【IT168 专稿】以往的那些APT攻击只存在于报道之中,如震网攻击、极光攻击、夜龙攻击等针对的都是较大规模的组织或企业。而近两年来APT攻击开始出现在普通的企业中,黑客的攻击手段越来越高明,企业传统的安全防护手段已无法有效的应对APT攻击,在未来企业如何有效防护APT已迫在眉睫。
本期我们针对APT攻击防护的选题,专门邀请到了趋势科技中国区业务发展总监童宁,他现主要是负责趋势科技企业内容安全在中国的发展,同时兼任云安全相关产品的管理工作。我们将从APT的目标、APT攻击过程、企业APT防护之道、CSO注意事项等方面来深入的解析APT的防御之道。
哪些数据、企业和个人容易成为APT的目标?
当前,数字化威胁不断进化,高级持续性威胁(Advanced Persistent Threat,APT)呈增长之势。APT攻击者采用定制化的手段、利用社会工程学,有计划、有组织的持续窥探目标网络弱点,长期潜伏并窃取核心机密数据,这让各个行业的组织都处于危险境地。
1、任何企业都可能是潜在攻击的目标
作为一家盈利的公司或作为一个主权国家,即意味着处于竞争中。换句话说,您将始终是攻击的潜在目标。过去,我们会把金融、政府、军队、能源等和民生相关的用户设定为最容易受到APT攻击的对象,但现在这些情况发生了变化。
在过去的两年里,美国 Target 超市一亿笔客户资料被窃取贩卖、台湾20个与经济相关的机构受到APT攻击、美国 Home Depot 16 家饰建材连锁卖场的6000万笔客户资料失窃、eBay遭到神秘黑客的攻击、iCloud泄露出大量好莱坞影星私密照片、索尼影视在APT攻击中大量商业机密遭泄露。这让安全界对APT攻击的思考有了新的启示,例如:APT攻击不仅会针对政府、金融、基础建设和知识产权的行业,交通、零售、酒店、旅游、教育、医疗、媒体行业都会成为目标。
2、黑客会先瞄准包含内部账户的数据
因为所有规模的组织均拥有宝贵的数据,这些“你自己认为重要的、或是不重要”,都可能成为黑客组织或是“雇佣军”的目标。当然,被窃取的数据也有一部分相似点,这就是企业内部中存在的大量账户信息。黑客需要利用这些数据提升权限,探测网络内部拓扑,横向移动。
3、钟爱“社交网络”的员工最易受到定向攻击
从以往的案例调查中可以发现,APT攻击者会利用社交工程技术,分析企业内部人员的职务、工作性质、个人兴趣等,如果某个员工特别喜欢在网络社交平台中谈论自己的工作,或者公司内部的问题,那么便很可能已经被盯上。黑客会发送与他(她)工作和兴趣相关的邮件、恶意链接,从这些疏于防范的终端上打开攻击的入口。
APT攻击过程的六个阶段
第1阶段:情报收集
在趋势科技的调查数据中,只有31%的企业会惩罚将公司机密资料贴到公众社交平台上的员工,这样使得黑客非常容易的就能获取到目标企业的IT环境和组织架构的重要信息。攻击者针对需要窃取数据的企业或个人,将第一个目标锁定到企业员工的身上作为情报开端,并通过社交工程攻击开启一连串攻击。
第2阶段:利用社会工程学
利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。趋势科技的调查结果显示,在87%的组织中,会有网络用户点击黑客安排的网络链接,这些恶意链接都是精心设计的APT社交工程的诱饵。另外,95%的APT攻击利用了社交工程钓鱼邮件,这是针对性最强、设计最缜密的攻击,但却是简单的技巧。
第3阶段:命令与控制 (C&C 通信)
但阅读或点击了“诱饵”,攻击者需要通过在主机上安装后门程序,以达到持久驻留在内部网络的目的,并潜入尽可能多的主机。APT攻击活动利用这些后门程序,首先在目标网络中找出放有敏感信息的重要计算机。然后,APT攻击活动利用网络通信协议来与C&C服务器通讯,并确认入侵成功的计算机和C&C服务器间保持通讯。
由于 C&C 通信的特征与正常流量不同,因此这通常可能是APT攻击的第一个迹象。但是,攻击者演进了技术,通过降低通信频率以及在极短的时间内改变域名和 IP 地址,让 C&C 通信变得难以检测。
第4阶段:横向移动
攻击者会开始潜入更多的内部设备,收集凭证、提升权限级别,实现持久控制。为此,攻击者会试图获取大量的普通帐户以及管理员帐户。因此,攻击者通常会跟踪 Active Directory 之类目录服务或Root权限的账号,使用包括传递哈希值算法的技巧和工具,将攻击者权限提升到跟管理者一样。这个过程一旦成功,攻击者便会为自己创建合法的帐户和访问权限,以访问托管所需信息的服务器,从而加快数据隐蔽泄露。由于最终数据窃取利用了合法的管理凭证,这使得数据窃取检测变得更加困难。
第5阶段:资产/资料发掘
为确保以后的数据窃取行动中会得到最有价值的数据,APT会长期低调的潜伏。这是APT长期潜伏不容易被发现的特点,来挖掘出最多的资料,而且在这个过程当中,通常不会是重复自动化的过程,而是会有人工的介入对数据做分析,他们寻找雇佣者需要的,或是可以贩卖高价的“数据”。
第6阶段:资料窃取
APT是一种高级的、狡猾的伎俩,高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问,最终挖掘到攻击者想要的资料信息。而在收集了敏感信息之后,攻击者将把数据归集到内部暂存服务器,并在这里对数据进行压缩和加密,以传输至外部位置。
经过前面6个阶段,攻击者后面主要的行为将放在长期控制上,一旦他们发现事件暴露,便会破坏信息的完整性及可用性,以起到“毁尸灭迹”的目的。但此时,泄密信息早已进入到地下黑市交易,或是被雇佣方非法占有。
关于APT攻击更多需要注意的地方
1、不要过分依赖终端防毒软件
APT攻击惯用的伎俩大多是钓鱼、漏洞、后门等常见的攻击技术,但是通过对这些犯罪手段地综合性运用,最终会有一个恶意控制代码能够成功绕过企业外部防线。但根据趋势科技的调查统计,超过80%的受害组织,并不知道自身已遭受到APT攻击;在这些企业用户中,平均要经过346天才会发现自己遭受到APT攻击,当中有77%的组织在发现受到攻击时,已经被黑客取得完全的掌控,但只有50%的受害计算机内会被找出恶意软件。所以,具备小批量、针对性、不重复等特点的APT攻击面前,自动化恶意软件清除工具只能看到其冰山一角,过度依赖传统的防毒软件将不会帮助企业走出这种恶性循环。
2、企业可能接触到的小型网络
攻击者还会利用某个组织的网络基础设施来发动对其它组织的攻击。在某些案例中,攻击者会利用受害者的电子邮件账号来增加他们鱼叉式网络钓鱼攻击邮件的可信度。在类似的攻击事件中,为了实现对大型组织网络的攻击,黑客可能会从连接到该组织网络的小企业入手,然后以其作为跳板发动攻击。对攻击者来说,通过小企业的网络会更加容易也更为隐蔽,而且不会在大型组织的网络内留下痕跡。
3、超过95%的APT攻击始于社交网络钓鱼邮件
根据趋势科技的研究结果显示,超过95%的APT攻击始于社交网络钓鱼邮件,这类邮件通常含有传统邮件或终端安全产品无法检测的恶意附件或URL。“电子邮件”已经成为了黑客最易取得APT攻击成效的入口。在某些案例中,攻击者会利用受害者的电子邮件账号来增加他们鱼叉式网络钓鱼攻击邮件的可信度。而经过足够多的研究分析后,网络犯罪份子可以制造出社交工程诱饵,骗取足够多的员工点击网络链接或者打开邮件附件。
企业如何了解自身的APT防护能力?
APT攻击改变了当前的威胁形势,已经不可能再提前进行预防,我们必须假设自己将受到威胁。随着这一心理模式的转变,我们也必须重新制定安全策略。
1、是否转变了防御观念
APT攻击是否有“帮手”呢?答案是肯定的,这个帮手就是我们自己的固化的想法:“外围的一切都是危险的,内部的一切都是安全的。”但这种基于外围防御的安全策略早已过时,因为攻击者越来越狡猾,正使用各种方法穿过这些防御。另外,如果你已经仔细阅读或者从其他途径了解过一些APT攻击案例,便可以发现,最近的数据泄露事件已证明,尽管注重外围的新一代防火墙/IPS不断演进,却都无法着眼于内部网络的APT攻击检测。但即使攻击者再如何隐藏,他们要想窃取高价值得数据,并需要在网络中有所行动,这些蛛丝马迹可以在“横向移动”中被发现。
2、是否清楚APT攻击链和防护点
IT安全威胁越来越大,迫使许多企业只好拼命追赶,以应对最新的安全威胁,这早已不是什么秘密。但没有什么比APT攻击更让人忧心忡忡的了,它甚至可以让一名CEO下台,让一家企业失去用户的信任,或是花费数亿美金才能修复破坏。那么,损失惨重的数据泄露事件又是怎么发生的呢?
这是每家企业的信息安全主管思考的问题,他们必须全面了解APT攻击的生命周期,以及每个阶段呈现的特点,从这个链条中找到防护点。如果你已经清楚了APT攻击的过程,那么可以针对这些能力进行系统的评估:
a) 现有的防护设备能否检测到攻击?
b) 能否抓取攻击特征进行系统且全面的分析?
c) 能否通过策略调整避免遭受攻击?
d) 能否在最快的时间,有效阻止正在进行的攻击?
e) 如果攻击已经发送,能否降低损失,或者让攻击者决定耗费如此大的精力,窃取回来的数据可能不值几个钱?
f) 能否诱骗攻击者进入内部设定好的蜜罐网络?
g) 能否追踪攻击者,并最终摧毁?
关于APT攻击,CSO需要注意的地方
建议一:针对APT攻击是否制定了《自我评估清单》,例如您是否对员工制定了详细的社交网络防泄密培训;
建议二:是否能够在网络中部署威胁发现系统,识别APT攻击横向移动或C&C通信的行动
建议三:许多仅仅看似是“警告”的日志,单独来看均没有意义。但是,当某位专家审视这些事件时,它们就形成了一个显示外部攻击历程的“时间线”,公司是否拥有或外聘了这些专家。
建议四:您会发现向高级管理层阐述APT攻击的严重性是多么必要和困难。这可能很难以具体的投资回报率作为理由或很难解释为什么现有的安全控制不足。所以你现在就需要准备一份能够吸引(或者是震慑)PPT文稿,来说服自己的老板。
建议五:什么才是理想的解决方案?理想的解决方案会将整个安全基础架构编排到自定义的可适应防御中,您可以根据您的特定环境和攻击者来调整此防御。
建议六:定制化智能防御战略的实现需要借助其可扩展性及与多种产品的集成能力,以满足不同的企业环境需求。但绝对没有搬来就用的方案,因此,没有两个解决方案是完全相同的,而是根据业务大小、业务范围以及现有的安全基础架构而异。