APT攻击的那些事

　　如何防御APT攻击

　　现在，相信博学渊博的您已经对APT攻击有了基础的认知，面对这种随时随地都可能发生的威胁，如何在长期的持续的威胁中实现满足企业安全生产所必需的IT生产环境呢?下面我们就来看看如何有效抵御APT攻击。

　　电影《角斗士》中，Maximus攻防兼备骁勇善战，无论是面对野蛮凶残的迦太基勇士，还是饥饿强壮的狮虎猛兽，Maximus总能凭借敏锐的洞察力和丰富的作战经验一一化解。对于APT攻击的防范同样需要深思熟虑，任何疏忽都可能让您的安全壁垒坍塌。

　　对于传统的攻击行为，安全专家仅需关注恶意程序的样本提取并做分析，便可以掌握攻击者的动机及传播渠道，但对于APT攻击以点概面的安全检测手段已显得不合时宜。面对APT攻击威胁，我们应当有一套更完善更主动更智能的安全防御体系。

　　必须承认APT攻击的发起者有着超群的智慧和丰富的经验，因此检测APT攻击就必须密切关注攻击者所释放的恶意代码的每一个细节，包括功能、0day信息、命令与控制、社工手法、受害人、攻击活动频率等信息。理论上针对单一攻击事件，安全人员可以快速定位攻击源头，并作出对应的安全防御策略，然而这些却无法准确提取APT攻击属性与特征。因此，针对APT攻击行为的检测，需要构建一个多维度的安全模型，这里既有技术层面的检测手段，也有包含深入产业链的动态分析追踪。为此，金山在针对APT攻击行为检测方面注重从三方面入手：

　　Ø 静态检测方式

　　l 从攻击样本中提取攻击特征与功能特性;

　　l 对攻击样本逆向分析;

　　Ø 动态检测方式

　　l 模拟用户环境，执行APT代码段，捕获并记录APT攻击的所有行为;

　　l 审计网络中应用程序的带宽占用情况;

　　l APT攻击溯源;

　　Ø 产业链跟踪

　　l 实时跟踪分析网络犯罪团伙的最新动向。

　　多维度的安全防御体系，正如中医理论中倡导的防患于未然思想，在威胁没有发生前，为企业IT生产环境进行全面的安全体检，充分掌握企业所面临的安全风险。为实现针对APT攻击防御的多维分析与审计模型，金山安全研发团队从如下几方面着手：

　　u 动态的安全分析

　　Ø 提取并审核执行文件体、Shellcode以及PE文件头;

　　Ø 分析文件中的对象和异常结构

　　u 动态的安全分析

　　Ø 模拟系统环境安装各类执行文件体;

　　Ø 实施扫描系统内存与CPU中资源异常调要;

　　Ø 检测关键位置的代码注入或各类API钩子;

　　Ø 检测任意已知的代码分片;

　　Ø 检测Rootkit、KeyLogger、Anti-AV等恶意程序;

　　Ø 检测邮件、域、IP地址、URL中可疑的字符串。

　　APT防御利器，KingCloud私有云安全平台

　　再好的解决方案，最终需要落地为产品和服务。金山KingCloud私有云安全系统着重实时掌控企业IT生产环境变化。丰富的终端运维经验，金山能够帮助IT运维管理人员构建满足企业运维需求的终端安全基线，实现干净可用的初始化环境，简单方便的网络环境检测过程，无需管理员干预即可掌握整个网络应用环境，一旦确认应用类型即可下发灵活的权限控制策略，极大的降低了管理员的管理门槛。

　　作为全新的企业IT运维级安全解决方案，金山私有云充分考虑终端资源滥用问题，细粒度的应用控制策略和低于10M的内存资源占用，确保了在现有的IT环境中最大限度的优化终端系统可用性。强大的云防御功能可以精确抵御各种非授权行为对网络的破坏，管理员可根据用户业务类型严格限定用户的访问权限和文件操作权限，无论是企业文件服务器、终端工作站、瘦客户端、移动PC或者智能终端，金山KingCloud私有云安全系统都可发挥极佳的安全防御效果。

　　独有的云修复功能，可在企业内网终端发生异常宕机或蓝屏时，快速恢复系统初始状态，为企业IT信息系统的安全稳定运营提供强大的运维保障。值得注意的是，金山KingCloud私有云可以帮助IT管理者实时掌控企业IT生产环境点滴变化，无论是受信软件还是未知应用，企业生产环境关键位置上所产生的任意微笑变化都将第一时间上报企业IT管理。，之前提到的受害者邮箱自动转发副本邮件给攻击者，恶意脚本对用户境的自动检测等行为，都逃不脱金山私有云安全平台的掌控，管理员只需针对恶意行为或文件进行统一策略下发，便可瞬间切断隐藏在企业机构背后的黑手。

　　当然，今天的信息安全已不再是只靠产品解决方案便可衣食无忧的年代，企业机构内部员工安全意识培训同样必不可少。对于APT攻击行为，控制用户终端使用习惯提升安全操作意识，制定明确的信誉评估，甚是网内传出数据与流量，了解安全威胁趋势和合理的终端设备管理，都会帮助用有效降低APT攻击的发生。在杀毒软件已经成为企业安全防御的基本武器的同时，终端应用与事件的精确管控同样必不可少。

　　今天当IT与日常生活工作结合的愈发紧密之时，安全的边界已经从传统的网关、终端延续到任何应用及业务可能到达的每一个节点，此时APT攻击很可能就潜伏在您的身边。，仅2011年就有多起严重的APT攻击事件被媒体曝光，曾经可靠的CA证书随时可能成为摆设，Comodo、DigiNotar、RSA、洛克希德马丁每一起事件的发生都足以引起整个信息安全业界的思考，还有什么理由疏忽任何看似细小的威胁?

　　可以预见APT攻击行为将在未来成为威胁政府、企业等重要信息系统的致命威胁，然而值得庆幸的是矛与盾的较量始终还在继续，我们有理由相信正义终将战胜邪恶。最后让我们见证APT攻击给今天信息安全带来的改变：

　　l 西方先进国家已将APT防御议题提升到国家安全层级，这绝不仅仅造成数据泄露;

　　l APT攻击时代的来临预示着定向攻击将成为恶意软件发展的新趋势，传统的蜜罐或蜜网将难以捕捉APT样本;

　　l 针对APT攻击防御手段，需要对整个信息安全环境有清晰的认知，只有形成及时的产业链情报收集，甚至全球安全动态跟踪方有可能真正做到防患于未然;

　　l 落实信息安全管理策略，例如严格按照等级保护规范实施严格的系统隔离策略，制定严格的移动设备管理策略。