一般的信息安全解決方案可以對抗高級持續性攻擊(Advanced Persistent Threat,APT )嗎? APT是為了從組織內部搜集特定檔案“特別”設計出來的嗎?資料外洩事件是APT造成的嗎?應該說APT攻擊是由“人”所發起的攻擊,因此他們是智慧的、積極的找尋並最終攻陷目標,那麼,今天IT團隊以及他們的網絡所面臨的挑戰將會更加殘酷。
為了有效的幫助企業制訂對抗APT的安全策略,趨勢科技TrendLab經過充分調查,采用直觀的數據圖表方式來說明了APT在各個階段所表現的形態。根據APT攻擊行為的特點分析,趨勢科技的研究人員將APT攻擊分為如下幾個階段,它們是:情報收集、進入點、命令和控制(C&C)通訊、橫向擴展、資產/數據發掘和數據竊取。
通過對APT各階段攻擊的分析,IT團隊可以了解到黑客對自己網絡發動攻擊時用到的戰術和操作。這種分析有助於觀察黑客從特定網絡所發動攻擊的行為,並結合內部系統存在的安全隱患,建立本地威脅防御體系和動態的安全策略,這是消除由同一伙黑客或是同一類型APT攻擊的關鍵。
在現實狀況下,要處理APT各階段的攻擊比一般的網絡攻擊要更加困難。比如說:在資產/數據發掘階段,此時攻擊者已經進到網絡內部,他們尋找並分析哪些數據具有價值,並加以利用。根據一項調查顯示,雖然公司的機密信息占全部數據的三分之二,但是只有一半的企業會針對此種威脅安排信息安全建設預算,信息安全有時也會淪為了“討價還價”的范圍。
解密APT攻擊過程全貌
第1階段,情報收集:攻擊者會鎖定的公司和資源采用針對性APT攻擊,通常將目標鎖定到企業員工的身上作為開端,並通過社交工程攻擊開啟一連串攻擊。而在調查數據中,只有31%的企業會懲處將公司機密資料貼到社區網站上的員工,這樣使得黑客非常容易的就能獲取到目標企業的IT環境和組織架構的重要信息。
第2階段,進入點:利用電子郵件、即時通信軟件、社交網絡或是應用程序漏洞找到進入目標網絡的大門。一項研究指出,在87%的組織中,會有網絡用戶點擊黑客安排的網絡鏈接,這些惡意鏈接都是精心設計的APT社交工程的誘餌。
第3階段,命令與控制 (C&C 通信):APT攻擊活動首先在目標網絡中找出放有敏感信息的重要計算機。然後,APT攻擊活動利用網絡通信協議來與C&C服務器通訊,並確認入侵成功的計算機和C&C服務器間保持通訊。
第4階段,橫向擴展:在目標網絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具,將攻擊者權限提升到跟管理者一樣,讓他可以輕松的去訪問和控制關鍵目標(如:公司的郵件服務器)。