不久前，美國某主要電子元器件分銷商的IT安全分析師發(fā)現(xiàn)了一些特殊的網(wǎng)絡(luò)活動(dòng)。該分析師評(píng)估了Netflow網(wǎng)絡(luò)流量數(shù)據(jù)，并確定某個(gè)人或者某個(gè)物體當(dāng)時(shí)正在制定對(duì)大量IP地址的定期掃描。這名不愿意透露姓名的分析師表示：“我們?cè)獾焦袅恕Ｔ谖覀兊囊粋€(gè)倉庫中，發(fā)現(xiàn)很多系統(tǒng)被感染，甚至我們的管理網(wǎng)絡(luò)也被感染了。”

攻擊者在該公司的網(wǎng)絡(luò)中至少“潛伏”了6個(gè)星期，很多端點(diǎn)和服務(wù)器都受到感染。雖然該分析師表示他相信現(xiàn)在惡意軟件已經(jīng)被清除，并且攻擊者也已經(jīng)撤離，但他并不清楚攻擊是如何發(fā)生的。“讓人頭疼的是，我們不知道這種攻擊的初始時(shí)間，”他表示，“他們可能仍然潛伏在我們網(wǎng)絡(luò)中的某個(gè)地方。”

這種攻擊同時(shí)具有常見的和不常見的特性。常見之處在于，感染了這么久都未被發(fā)現(xiàn)。不常見之處在于，該公司安全團(tuán)隊(duì)自己發(fā)現(xiàn)了這個(gè)攻擊。根據(jù)2012年Verizon數(shù)據(jù)泄露調(diào)查報(bào)告（DBIR）顯示，很多數(shù)據(jù)泄露在很長時(shí)間內(nèi)都未被發(fā)現(xiàn)，90%的感染企業(yè)通過第三方發(fā)現(xiàn)泄漏事故，而不是自己發(fā)現(xiàn)。

來到自定義惡意軟件攻擊的世界，在這個(gè)世界，攻擊者（在必要時(shí)）使用通用且廣泛使用的攻擊代碼作為基石，制作自定義惡意軟件來偷偷潛入企業(yè)內(nèi)部。“這難以量化，”IANS研究高級(jí)副總裁兼首席技術(shù)官David Shackleford表示，“但現(xiàn)在越來越多的攻擊使用自定義惡意軟件。”

根據(jù)很多未經(jīng)實(shí)證研究的證據(jù)顯示，幾乎每天都會(huì)涌現(xiàn)出一個(gè)新的有針對(duì)性的零日攻擊。此外，CounterTack公司在8月份對(duì)有針對(duì)性攻擊的調(diào)查顯示，在100名接收調(diào)查的信息安全管理人員中，超過一半的人表示他們的企業(yè)在過去12個(gè)月中成為攻擊目標(biāo)。

SANS研究所資深教授Lenny Zeltser表示，也許，自定義惡意軟件攻擊（或者說一般攻擊）如此成功的原因在于我們將全部焦點(diǎn)放在了惡意軟件上。“我們經(jīng)常專注于攻擊的惡意軟件組件，也許是因?yàn)閻阂廛浖话l(fā)現(xiàn)后，它是我們可以看到和進(jìn)行分析的有形的東西，”Zeltser表示，“我們應(yīng)該從更大的范圍來考慮攻擊事件：自定義惡意軟件通常只是針對(duì)性攻擊的一部分，攻擊者試圖通過針對(duì)性攻擊來實(shí)現(xiàn)一個(gè)目標(biāo)。”

Zeltser表示，最佳防御方法在于，企業(yè)應(yīng)該檢查攻擊的生命周期的所有方面，避免圍著惡意軟件打轉(zhuǎn)。這種重新定位包括側(cè)重檢測能力和事件響應(yīng)能力。這種方法看似很簡單，但這并不意味著它很容易執(zhí)行。為了打擊自定義惡意軟件，企業(yè)不僅需要重新考慮他們用于保護(hù)其系統(tǒng)的技術(shù)，也要重新思考已經(jīng)部署的程序。

在接受SearchSecurity.com采訪時(shí)，反惡意軟件廠商卡巴斯基首席執(zhí)行官兼聯(lián)合創(chuàng)始人Eugene Kaspersky表示，企業(yè)必須提高攻擊者繞過其防御的復(fù)雜度和成本。他提到了著名的Stuxnet木馬攻擊，據(jù)稱該病毒侵入了伊朗納坦茲提煉設(shè)施中完全斷開的網(wǎng)絡(luò)，這說明即使是完全隔絕的網(wǎng)絡(luò)，都難以杜絕病毒攻擊。

為了抵御針對(duì)性的惡意軟件攻擊，Kaspersky認(rèn)為，應(yīng)用白名單也是個(gè)可行的辦法。“如果某個(gè)應(yīng)用做了它不應(yīng)該做的事情，它將立即通過默認(rèn)拒絕被阻止，”他表示，“如果你創(chuàng)建一個(gè)默認(rèn)環(huán)境，只有白名單中的應(yīng)用可以在環(huán)境中運(yùn)行，你將能夠阻止任何復(fù)雜的惡意應(yīng)用的運(yùn)行。”

Spire Security公司研究主管Pete Lindstrom也表示，白名單（或者說應(yīng)用控制）是重要的防御方法，但并不是完全的解決方案。他表示：“這種方法并不總是行得通，因?yàn)榄h(huán)境會(huì)變化，一些環(huán)境甚至經(jīng)常會(huì)改變。為了抵御針對(duì)性攻擊，企業(yè)需要保持審慎的態(tài)度，而不要被嚇到了。”

出于這種審慎的態(tài)度，企業(yè)應(yīng)該具備一個(gè)事件響應(yīng)團(tuán)隊(duì)和有效的取證調(diào)查能力。根據(jù)Zeltser表示，一旦確定了自定義惡意軟件，企業(yè)應(yīng)該檢查該惡意軟件以及它所處的環(huán)境，以了解攻擊事件的嚴(yán)重性。他還表示，企業(yè)需要通過了解被攻擊系統(tǒng)的性質(zhì)以及他們處理的數(shù)據(jù)、惡意軟件的能力以及惡意軟件使用的方式，來確定攻擊者的潛在目標(biāo)。Zeltser表示：“取證分析幫助企業(yè)確定如何遏制攻擊者在企業(yè)內(nèi)的影響，清除惡意軟件，并最終恢復(fù)。”