解读RSA2013热点话题—高级持续威胁（APT）

2013年2月25日在美国旧金山举办的RSA 2013信息安全大会，吸引了全球各地信息安全行业的顶尖专家与企业参与。作为行业内久负盛名的大会，今年的RSA重点围绕了以下议题展开：高级持续威胁(APT)、移动安全、大数据以及云安全。

可以肯定的是，高级持续威胁(APT)作为近几年的热点议题，不断在RSA掀起波澜。2011年，RSA首次演示利用智能分享平台应对高级持续威胁(APT)。2012年，高级可持续性攻击(APT) 直指安全防护的核心——重要敏感数据。所谓重要敏感数据，已经不再简单的局限于个人账户之类的单体敏感数据，而是指向对国家安全，地区稳定相关的机密核心电子数据。今年高级持续威胁(APT)依然成为大会企业和专家探讨的热门议题。事实已经证明：高级持续威胁(APT)正在逐渐成为针对高价值数据目标，最主流的攻击形式。这种攻击手段正在日益威胁组织机构的核心数据和重要数据资产，面对日益严峻的安全形势，我们必须从高级持续威胁(APT)攻击的概念、原理、形式特点等方面入手，充分了解并采取更高级的安全措施来防范。

首先介绍高级持续威胁(APT)和攻击原理。高级持续性威胁(Advanced Persistent Threat)是指组织(特别是政府)或者小团体，利用先进的复合式攻击手段对特定的数据目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和隐蔽，其高级性主要体现在APT在发动攻击之前，需要对攻击对象的业务流程和目标系统进行精确的收集。在此收集过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的C&C网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。

而攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉用户网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式。当一切的准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。因此，由APT攻击的原理和手段不难看出，此种攻击形式具有以下特点：

第一，隐蔽性极强。对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，在组织内部，这样的隐藏很难被发现。例如，2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞，伪造了合法的数字证书，冒充正规软件实现了欺骗攻击。在最近公布的“红色十月”病毒的行为分析报告中，我们可以看到，这种病毒从可考证的存在开始至今，已经成功的绕开传统的杀毒软件捕获5年之久。其专门感染“热点”地区的外交人员的电脑，从中搜取关键敏感信息，并不在互联网上大规模传播。据估计，该病毒在活跃的5年之内，已经成功的上传将近几T的机密敏感外交数据，而这些数据在情报市场，对于国家利益和地区安全，具有不可估量的价值。

第二，潜伏期强、持续性强。APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到找到所需的重要情报。他们往往不是为了短期获利，而是把“被控主机”当成跳板，持续搜索，直到充分掌握目标对象的使用行为。所以这种攻击模式，本质上是一种“恶意商业间谍威胁”，因此具有很长的潜伏期和持续性。

第三，对核心敏感数据和业务系统造成的危害极大。APT攻击者不关注短期获利，而是在于长期侵害，他们对用户的核心信息具有极强的“探索欲望”，一旦发现用户环境中的破绽，将会采取低频攻击的形式，将过滤后的敏感数据利用加密的方式外传。权威报告称，在2011年，5家西方跨国能源公司遭到黑客“有组织、隐蔽、有针对性”的攻击。超过千兆字节的敏感文件被窃，包括油气田操作的机密信息、项目融资与投标文件，资产损失无法估量。

APT攻击虽然具有极强的隐蔽性和持续性，但是对于发觉此类攻击并不是无章可循。3个信号有助于APT攻击的察觉。第一，日志登录信息的暴增。如果你突然发现日志的登录注销记录突然大量出现，这时候你需要警惕;第二，后门木马广泛衍生。这种攻击手段相当普遍，如果你发现内网中时常感染后门和木马，这时候你需要提高警惕;第三，数据包异常流动，如果你看到大量数据流从内部计算机向外部流动，或者企业内部时常出现不常见的压缩文件格式，这时候你需要警惕!

在本届RSA大会上，众多大牌厂商以不同的方法、策略、技术，提出了对APT攻击的解决方案，其中，金山以私有云平台应对APT攻击备受关注。金山私有云安全平台充分结合组织内部业务系统的特点，在企业内部搭建专属的私有安全网络，杜绝外界陌生文件在全网引起的软件环境变动，为组织机构构建独有的可信程序基因库。利用此种模式和成功研发的私有云安全系统，金山已经在国内帮助客户成功实现了对APT等高持续威胁的防御与查杀防范。

金山私有云安全系统的工作原理是：对用户终端环境中所有的文件(尤其是业务系统文件)进行全网扫描，从而建立专属的“云安全知识库”，云安全知识库采用“白名单”为主的模式，对于企业有用的文件将提取入库，并做“标白”处理。在组织内部，云安全知识库以外的任何程序或者文件将禁止运行。此外，此系统可对环境中新产生的灰文件，依靠金山亿万级的文件信誉体系和独有的程序行为动态分析鉴定器进行“洗白”处理。

金山私有云安全系统还能够对环境中的文件变化进行实时分析，掌控数据文件的安全属性，洞察文件属性的变化，并形成全网信息安全风险评估和预警，从而使APT攻击即使入侵内部，也无法正常启动和传播。从保护核心数据入手，杜绝APT攻击的发起和实施。据了解，此解决方案已经成功应用于某跨国大型IT企业，并成功捕捉到了针对此企业决策层发起的APT攻击，此企业部署私有云防范APT的运维模型如下：

某跨国大型IT企业部署金山私有云防范APT的运维模型

业界普遍认为，以私有云模式来防御APT攻击的解决方案和安全产品将不断涌现，在未来，随着APT攻击的不断恶化，以私有云模式保护企业级信息安全将得到极大的应用，APT攻击的防范将变成现实。