高級(jí)持續(xù)性威脅(ATP)，是當(dāng)今企業(yè)面對(duì)的最隱蔽網(wǎng)絡(luò)攻擊之一。大名鼎鼎的震網(wǎng)蠕蟲，2014年索尼影業(yè)被黑，2015 年的 Hacking Team，前不久NSA的Equation……

那么，APT會(huì)影響到你的公司嗎?信息系統(tǒng)審計(jì)與控制協(xié)會(huì)(ISACA)的《2015 APT意識(shí)研究》發(fā)現(xiàn)：74%的受訪者認(rèn)為他們會(huì)被APT盯上，28%已經(jīng)被攻擊了。問題在于，APT在本質(zhì)上，非常的復(fù)雜高端。它們本來就具備隱秘潛伏逃脫檢測的屬性，可以悄悄在網(wǎng)絡(luò)中傳播數(shù)周乃至數(shù)月之久。

似乎想要緩解APT風(fēng)險(xiǎn)意味著要部署非常復(fù)雜的網(wǎng)絡(luò)安全措施，大部分普通企業(yè)不太能夠?qū)崿F(xiàn)的樣子。事實(shí)上，并非如此。回歸基礎(chǔ)就能大大有助于緩解APT風(fēng)險(xiǎn)：理解這種攻擊策劃和部署的基礎(chǔ)，弄清自家公司網(wǎng)絡(luò)結(jié)構(gòu)，便可助力阻止此類攻擊。簡言之，就是要理解怎樣減小暴露在惡意黑客眼前的攻擊界面

理解APT結(jié)構(gòu)

無論多復(fù)雜，所有APT攻擊總是遵循類似的流程：

1. 偵察

攻擊者采用多種技術(shù)描繪公司網(wǎng)絡(luò)拓?fù)?，摸清安全策略和?yīng)用，發(fā)現(xiàn)可供切入的遠(yuǎn)程訪問功能的信息收集過程。

公開渠道情報(bào)(OSINT)：掃描對(duì)外開放服務(wù)中的漏洞;

人類來源情報(bào)(HUSINT)：從關(guān)鍵員工身上收集訪問信息;

踩點(diǎn)：識(shí)別出公司使用的軟件或資源版本，用旗標(biāo)獲取、SNMP(簡單網(wǎng)絡(luò)管理協(xié)議)掃描和區(qū)域復(fù)制等技術(shù)描繪出網(wǎng)絡(luò)基礎(chǔ)設(shè)施的概況。

2. 漏洞利用投放

一旦目標(biāo)網(wǎng)絡(luò)的合適切入點(diǎn)被找到，攻擊者便會(huì)投放惡意工具或應(yīng)用程序來滲透網(wǎng)絡(luò)?？晒┻x擇的攻擊方法包括：電子郵件附件、所謂的‘水坑’攻擊——控制目標(biāo)很可能訪問的一個(gè)已有網(wǎng)站，或者直接在受感染U盤上物理載入漏洞利用程序。

3. 探測和橫向擴(kuò)展

成功進(jìn)入目標(biāo)網(wǎng)絡(luò)之后，攻擊者的下一個(gè)目標(biāo)就是在網(wǎng)絡(luò)中橫向移動(dòng)，最終染指有價(jià)值的公司數(shù)據(jù)。不過，這些數(shù)據(jù)通常都在另一臺(tái)計(jì)算機(jī)系統(tǒng)上，因此，攻擊者需要找到一條通路。橫向移動(dòng)就是APT持續(xù)性的立足點(diǎn)。探測需要時(shí)間，個(gè)人用戶會(huì)在這段時(shí)間里很有可能會(huì)重啟系統(tǒng)，修改他們的安全簽名，讓攻擊者難以再次訪問他們的機(jī)器。

因此，攻擊者的理想目標(biāo)，是在個(gè)人計(jì)算機(jī)上直接部署能讓他們?cè)谛枰臅r(shí)候可以重新登錄系統(tǒng)的軟件，最好是用戶重啟系統(tǒng)或者打了補(bǔ)丁也可以重新登錄。達(dá)成這一愿望最常見的方法，是同遠(yuǎn)程管理工具(RAT)——遠(yuǎn)程故障診斷或幫助臺(tái)功能所用的同類型工具。RAT的安裝讓攻擊者得以在目標(biāo)機(jī)器上留下后門，想登錄就登錄。

4. 滲漏

最終，攻擊者抽取到屬意的有價(jià)值信息，或許是通過HTTP混入到良性流量中，或許是通過HTTPS等將之加密以便難以被識(shí)別。

縮減網(wǎng)絡(luò)攻擊界面

雖然阻止攻擊者實(shí)施APT第一階段探測很難——畢竟很多OSINT掃描技術(shù)都沒什么秘密可言，防止他們?cè)诰W(wǎng)絡(luò)內(nèi)橫向移動(dòng)搜索有價(jià)值數(shù)據(jù)還是可能的，只要遵循一些最基本的原則就行：

1. 網(wǎng)絡(luò)分段

根據(jù)使用模式和所處理的數(shù)據(jù)類型，將平面化的內(nèi)部網(wǎng)絡(luò)分割成多個(gè)區(qū)域。網(wǎng)絡(luò)分段可防止APT從一臺(tái)“踏腳石”機(jī)器跳到另一臺(tái)。

2. 各區(qū)域間設(shè)置防火墻過濾流量

“咽喉點(diǎn)”——比如防火墻，必須布置在各區(qū)域之間，過濾進(jìn)進(jìn)出出的流量。換句話說，內(nèi)部、橫向的流量通道上都必須安置有防火墻，而不僅僅是在網(wǎng)絡(luò)邊界上。

3. 防火墻必須有嚴(yán)格的安全策略

Gartner研究表明：99%的防火墻滲漏都是由防火墻錯(cuò)誤配置引起的，不關(guān)防火墻漏洞的事兒。很明顯，防火墻絕對(duì)應(yīng)該被正確而合理地配置，要能分析并封鎖觸發(fā)APT警報(bào)的那類內(nèi)部通信。

在對(duì)自身網(wǎng)絡(luò)進(jìn)行分段時(shí)，需要考慮以下2種所有網(wǎng)絡(luò)都應(yīng)劃分成的區(qū)域類型。首先，識(shí)別并定義敏感數(shù)據(jù)區(qū)，包含處理和存儲(chǔ)支付卡及信用卡信息、員工記錄、公司財(cái)務(wù)、知識(shí)產(chǎn)權(quán)和管理數(shù)據(jù)的系統(tǒng)。其次，識(shí)別并定義包含人可接觸到的臺(tái)式機(jī)、筆記本、平板和智能手機(jī)的人類用戶區(qū)域。也許你已經(jīng)劃分了無線接入?yún)^(qū)，但無線接入的臺(tái)式機(jī)也應(yīng)被劃分出來。因?yàn)锳PT的第一攻擊點(diǎn)通常都是臺(tái)式機(jī)，這個(gè)分割就能防住APT的橫向移動(dòng)了。

以上幾點(diǎn)聽起來相當(dāng)簡單，因?yàn)楸緛砭秃芎唵?。?yīng)銘記的重點(diǎn)是：物理APT有多高端，它都是在你的地盤運(yùn)作。發(fā)現(xiàn)自己網(wǎng)絡(luò)中的APT跡象或許很具挑戰(zhàn)性，但只要智慧運(yùn)用安全基本原則，擋住橫向探索，阻住APT的進(jìn)擊軌道，還是有可能的。