利用漏洞使機器感染惡意軟件，而這些惡意軟件可以發(fā)現(xiàn)企業(yè)內(nèi)部到底哪里會有重要的數(shù)字資產(chǎn)。借此進(jìn)入運營中心，攻擊者持續(xù)對其他員工和網(wǎng)絡(luò)進(jìn)行攻擊，最終發(fā)現(xiàn)并獲取最有價值的數(shù)據(jù)。

在以色列的反網(wǎng)絡(luò)欺詐中心發(fā)現(xiàn)，有些黑客攻擊了股票交易所。但其目的并不是要做股票交易，而是通過APT攻擊了解貿(mào)易雙方進(jìn)行交易的人，通過長矛釣魚攻擊，從而獲取更有價值的信息。實際上攻擊者不僅僅是想獲得財務(wù)回報，還想得到知識產(chǎn)權(quán)、客戶數(shù)據(jù)庫等等，這些他都認(rèn)為是高價值的資產(chǎn)。

所以，從APT典型的攻擊步驟和幾個案例來看，APT不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開始找薄弱點。APT的攻擊是針對一些高價值的信息，利用所有的網(wǎng)絡(luò)攻擊模式，持續(xù)瞄準(zhǔn)目標(biāo)以達(dá)到目的。Aloni指出，由于APT攻擊以人為目標(biāo)，它的攻擊模式發(fā)生重大轉(zhuǎn)變。以往的防病毒、防入侵檢測主要目的是監(jiān)測系統(tǒng)，它對應(yīng)對新型攻擊的作用有待商榷，要采用新的安全策略予以應(yīng)對。

從發(fā)現(xiàn)、大數(shù)據(jù)分析到響應(yīng)形成閉環(huán)系統(tǒng)

因為APT攻擊以找到企業(yè)最薄弱的環(huán)節(jié)——人為跳板，所以企業(yè)需要教育員工，告訴員工不要隨意打開你不熟悉的軟件或者做違背公司規(guī)定的操作。Aloni強調(diào)，但企業(yè)自身的防范系統(tǒng)最重要。

根據(jù)歷史數(shù)據(jù)，大部分APT都是未被發(fā)現(xiàn)的，只有10%是被企業(yè)發(fā)現(xiàn)的，而90%是被外人告知的。所以企業(yè)首先要通過更加智能的工具及時發(fā)現(xiàn)這種攻擊，提升發(fā)現(xiàn)APT攻擊的能力。

其次，企業(yè)需要對大數(shù)據(jù)進(jìn)行分析，以強大的調(diào)查平臺，在大量的數(shù)據(jù)中發(fā)現(xiàn)蛛絲馬跡。通過數(shù)據(jù)分析引擎，對工作流程進(jìn)行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析。Aloni指出，以前的問題在于所有的信息都分布在企業(yè)不同的地方，對于調(diào)查取證非常困難，所以很難發(fā)現(xiàn)這樣的攻擊。而系統(tǒng)如果可以快速搜集這些信息，進(jìn)行關(guān)聯(lián)性分析就能很快發(fā)現(xiàn)這種攻擊。同時這套系統(tǒng)還要具備智能性，了解員工的行為信息，這是一種對使用情景的識別，圍繞流程或者行為，把這些信息收集起來進(jìn)行識別。同時，還需要對外部、第三方提供的攻擊代碼模式智能感知。

在身份認(rèn)證的層面上，要以風(fēng)險為導(dǎo)向，因為原來的靜態(tài)密碼已經(jīng)不能保護(hù)單一用戶了，企業(yè)系統(tǒng)要更加智能化才能應(yīng)對當(dāng)前這種攻擊。系統(tǒng)除了能做控制，還要能去發(fā)現(xiàn)不太正常的狀態(tài)。大數(shù)據(jù)需要一個中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來進(jìn)行分析，所有傳統(tǒng)意義上的邊界安全已經(jīng)不能起到作用。

最后，除了前端的發(fā)現(xiàn)工具、分析工具外，要通過控制層進(jìn)行快速響應(yīng)。過去這種系統(tǒng)都是孤島型的，控制層和管理層都是隔離的，很難做到快速響應(yīng)。隨著虛擬化和大量移動終端接入和云計算的普及，必須要形成閉環(huán)智能信息安全系統(tǒng)。

RSA針對APT攻擊有一套信息安全管理中心的解決方案，其主要的特點就是把一些大數(shù)據(jù)收集起來，進(jìn)行分析、檢測、監(jiān)控。Aloni表示，RSA第一次把這些變成整體的系統(tǒng)，因為原來做身份認(rèn)證的只是身份認(rèn)證，做日志管理的也只是日志管理。如今把控制點的信息都加起來，讓每個層面都變得智能、敏捷并進(jìn)行協(xié)作。

在這套流程里，一邊有日志全采集，一邊有網(wǎng)絡(luò)監(jiān)控，把所有的東西放到一個統(tǒng)一的監(jiān)控平臺上，就相當(dāng)于建立了全自動化的響應(yīng)系統(tǒng)?？梢詾闆Q策提供快速支持，相當(dāng)于一個智能系統(tǒng)，而不是用分散的信息進(jìn)行獨立的分析。Aloni進(jìn)一步說到，其實這種智能有時候不光是企業(yè)內(nèi)部系統(tǒng)產(chǎn)生的，如果有第三方類似經(jīng)驗或類似攻擊模式的分享，就可以在系統(tǒng)中了解哪些是惡意軟件或APT攻擊，從而快速建立起防御。他同時強調(diào)，RSA的安全產(chǎn)品一個非常重要的功能就是Netwitness網(wǎng)絡(luò)監(jiān)控可以回放，就像攝像頭一樣。發(fā)現(xiàn)不正常的情況后，可以把場景進(jìn)行回放，了解攻擊的去向。原來邊界安全的做法是，如果受到攻擊，只要關(guān)閉端口就可以了。而APT可能潛伏一周、一個月、一年甚至更長的時間，所以必須要有網(wǎng)絡(luò)回放，從而增強監(jiān)控能力。最后，從發(fā)現(xiàn)到響應(yīng)形成閉環(huán)系統(tǒng)。