【IT168选型指南】提起APT攻击,相信身处安全圈的人都不会陌生,近几年来,APT攻击已经成为业界最主要研究和热议的技术话题。同时,APT攻击也逐渐成为企业将要应对的主要安全威胁。APT攻击以其独特的攻击方式和手段,使得传统的安全防御工具已无法进行有效的防御。那么,面对APT攻击企业该如何更新IT安全架构?如何选择有效的APT防护解决方案?在本篇文章中,我们将和大家探讨这些问题。
一、 典型APT攻击回顾
首先,我们来看业界几个比较典型的APT攻击案例,从这些案例中我们可以找到APT攻击的一些特点和攻击的方式:
1、Google极光攻击:2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终成功参透进入了Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,并且造成各种系统的数据被窃取。
2、夜龙攻击:夜龙攻击是在2011年2月份发现并命名。该攻击的攻击过程是:利用SQL注入攻击和密码暴力破解目标机器并植入未知恶意代码,并被安装远端控制工具(RAT),最终传回大量机密文档。
3、RSA SecurID窃取攻击:2011年3月,RSA公司遭受入侵,公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的Poison Ivy远端控制工具在受感染客户端,并开始自僵尸网络的命令控制服务器下载指令进行任务。
4、超级工厂病毒攻击(震网攻击):这个病毒早在2007年被发现,超级工厂病毒的攻击者并没有广泛的去传播病毒,通过特别定制的未知恶意程序感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种0day一点一点的进行破坏。
5、Shady RAT攻击:2011年8月份,Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,通过植入未知木马程序渗透并攻击了全球多达70个公司和组织的网络。
通过以上这些典型的APT攻击案例,我们不难看出,APT攻击都存在一些共同的特点,就是隐蔽性强,有明确的攻击目标,并通过不计成本挖掘/购买0day漏洞以及多种方式组合渗透、定向扩散,对目标机器进行长期持续性的攻击。那么,对APT攻击的防护业界又做到了怎样的水平呢?接下来,我们将对APT攻击防护进行深入的探讨。