【51CTO.com 快譯】高級持續(xù)性威脅(APT)是當(dāng)今公司企業(yè)面臨的最危險的網(wǎng)絡(luò)攻擊之一。我們都聽說過Stuxnet蠕蟲以及其他備受關(guān)注的攻擊，其中包括2014年索尼影業(yè)娛樂公司被黑事件，一名觀察人士稱之為“完美的APT”。而在去年，專門針對金融機(jī)構(gòu)的Carbanak攻擊登上了媒體頭條。

APT會影響貴公司嗎?ISACA的《2015年高級持續(xù)性威脅安全意識調(diào)查》發(fā)現(xiàn)，74%的調(diào)查對象認(rèn)為，他們會受到APT的攻擊，28%已經(jīng)受到了攻擊。問題在于，就其性質(zhì)而言，APT極其復(fù)雜。它們旨在隱匿起來、逃避檢測，從而讓它們能夠在網(wǎng)絡(luò)上傳播數(shù)周、甚至數(shù)月之久而不被發(fā)現(xiàn)。

緩解APT的風(fēng)險似乎意味著要部署非常復(fù)雜的網(wǎng)絡(luò)安全措施，這似乎超出了大多數(shù)普通企業(yè)組織的能力范圍。事實(shí)并非如此。實(shí)際上，你只要做好基本工作，對于降低APT風(fēng)險大有幫助：了解這種攻擊是如何規(guī)劃和部署的基礎(chǔ)知識，了解貴企業(yè)組織的網(wǎng)絡(luò)結(jié)構(gòu)如何助長或阻礙這種攻擊。簡而言之，了解如何減小你暴露在惡意黑客面前的攻擊面。

APT結(jié)構(gòu)

不管有多復(fù)雜，所有APT攻擊通常遵循相似的路徑。

偵察：攻擊者通常會使用多種手段來獲取情報，了解公司的網(wǎng)絡(luò)實(shí)際上是什么樣子，以便搞清楚實(shí)施了什么樣的安全策略和應(yīng)用程序，或者找出可以為他們提供入口點(diǎn)的遠(yuǎn)程訪問功能。常見的手法包括如下：

·開源情報包括掃描對外開放的服務(wù)，以查找安全漏洞。

·人力資源情報針對關(guān)鍵員工，以獲取訪問信息。

·資產(chǎn)摸底識別企業(yè)組織在使用哪些版本的軟件或資源，以便了解網(wǎng)絡(luò)基礎(chǔ)設(shè)施的概況。

漏洞投放：一旦攻擊者找到了攻擊你網(wǎng)絡(luò)的相應(yīng)的入口點(diǎn)，就會投放一個惡意工具或應(yīng)用程序，讓他們得以滲入到你的網(wǎng)絡(luò)。選擇的攻擊途徑可能包括電子郵件附件、所謂的“水洞”攻擊(攻擊者危及他們知道受害者可能會訪問的現(xiàn)有網(wǎng)站)，或者甚至是將漏洞投放到被感染的U盤上。

探查和橫向擴(kuò)展：成功潛入到你的網(wǎng)絡(luò)里面后，攻擊者試圖在你的網(wǎng)絡(luò)里面橫向移動，最終獲取你那寶貴的業(yè)務(wù)數(shù)據(jù)。但這些數(shù)據(jù)通常在另一個計算機(jī)系統(tǒng)上，所以攻擊者需要找到一條路徑。這種橫向移動正是APT的持久性發(fā)揮作用的地方。探查需要一段時間――在此期間，個人用戶可以重啟系統(tǒng)，更改安全簽名，或者以其他方式讓攻擊者很難重新訪問其機(jī)器。

因此，攻擊者理想情況下旨在將軟件直接部署到一臺臺機(jī)器上，讓他們得以隨時可以回來，即便用戶重啟了機(jī)器或打上了補(bǔ)丁。要做到這一點(diǎn)，最常見的方式就是通過遠(yuǎn)程管理員工具(RAT)――這是用于遠(yuǎn)程排查故障或求助臺功能的同一種類型的工具。

最后，攻擊者獲取他們一直在尋找的寶貴信息可能有兩種手段，一是將這些信息與正當(dāng)流量混合起來、通過HTTP傳送，另一種是對這些信息加密，以便很難被發(fā)現(xiàn)，比如說通過HTTPS傳送。

減小網(wǎng)絡(luò)攻擊面

雖然很難防止攻擊者在整個APT過程中執(zhí)行第一個階段――畢竟，許多OSINT掃描方法沒有什么特別隱秘之處，但是可以防止攻擊者在你的網(wǎng)絡(luò)上橫向移動、搜索你的寶貴數(shù)據(jù)，可以借助一些回歸基本面的網(wǎng)絡(luò)安全原則：

·對網(wǎng)絡(luò)進(jìn)行分段。根據(jù)使用模式以及在每個區(qū)域里面處理的數(shù)據(jù)類別，將你那個扁平的內(nèi)部網(wǎng)絡(luò)劃分成多個區(qū)域。隨后，這種分段機(jī)制可以防止APT從充當(dāng)“踏腳石”的一個機(jī)器跳到另一個機(jī)器。

·部署防火墻，以便過濾那些區(qū)域的之間流量。必須在區(qū)域之間部署防火墻之類的“阻塞點(diǎn)”，過濾進(jìn)出的流量。換句話說，防火墻必部署在內(nèi)部橫向移動路徑上，而不是僅僅部署在網(wǎng)絡(luò)邊界。

·制定那些防火墻執(zhí)行的限制性安全策略。Gartner研究公司表明，99%的防火墻安全漏洞是由防火墻配置不當(dāng)，而不是防火墻本身缺陷造成的。傳達(dá)的信息很明確：你的防火墻必須準(zhǔn)確、巧妙地加以配置，才能分析并阻止表明APT的那種內(nèi)部流量。

你在設(shè)計網(wǎng)絡(luò)的分段機(jī)制時，應(yīng)考慮將所有網(wǎng)絡(luò)都應(yīng)該分成兩種區(qū)域類型。首先，為處理和存儲支付及信用卡資料、員工記錄、公司財務(wù)數(shù)據(jù)、知識產(chǎn)權(quán)和受監(jiān)管數(shù)據(jù)的系統(tǒng)識別和定義敏感數(shù)據(jù)區(qū)域。其次，識別和定義含有人類可訪問的臺式機(jī)、筆記本、平板電腦和智能手機(jī)的真人用戶區(qū)域。你可能已經(jīng)對無線訪問區(qū)域進(jìn)行了分段，但是有線訪問臺式機(jī)同樣應(yīng)該加以分段。由于APT的第一個攻擊點(diǎn)通常是這樣一種臺式機(jī)，這種分段隨后就能防止APT的橫向移動。

如果這聽起來異常簡單，那是因?yàn)樗緛砭秃芎唵巍Ｒ斡浀闹匾稽c(diǎn)是，不管APT有多么狡猾，它都是在你的地盤作崇。發(fā)覺網(wǎng)絡(luò)里面APT的跡象可能頗有難度，但是如果做好安全基本工作，對于防止橫向移動大有幫助，進(jìn)而可以立即阻止API。

原文標(biāo)題：Thwarting APT Attacks

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】