【IT168 评论】在一份由 Intel Security 旗下迈克菲发布的报告中，对围绕高级逃逸技术 (AET) 的争议进行了深入剖析，并探讨了这些技术在高级持续性威胁 (APT) 中所起的作用。迈克菲委托 Vanson Bourne 进行了一项调查，调查对象包括美国、英国、德国、法国、澳大利亚、巴西以及南非的 800 位 CIO 和安全部门经理。调查显示，负责保护敏感数据的安全专业人士对上述技术存在一些误解或者误区，他们往往缺乏有效的防御措施来对此加以应对。

　　最近发生的一系列“高规格”数据泄露事件显示，犯罪活动仍然能够长时间“逃过”检测。被调查者对此都不否认，超过五分之一的安全专业人士承认其网络曾遭受过攻击。近 40% 遭受过此类攻击的被调查者相信，在这些攻击中 AET 起了关键作用。报告指出，在过去 12 个月中，遭受过数据泄露威胁的企业的平均损失高达 100 万美元。

　　MIAX Options 副总裁兼首席安全官 John Masserini 指出：“我们不再仅仅需要对付那些随机的路过式下载扫描程序，这类扫描程序意在寻找明显的入侵网络的突破口。在如今这样一个互联的世界，我们要应对是那些花数周甚至数月时间来专心研究您面向公众网络的“敌人”，他们如此煞费苦心，只为找到让他们得以攻入您的网络的‘一线希望’。高级逃逸技术正是这样的‘一线希望’。部署迈克菲的下一代防火墙技术提供了针对此类威胁更深一层的防护，使得这‘一线希望’难以被发现。”

　　为什么当前的防火墙测试隐藏了 AET 的踪迹

　　近 40% 的 IT 决策者认为他们没有办法在其企业内部检测并跟踪 AET，几乎三分之二的人表示，尝试部署防范 AET 的技术时最大的挑战是使董事会确信 AET 是的的确确存在的并且是非常严重的威胁。

　　正如 Enterprise Strategy Group 首席高级分析师 Jon Oltsik 所言：“许多企业都希望发现新的恶意软件，而对于高级规避技术却缺乏足够的认识，这类技术能够让恶意软件绕过安全屏障。由于大多数安全解决方案难以检测或者拦截它们，因此AET 对企业构成了巨大威胁。。安全专业人士和管理者对此需要警醒，要意识到这确实是一个不容忽视且不断发展的威胁。”

　　在 8 亿个已知 AET 中，只有不到 10% 被其他厂商的防火墙检测出来。自 2010 年以来，这种技术日益猖獗，迄今为止，已经有数以百万计的基于网络的 AET 组合和变体被发现。

　　南威尔士大学教授 Andrew Blyth 对于 AET 的猖獗和影响进行了多年研究。他指出：“一个简单的事实就是高级逃逸技术 (AET) 在生活中的确存在，这一点毋庸置疑。而令人吃惊的是，多数 CIO 和安全专业人士严重低估了这一威胁，认为 AET 的数量只有 329,246，而事实上，已知 AET 的总数几乎是这一数字的 2,500 倍，超过了 8 亿个，而且这一数字还在不断增长。”

　　AET 是一种伪装方法，用于逃避检测、入侵目标网络和提供恶意负载。这类技术最初是在 2010 年被网络安全专业厂商 Stonesoft 发现的，该公司在 2013 年 3 月被迈克菲收购。借助 AET，攻击者可以将一个威胁“化整为零”，绕过防火墙或 IPS 设备，一旦侵入网络内部，即可重新组合代码，“放出”恶意软件来继续实施 APT 攻击。

　　这些技术没有被充分报导和了解的原因在于在一些付费测试中，厂商有机会针对其进行补救。因此，只有针对所识别出的特定技术进行补救，而非那些被犯罪团伙快速更新和采用的更为广泛的技术。

　　迈克菲网络安全总经理 Pat Calhoun 指出：“攻击者已经深谙这类高级逃逸技术，并每天都在使用它们。我们希望做的是让企业知道这种威胁，让企业了解要寻求什么样的保护，如何有效防范 AET。”

　　企业付出的高昂代价

　　按照过去 12 个月企业曾遭受过网络攻击的受调查者估算，此类威胁对企业造成的损失平均达 931,006 美元。以澳大利亚为例，其报告的威胁数量较低 (15%)，而每一次攻击的平均损失则要高得多，达到了 150 万美元。美国的被调查者中有此遭遇的平均损失超过 100 万美元。此类威胁对于金融服务业的打击更为沉重，据估计，全球每一次攻击造成的损失超过 200 万美元。