APT：内部并不安全.docVIP

APT：内部并不安全 　　“我们发现，从2012年1月开始，APT攻击就进入了高发期，国内外的金融行业都不断出现APT的攻击事件。高级持续性威胁不但在攻击频率上越加频繁，而且在攻击方式上日趋多样化，这种威胁使得我们内部敏感数据面临着极大的外泄风险。”某证券公司负责网络安全的工程师如是说。 　　“外围的一切都是危险的，内部的一切都是安全的。”这种基于外围防御的安全策略早已过时，因为攻击者越来越狡猾，正使用各种方法，利用防护体系中“最薄弱的人”穿过这些屏障。特别是随着进阶性持续攻击（Advanced Persistent Threat，APT）的进一步发展，企业内部正在变得越来越危险。 　　 APT攻击范围扩展 　　2015年4月初，法国最大的全球性电视网遭到重大网络攻击，造成电视转播信号中断数小时，同时，电视台的网站和社交网络同时被黑客控制，并出现了大量“圣战”标语、视频和图片。在此次攻击事件中，攻击的范围前所未见，攻击者能够完全中断该电视台所有11个频道的播出；完全中断电视台的内部网络；实现对电视台网站和社交媒体帐号的控制；更新网站内容，并在社交媒体账号贴出对ISIS行动的法国士兵亲属名字和个人信息。 　　尽管完整的细节尚未明朗，不过从Arid Viper和Sony等公司之前遭到的攻击，以及针对关键基础设施攻击的调查显示，这很有可能是以网络钓鱼为入侵手段的APT。 　　APT是黑客以窃取核心资料为目的，针对客户所发动的网络攻击和侵袭行为，这种行为往往经过长期的经营与策划，并具备高度的隐蔽性。APT的攻击手法，在于隐匿自己，针对特定对象，长期、有计划性和组织性地窃取数据。此外，APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到收集到重要情报。同时他们往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到充分掌握目标对象的使用行为。 　　以Google遭受攻击为例，可以告诉我们APT攻击是如何开始的。 　　Google的一名雇员点击即时消息中的一条恶意链接，引发了一系列事件导致Google被黑客渗入数月，并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标，它是由一个有组织的网络犯罪团体精心策划的，目的是长时间地渗入这些企业的网络并窃取数据。 　　此次APT攻击，首先寻找特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息，搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。 　　利用这个伪造的Web服务器，攻击者伪造成这位Google员工所信任的人，并向他发送了恶意链接。Google员工点击这个未知的网络链接，就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出，进而执行FTP下载程序，并从远端进一步抓取更多新的程序来执行下载。 　　攻击者通过SSL安全隧道与受害人机器建立了连接，持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。最后，攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息。 　　由以上的案列可以看出，APT攻击有极强的隐蔽性，对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，在组织内部，这样的融合很难被发现。例如，对Google的APT攻击中，攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器，该Google员工收到来自信任的人发来的网络链接并且点击它，就进入了恶意网站。 　　APT攻击如今已是一项全球问题，不法分子攻击的目标不再局限于美国、俄罗斯与中国，还包括澳大利亚、巴西、埃及和德国。 　　同时，以往APT攻击和威胁主要针对的是国家重要的基础设施和单位，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。而据最新发布的2014年APT观察报告显示，APT攻击目标正从政府单位转向非政府组织，甚至连中小型企业也成为攻击目标。 　　曾有黑客长期潜伏窃取中小企业及其客户的邮件通讯内容，在下单时提供假的汇款帐户，使中小企业蒙受巨额损失。 　　找准抑制点 　　由于APT攻击的隐秘性，很多情况下人们并不知道正在被APT攻击，所以，解开APT攻击之谜的第一步，就是充分了解黑客将从何入手、清楚他们是如何拿到数据的？趋势科技最新发布的在《演化中的APT治理战略》白皮书中将APT攻击分为6个阶段。 　　第1阶段是情报收集。只有31%的企业会惩罚将公司机密资料贴到公众社交平台上