【赛迪网-IT技术讯】什么是APT?简单来说就是针对特定组织所做的,复杂且多方位的网络攻击。
APT(高级持续性渗透攻击,Advanced Persistent Threat)可能会持续几天、几周、几个月,甚至更长的时间。APT攻击可以从情报的搜集开始,这一工作可能会持续一段时间,其中包含了针对技术和人员情报的搜集。情报搜集工作对后期的攻击大有裨益,需要的时间可能很短,也有可能很长。
举例来说,如果试图窃取商业机密,可能就需要花几个月时间执行有关安全协议、应用程序漏洞,以及文件位置的情报收集工作。但当收集工作完成后,只需要一次几分钟的运行时间就可以了。在其他情况下,攻击可能会持续较长时间。例如,成功将 Rootkit部署到服务器后,攻击者可能会定期传送有潜在价值的文件副本给命令和控制服务器,以进行审查。
企业面对不断演变的信息安全威胁环境。其中一项最大的挑战就是APT攻击,它是针对特定组织所做的复杂且多方位的攻击。要减缓APT的风险,需要比传统多层次防御更先进的作法,包括实时威胁管理。本文将简要介绍APT的特征,它对企业所构成的风险,以及如何封锁、检测,并遏制APT和其他新的威胁技术。首先从实务的一面来评估APT的特性,下文将涉及下列话题:
·今天APT的性质
·不断变化的信息安全威胁环境
·APT的要素
·不断变化的企业运作,让问题更加复杂
·评估控制和减轻APT风险的可能性
很显然,信息安全威胁环境变得越来越具有挑战性。对信息系统进行攻击的动机和方法正在发生变化。有决心有毅力的攻击者正用着多种手段打破安全控制,企业需要通过多种安全控管来应对,包括实时监控和快速遏制措施。
今天的APT
APT是针对一个特定组织所做的复杂且多方位的网络攻击。不管是就攻击者所使用的技术,或者他们对目标内部的了解来看,这种攻击都是非常先进的。APT可能采取多种手段,例如恶意软件、漏洞扫描、针对性入侵,以及利用恶意的内部人员破坏安全措施。
APT是长期且多阶段的攻击。
APT攻击的早期阶段可能集中在收集关于网络设置和服务器操作系统的详细信息等工作,接着,攻击者的精力会放在安装Rootkit或其他恶意软件,以取得控制权,或是与命令与控制服务器建立连接。随后的攻击可能集中在复制机密或敏感数据,以窃取知识产权。
重要的是要明白,APT不是一种新的攻击手法,也不是可以仅凭阻止或破坏一次攻击就能让问题消失的。APT更像是一种网络攻击活动,而不是单一类型的威胁,可将其看作是不停息的攻击活动。防病毒程序可能会阻止APT攻击所使用的恶意软件,但这并不意味着攻击就会停止。就其性质而言,APT是一种需要持续进行一段时间的攻击。如果一个战术行不通,攻击者就会再尝试其他途径。实际上,我们不应该只思考单一对策,或只是在多层次安全策略上增加更多防御层,相反,我们应该思考将其他案例中可能用来拦截、检测和遏制的各种方式都组合起来。现在,就出现了一个很合理的问题:要如何做到这一点?
不断演变的信息安全威胁环境
企业和政府面临着一个不断演变的信息安全威胁环境。从一开始,为了用来吹嘘而去攻击媒体网站或用拒绝服务攻击切断流行网站的服务,到现在为了经济利益而攻击,攻击者能够通过诈骗或窃取知识产权来直接获取利益,或是间接地经由破坏竞争对手的服务或进行大规模数据窃取攻击,以入侵客户的个人金融信息。而除了动机上的变化,攻击手段上也有所改变。
应用程序架构的改变和将核心运作去中央化的特点都为攻击者带来了机会。在过去,银行职员和自动提款机是银行帐户进行交易的唯一途径,可现在你可以用手机做到这一点。也就在不久前,谈论到零售商,很多人就会想到有实体店面的店家或商场,现在则会让人们联想到可以出售各种东西的网站,从书籍到电器一应俱全。
网页应用程序需要提供多种与运作有关的服务,才能完成一个完整的运作流程,甚至可以连接到后勤管理系统,例如库存管理和应收账款等系统。这些都很容易成为漏洞扫描、注入攻击,以及其他用来找出应用程序结构或潜在漏洞等信息探测器的目标。
演变中的信息安全威胁环境里的另一项因素是多项技术的结合。恶意软件可以被用来执行特定任务,例如记录键盘敲击,或者可能包含一个通讯模块,可以接收命令和控制服务器所下达的指令,让攻击者进行探测、搜寻,并且根据找到的信息随时改变战术。
我们在APT中所看到的某些技术,在之前的混合式攻击(在一次单一攻击中使用多种的恶意软件)中就已经出现了。我们还发现,攻击会因用户的不同而改变对策。当防病毒软件成功利用病毒特征比对技术检测到病毒后,恶意软件作者会采用加密和多形技术,让自己的程序得以避免侦测。同样,如果一条进入系统的路径被封锁了,APT会寻找另一条路径。APT可变动的性质是信息安全威胁的共同特点,但有其他特点可以区别APT和其他类型的攻击。
APT的要素
从最基本面来看,有三项特点让我们认为这攻击是APT:
·出于经济利益或竞争优势
·长期持续的攻击
·针对一个特定的公司,组织或平台
企业和政府被当作APT目标的原因很明显。企业拥有高价值的金融资产和知识产权,而从有政府机构以来,政府机构就会面临外来的攻击。因此,APT的概念在许多方面都没有什么新意。唯一新的是执行这种威胁的方法,已经进入网络和应用程序的领域了。
长期攻击可能会持续几天、几周、几个月,甚至更长的时间。APT攻击可以从情报的搜集开始,这一工作可能会持续一段时间,其中包含了针对技术和人员情报的搜集。情报搜集工作对后期的攻击大有裨益,需要的时间可能很短,也有可能很长。举例来说,如果试图窃取商业机密,可能就需要花几个月时间执行有关安全协议、应用程序漏洞,以及文件位置的情报收集工作。但当收集工作完成后,只需要一次几分钟的运行时间就可以了。在其他情况下,攻击可能会持续较长时间。例如,成功将Rootkit部署到服务器后,攻击者可能会定期传送有潜在价值的文件副本给命令和控制服务器,以进行审查。
有一些广为人知的APT攻击演示了发动APT的手段和动机:
以Zeus僵尸网络为例,一开始是作为攻击金融机构的平台,但后来被改成一种框架,提供给其他类型的APT使用。
极光APT攻击Google和其他科技公司,似乎是要试图取得读写权限以及可用来修改应用程序代码的权限。请参考:揭开定点攻击的神秘面纱。
Stuxnet是高度针对特定产业的恶意软件,其中包含一个针对用在工业设备上的可编过程控制器的Rootkit。所以新闻界有人猜测Stuxnet是由一个或多个政府来开发的。
而这些APT可以利用我们所提供服务的变动加以攻击。
不断变化的企业运作,使问题更加复杂
使用技术和攻击动机的变动只是APT成为如此严重威胁的部份原因。如何设计系统,以便让用户访问商务应用程序也是原因的一部分。
另外还有去边界化问题。过去防火墙会阻止未被明确允许的连接。由于高级应用需要有更灵活的网络连接,外部人员需要访问内部资源,开发人员开发应用程序建立信道让被封锁的协议通过允许使用的协议进行穿透。现在并不能用单一边界包围着所有网络资产,也不能只依赖基于设备的控管和网络流量监控机制对提供开放访问的服务器进行保护。
另一个可以被APT所利用的因素是手机和其他无法被管理的设备,这类设备的使用率正在猛增。IT部门并不总是能要求在防病毒软件或访问控制机制到位之后,才允许设备使用内部服务。这些设备可以被APT用来做为攻击企业或政府网络的一部分。
同样,增加可通过外部访问的网页应用程序,也为攻击提供了一种新方法。举例来说,对于网页应用程序的注入攻击可用来收集数据库内容,或与程序结构有关的情报。
通过扩大员工访问重要信息系统的能力,企业可以让员工更容易也更有效率地执行必要的工作,但是这样做也增加了可能的攻击入口。
技术和组织方面的因素在工作上会造成APT攻击的可能性。其中许多因素,例如为员工提供更多功能,以及从移动设备访问应用程序,对工作的促进非常明显,很难想象要削减这些机制。我们可以降低APT的风险,而不必牺牲上述列举的,以及未列举的其他好处。
从实务面来评估控制APT的可能性
从实务面来看,在可预见的未来,APT将会一直与我们同在,这是一种很合理的假设。在网络安全的历史中,充满了由于新型态控制机制而导致了新型态攻击方式例子。APT是长期的过程导向攻击,是攻击者动机和攻击手段进化的产物。既然APT已经存在了,有什么合适的策略可以用来减轻相关的风险呢?
我们应该继续部署拦截策略。防病毒软件、加密、漏洞扫描和打补丁都是很好的做法。但是这些还不足以应对APT,所以我们应该假设会被攻击成功。这并不是说上述策略有问题,而只是认定一个事实:有决心而且坚持的攻击者始终会找到一条能够摆脱所有封堵办法的新路。
所以在某些层面上,需要以会被成功攻击作为前提,因此我们必须实时监控网络流量和计算机上的活动。万一真的发生了攻击,也能尽快检测到攻击,随后则需要尽快遏制攻击所造成的影响。遏制方法可以包括隔离被入侵的设备、关闭服务器,以及收集日志以供后续分析。
摘要
APT是一类会对IT和信息安全专业人员产生特别挑战的信息安全威胁。这种攻击出于经济或其他长期收益的动机,会利用多种恶意软件和黑客技术武装自己,攻击者愿意花时间和精力打破组织的防御能力。过去的大量最佳实践在今天依然是必需的,但正如我们将在下一篇文章中所看到的,我们需要在自己的对策组合中加入实时监测和遏制技术。