应对APT攻击的最新技术.docVIP

应对APT攻击的最新技术 2013-11-08 网络安全，尤其是Internet互联网安全正在面临前所未有的挑战，这主要就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT(Advanced Persistent Threat，高级持续性威胁)攻击，或者称之为“针对特定目标的攻击”。这些攻击统称为新型威胁。 一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性地进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。 对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备整合起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取等新型威胁。 一．新型威胁的综合分析 ?APT攻击主要呈现以下技术特点： 1、攻击者的诱骗手段往往采用恶意网站，用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够，缺乏权威、全面的恶意网址库，对于内部员工访问恶意网站的行为无法及时发现; 2、攻击者也经常采用恶意邮件的方式攻击受害者，并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的，显然，这些合法邮件不在其列。再者，邮件附件中隐含的恶意代码往往都是0day漏洞，传统的邮件内容分析也难以奏效; 3、还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范; 4、初始的网络渗透往往使用利用0day漏洞的恶意代码，而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击; 5、在攻击者控制受害机器的过程中，往往使用SSL连接，导致现有的大部分内容检测系统无法分析传输的内容，同时也缺乏对于可疑连接的分析能力; 6、攻击者在持续不断获取受害企业和组织网络中的重要数据的时候，一定会向外部传输数据，这些数据往往都是压缩、加密的，没有明显的指纹特征，这导致现有绝大部分基于特征库匹配的检测系统都失效了; 7、还有的企业部署了内网审计系统、日志分析系统，甚至是安管平台，但是这些更高级的系统主要是从内控与合规的角度来分析事件，而没有真正形成对外部入侵的综合分析。由于知识库的缺乏，客户无法从多个角度综合分析安全事件，无法从攻击行为的角度进行整合，发现攻击路径。 因此，在APT这样的新型威胁面前，大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。 二、新型威胁的最新技术发展动向 ?新型威胁自身也在不断发展进化，以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。 ?精准钓鱼。精准钓鱼是一种精确制导的钓鱼式攻击，比普通的定向钓鱼(spear phishing)更聚焦，只有在被攻击者名单中的人才会看到这个钓鱼网页，其他人看到的则是404 error。也就是说，如果你不在名单之列，看不到钓鱼网页。如此一来，一方面攻击的精准度更高，另一方面也更加保密，安全专家更难进行追踪。 高级隐遁技术。高级隐遁技术是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。高级隐遁技术是一系列规避安全检测的技术的统称，可以分为网络隐遁和主机隐遁，而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。 沙箱逃避。新型的恶意代码设计越来越精巧，想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行，从而使得很多自动化执行的沙箱没法检测到可疑行为。有的恶意代码会设法欺骗虚拟机，以逃避用虚拟机方式来执行的沙箱。 三、新型威胁的应对之策 （一）总体思路 2012年8月，RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷，导致很难识别APT攻击。现有的防护体系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和组织结构，以及工作流程等等都存在不足。报告指出，应对APT需要采取一种与以往不同的信息安全策略及方法。该方法更加注重对核心资产的保护，以数据为中心，从检测威胁的角度去分析日志，注重攻击模式的发现和描述，从情报分析的高度来分析威胁。 报