科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道网络安全应对APT:你的IT环境需要专业安全防护

应对APT:你的IT环境需要专业安全防护

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

2013年是高级持续性威胁爆发的一年,到2014年,随着有组织的网络犯罪集团开始瞄准企业和个人,数据安全环境变得更加复杂。在本次采访中,趋势科技谈了对APT攻击的现状和看法。

来源:IT168 2014年1月20日

关键字: APT IT环境 安全防护

  • 评论
  • 分享微博
  • 分享邮件

2013年是高级持续性威胁爆发的一年,到2014年,随着有组织的网络犯罪集团开始瞄准企业和个人,数据安全环境变得更加复杂。在本次采访中,趋势科技谈了对APT攻击的现状和看法。

应对APT:你的IT环境需要专业安全防护

在过去的两年里,我们看到了很多关于APT的看法和评论,你能谈一谈APT是如何演变成2014年的主要安全威胁吗?

在公共和私营企业数据泄露事故激增,而这里的主要的罪魁祸首是有针对性的攻击。传统保护已经不足以抵御这些攻击,攻击者可以偷偷摸摸地进出企业网络。

我们过去在APT看到的一些技术使用了单个攻击媒介来提供多种形式的恶意软件。我们还看到攻击根据防御措施的改变而发生改变。当防病毒软件通过模式匹配 技术检测到病毒时,恶意软件开发人员则在部署加密和多态技术以避免检测。同样的,如果系统中的一个入口被阻止,APT会寻找另一个入口。APT的动态性质 是安全威胁的共同特点,但APT与其他攻击有着明显的区别。

现在最具破坏性的攻击是专门针对你的人员、你的系统、你的漏洞和你的数据的攻击。行业专家、调查报告和现实世界案例分析表明,现有安全控制需要改进,安全从业者需要重新评估IT安全策略以应对高级针对性攻击。这些针对性的定制化性质已经改变了威胁环境。

APT可能对企业带来哪些不同的影响?企业通常怎样沦为持续攻击的受害者?你在印度市场发现任何特有的趋势吗?

信息安全泄露会导致数据丢失、经济损失、服务中断和声誉损失。企业面临着恶意活动和非恶意用户的威胁。恶意软件、社会工程学、攻击、SQL注入和拒绝服 务攻击都是很多安全专家希望他们没有经历过的攻击形式,然而,不幸的是,很多人已经遭受过。现在有很多防御工具让攻击者更难渗透网络,并且还有检测控制来 帮助快速发现泄露事故。

APT攻击者通过第一阶段工具获取对受害者机器的访问权限,随后他们会在受害者机器上部署工具。这些工具并不包括第一阶段工具,例如后门程序、木马程序和其他类型的工具。很多APT攻击者使用执行类似功能的自定义编码应用程序。

发现这些工具并不一定意味着你已经被攻击或者沦为APT的受害者。APT工具有时候被用于APT攻击的其他阶段。

APT攻击顺序通常遵循以下模式:情报收集>>进入点>> 命令与控制(C&C通信)>>横向移动>>资产/数据发现>>数据外渗。

步骤1: 攻击者发送恶意软件给受害者:这可以通过很多方式进行:带有恶意附件的电子邮件、USB闪存或者受攻击的网站。

步骤2: 该恶意软件在受感染系统上执行。这可能需要受害者的手动操作,或者通过漏洞利用而不需要任何干预。

步骤3: 当该恶意软件运行时,它留下了一个后门程序(例如STARSYPOUND或者BOUNCER),这些第一阶段的工具将后门程序交给攻击者以供以后访问。这允许攻击者保持对系统的持续访问。

步骤4: 攻击者上传工具来执行数据外渗、横向移动和其他操作。

  企业应该如何缓解这些漏洞?你可以深入分析APT攻击,来为我们揭示应该如何和在何处有效缓解这些威胁吗?

高级威胁检测只是专注于检测和阻止恶意软件,我们还需要能够跨企业的安全产品自动生成和分享安全更新的能力,以响应新兴威胁。每个企业都需要对相关威胁有一个自定义视图。

帮助缓解高级持续威胁的重要考虑因素包括:

自动生成安全规则和签名:响应是打击有针对性攻击的关键组成部分,也是经常被忽视的组成部分。高级威胁检测和响应解决方案应该自动生成内容,可供其他安 全解决方案查看。这可能会带来自动生成检测安全控制(例如入侵检测系统或用于主动拦截的恶意IP列表)的签名。这种系统还可以为基于端点的安全控制生成签 名。

在攻击历史上,上下文(context)为王,在响应有针对攻击时,越多上下文越好。这种上下文是至关重要的情报,研究表明,情报 是这些解决方案的重要特点。解决方案应该提供对可疑IP或域名的历史背景信息。来源曾被标记为恶意行为吗?来源域名没有信誉或者似乎是由机器生成表明恶意 的可能性?这种情报信息可以帮助负担过重的安全人员减轻工作。

定制和灵活性:适合你的并不一定适合我;你企业的需求与不同垂直市场的企业的需求不同。企业需要根据自身IT环境选择解决方案。

现在内部威胁正逐渐成为主要威胁向量,你能谈一谈内部威胁及其与APT的联系吗?

任何APT想要获得成功,必须得到对目标系统、网络或者数据的访问特权,而这通常是通过企业内心怀不满的员工,有时候内部威胁通常源自于心怀不满的员工或者网络的最薄弱环境。

这些员工造成的数据泄露事故可能是为了金钱收益,或者只是简单的投机取巧。这些数据泄露通常是利用未使用或未删除的账户或服务。

APT攻击者非常了解其目标,APT可能利用恶意的内部人员来绕过安全措施。

平均而言,你能否谈谈印度企业对APT的安全意识?以及响应工作的有效性?你会为他们提出怎样的建议?

在去年年初,我们就预测2013年将是高级持续威胁(APT)的一年,而此前的2012年是数据泄露和攻击的一年。APT比传统威胁更隐蔽更复杂,它利 用社会工程技术来悄悄地渗透入你的企业,部署定制的恶意软件,可以潜伏在企业网络内数月而不被发现。攻击者可以远程地隐蔽地窃取你有价值的信息。APT使 用情报收集技术,在政府、BFSI、IT和公共事业行业很常见。

很多企业感觉他们是APT的目标,根据Verizon DBIR 2013年报告,66%的数据泄露事故需要几个月才能被发现。不足为奇的是,趋势科技发现,55%的企业甚至不知道被入侵了,更少的企业了解攻击的程度或者到底是谁在背后实施攻击。

企业必须确保他们提前部署了APT战略,其中应包含人员、流程和技术。这不只是简单的技术问题,并没有“灵丹妙药”。

从APT在过去几年的发展来看,展望未来,你认为这个环境将会如何变化?

可以推断,在可预见的未来,APT都不会消失。在网络安全的历史中,总是会出现新兴攻击来应对新类型的控制。APT是长期潜伏的攻击,是攻击者动机变化和执行攻击可用工具变化的产物。这些攻击者通常愿意花时间和精力来入侵企业网络。

鉴于APT并不会消失,我们应该采取什么措施来缓解与之相关的风险?

我们应该继续部署拦截措施。反恶意软件、加密、漏洞扫描和修复补丁都是很好的做法。不过,为了对抗APT,这些做法并不够,我们应该假设会发生数据泄露 事故,这并不是说这些做法有问题,这只是要说明这样一个事实,即坚定的持久的攻击者可能会找到一种方法来绕过这些拦截措施。

我们必须实时监控网络流量和主机活动。一旦发生数据泄露事故,当务之急是尽快检测到泄露事故,并控制影响。这种控制可以包括隔离受损设备、关闭服务,并为取证分析收集数据。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章