APT攻擊解決方案

    隨著信息技術的高速發展，人類的生活跟網絡緊密地聯系在了一塊兒。在電子商務，網絡支付極其發展的今天，各種安全問題也隨之而來。網絡安全， 已成為當今世界越來越關心的話題之一。近年來，APT高級持續性威脅便成為信息安全圈子人人皆知的"時髦名詞".對於像Google、Facebook、 Twitter、Comodo等深受其害的公司而言，APT無疑是一場噩夢。於是，引發了行業以及安全從業者對現有安全防御體系的深入思考。

    在APT攻擊中，攻擊者會花幾個月甚至更長的時間對"目標"網絡進行踩點，針對性地進行信息收集，目標網絡環境探測，線上服務器分 布情況，應用程序的弱點分析，了解業務狀況，員工信息等等。當攻擊者收集到足夠的信息時，就會對目標網絡發起攻擊，我們需要了解的是，這種攻擊具有明確的 目的性與針對性。發起攻擊前，攻擊者通常會精心設計攻擊計劃，與此同時，攻擊者會根據收集到的信息對目標網絡進行深入的分析與研究，所以，這種攻擊的成功 率很高。當然，它的危害也不言而喻。要預防這種新型的，攻擊手法極其靈活的網絡攻擊，首先，應該對這種攻擊進行深入的探討、研究，分析APT攻擊可能會發 生的網絡環節或者業務環節等；其次要對我們自己的網絡進行深入的分析，了解網絡環境中存在的安全隱患，從而具有針對性地進行防護。

    下圖是個比較典型的網絡拓撲簡圖：

    （圖一）

    參照這個網絡拓撲，結合近幾年發生的APT攻擊，我們來分析下APT攻擊。

    1）2010年，Google被攻擊事件：

    攻擊者收集了Google員工的信息，偽造了一封帶有惡意鏈接的郵件，以信任人的身份發給了Google員工，致使該員工的浏覽器被溢出，接著，攻擊者獲取了該員工主機的權限，並持續監聽該員工與Google服務器建立的連接，最終導致服務器淪陷。前不久發生的Facebook被攻擊事件，與這個極為相似。

    2）2011年美國《華爾街日報》報道的一個安全事件：

    攻擊者通過SQL注入漏洞，入侵了外網邊緣的WEB服務器，然後以WEB服務器為跳板，對內外進行嗅探、掃描，進而入侵了內外AD服務器。攻擊者在已拿到 權限的主機裡種了自己的木馬，以公司領導的名義給員工發送了一封帶有惡意附件的郵件，最終導致大量公司內網主機權限被攻擊者所擁有。

    3）RSA SecurID被竊取事件：

    2011年3月，EMC公司下屬的RSA公司遭受入侵，部分SecurID技術及客戶資料被竊取。其後果導致很多使用SecurID作為認證憑據建立VPN網絡的公司受到攻擊，重要資料被竊取。

    通過以往的APT攻擊實例，我們可以總結出，通常，典型的APT攻擊會通過如下途徑入侵到您的網絡當中：

    1.通過WEB漏洞突破面向外網的Web Server.

    2.通過被入侵的Web Server做為跳板，對內網的其他服務器或桌面終端進行嗅探、掃描，並為進一步入侵做准備。

    3.通過密碼爆破或者發送欺詐郵件，獲取管理員帳號，並最終突破AD服務器或核心開發環境，被攻擊者的郵箱自動發送郵件副本給攻擊者。

    4.通過植入惡意軟件，如木馬、後門、Downloader等，回傳大量的敏感文件（WORD、PPT、PDF、CAD文件等）。