APT攻擊作為一種復雜且多方位的攻擊,對於企業的安全保障構成了極大的風險。盡管很多全球化企業在安全控管上都投入了龐大的資源,但是APT攻擊仍然滲透進這些企業,並使韓國金融企業、Adobe等遭遇了重大損失。這些事件都向我們警示了APT攻擊的復雜性與巨大破壞性,並敦促我們盡快采取相應防范措施。
APT攻擊使企業面臨巨大風險
APT攻擊可能發生在任何一家公司,其中最大的一個原因就是為了竊取公司的機密信息。知識產權、金融資料、員工和客戶的個人信息、財務信息等很多機密信息都具有很高的價值。一旦黑客通過APT攻擊獲取這些機密信息,將有可能給目標企業造成巨大的損失。但同時,竊取機密信息並非APT攻擊的唯一原因,破壞系統、監視等都有可能成為黑客攻擊者的原因。因此,不管企業有無敏感信息,都時刻都暴露在APT攻擊的風險之下。
攻擊者可能會利用某個組織的網絡基礎設施來發動對其它組織的攻擊。在某些案例中,攻擊者會利用受害者的電子郵件賬號來增加他們魚叉式網絡釣魚攻擊郵件的可信度。在類似的攻擊事件中,為了實現對大型組織網絡的攻擊,黑客可能會從連接到該組織網絡的小企業入手,然後以其作為跳板發動攻擊。對攻擊者來說,通過小企業的網絡會更加容易也更為隱蔽,而且不會在大型組織的網絡內留下痕跡。
此外,一家公司也可能單純的被當成跳板,用來掩蓋攻擊者和目標之間的攻擊路徑。
在韓國近期遭受的大規模APT攻擊中,黑客就假冒銀行的電子郵件賬號發送主題為“三月份信用卡交易明細”的釣魚郵件,該郵件包含了名為“您的賬戶交易歷史”的惡意.rar文件,它會連接數個惡意IP地址並下載9個文件,企業內部的中央更新管理服務器也會因為遭受入侵而被植入惡意程序。
面對APT攻擊可以做什麼
不管企業的防御措施有多麼完善,只要一個設定錯誤或某個用戶打開惡意文件或訪問惡意網站,就可能會讓公司受到影響。因此,企業所要做的不僅是在攻擊發生後迅速的采取修補措施,還應該及時的對整個IT架構的數據動態進行檢測,一旦攻擊者進入公司網絡,受攻擊的目標必須要能盡快的加以偵測和控制。在這時間點,可以進行完整的調查來看看攻擊者去過哪些地方和造成哪些損害。
在韓國此次遭受的APT攻擊中,就有部署了趨勢科技TDA的韓國用戶成功的抵擋了此次攻擊。趨勢科技TDA具備完善的啟發式偵測能力與沙盒分析提示,當惡意程序在網絡中傳播感染其它用戶時,它們就會被打上標記,其中就包括向外界傳送信息或從惡意的來源接收命令的隱藏型惡意軟件。當TDA偵測出此次攻擊相關的郵件中的惡意附件後,企業就有充足的時間來定制防御策略(Custom Defense Strategy)以抵御攻擊。
對威脅進行偵測和控制的過程可能非常耗時,但是企業可以先專注在兩個方面來將損害降到最低程度,同時也讓事件調查可以盡可能的快速和成功。第一,企業要執行適當的紀錄政策,將網絡分割,並通過趨勢科技TDA等威脅發現設備來加強安全威脅檢測和對關鍵資料的保護。第二,企業要有已經受過訓練和運作正常的威脅情報小組和事件調查小組。
為了幫助改善安全狀態,滲透測試對公司來說也會很有幫助,從測試結果裡可以了解很多安全隱患。如果可以的話,也要進行社交工程和實體安全測試。一旦完成,滲透測試可以用來作為事件調查小組的訓練工具,並將所發現的信息提供給公司,有助於企業了解整體的安全性問題。
安全是一項投資,但由於APT攻擊可能對企業造成的巨大損害,這種投資是值得的。企業需要隨時關注APT攻擊的防御措施,並且了解更多關於如何盡量減少成為APT攻擊受害者風險的詳細信息,以保證企業的安全性。