【IT168专稿 文/kaduo】近年来,随着网络环境的日益复杂,针对网络的攻击形式也更为隐蔽和多元化,APT攻击成了这几年来的代表。极光行动(Operation Aurora)、震网病毒(Stuxnet)等等典型的APT攻击都给企业带来了重大的损失。如何才能防患于未然有效预防APT网络攻击,成了人们目前最热门的研究课题。
日前,RSA资深技术顾问华丹在网络研讨会“领先一步应对危机四伏的高级网络威胁”上,和大家分享了他对APT攻击的看法,以及如何有效抵御现在的网络威胁。
什么是APT攻击?
APT攻击(高级持续威胁Advanced Persistent Threat)就是为了获取某个组织甚至是国家的重要信息,有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种非常先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。
华丹详细介绍了黑客从制作木马到最后获取资源,以及如何把这些恶意软件进行分发的流程,他表示,现在APT攻击变得越来越隐蔽和复杂,从第一步黑客发布一个木马来获取一些内容,再通过论坛、社交网络或其它即时通讯工具向外面出售这些恶意软件,然后第三方人员买到并释放这些恶意软件,最后这个把他受委托人释放的恶意软件专门放在服务器上,再通过中间服务器偷偷地控制一些僵尸机器,通过这条途径到服务器上去更新他所需要释放的这些恶意的软件。
华丹谈到,APT攻击近年来越来越产业化和分工化,并且带有组织性和明确的攻击目标。面对这样的一个有组织的攻击或者网络犯罪,企业目前的安全防护可能起不到很大作用。
如何有效抵御APT攻击?
华丹讲到,企业要应对APT攻击首先是要有全面的可视性,理清企业目前是怎样的状态,有哪些风险,有哪些核心资产;二是灵活的分析,一旦发生泄密,要有相应的工具或平台能够快速的定位问题、分析问题;三是智能的实时指示,如果企业IT或是业务比较清晰和规范,一旦出现APT攻击就可以更加容易的定位问题;最后是公司的治理与合规。
应对APT攻击最困难的地方,华丹谈到,最困难的地方不是在技术层面,对于一个企业来说,它要应对高级网络威胁,首先是这个企业目前IT化的成熟度,应对APT威胁攻击是否有这个决心。二是在一个前期的架构设计上,当敌人是有组织、有目的和非常高超技巧的时候,我们这么一套战术或者解决方案,是不是真正能够化解。
▲企业所需要的能力
华丹介绍了RSA SMC解决方案,SMC框架首先要有海量的数据,不管是公司治理或是全面可视化,第一个前提就是必须要有足够的数据来源,然后所有的数据都需要做分析,进行实时报表、事件调查、恶意软件分析以及虚拟化、数据防泄漏等工作。在分析的基础之上,最后进行APT的治理和合规事件管理。
▲RSA SMC系统架构
如图,中间部分是SMC框架的云端,是管理所有的数据信息进行APT治理的平台。左侧是进行所有日志信息的收集,右边是进行所有的网络数据的收集,以及其他的和外部的信息进行分析等等。所有这些数据都会通过SMC平台进行全面的分析。
▲RSA SMC包括的相关产品
在SMC管理中心下面是RSA的四款核心产品,RSA Archer、RSA NetWitness、RSA enVision和RSA DLP。RSA Archer是公司IT治理和合规治理产品,包括策略、风险和合规定义和管理,能够把所有的企业资产,包括APT等一些信息全部汇总整理到统一平台之上,给出具有业务层面的参考价值。RSA NetWitness可以到内部层面分析出哪个是木马,那个是伪装出来的,还可以重建APT攻击的路径和攻击源头,APT攻击的思路和路径是怎样的,都可以还原整个流程。RSA enVision专门做收集和管理,包括应用系统、安全系统、数据库等等,把所有的数据进行收集,并且实时产生关联。RSA DLP是发现和定义敏感数据,并执行数据的安全策略。除了这四款产品,RSA还有全球反欺网络诈联盟,专门研究恶意密码攻击方式,研究出来以后会持续的监控已有的客户包括整个互联网的态势。
企业在选择抵御APT攻击的解决方案时,首先要看这个方案是否能真正的优化企业的IT治理,帮助企业把IT设备、信息等管理起来。二是简化,大多数企业对于可视性其实是简化的一个需求。三要有足够的灵活性。这个灵活性牵扯得比较广,企业要有一个灵活的视野和可定制性,包括强大的分析能力。四是智能,能清楚的分辨所有警报是否是真得安全威胁。