取決于所詢(xún)問(wèn)對(duì)象的不同,高級(jí)持續(xù)性威脅(APT)或者被認(rèn)為屬于讓首席安全官們晚上都徹夜難眠的噩夢(mèng)般場(chǎng)景����,或僅僅只是安全營(yíng)銷(xiāo)方面的最新宣傳口號(hào)。因此�����,我們現(xiàn)在要做的就是全面了解一下APT的真實(shí)面目,以及什么樣的安全系統(tǒng)可以實(shí)現(xiàn)有效防范�����。
APT的定義
自從媒體開(kāi)始使用APT一詞之后��,市面上就出現(xiàn)了無(wú)數(shù)種定義�。某種程度上來(lái)說(shuō),美國(guó)國(guó)家標(biāo)準(zhǔn)及技術(shù)研究所給出的定義應(yīng)該屬于最客觀的類(lèi)型����。它是這么描述的:
它來(lái)自于一名具備非常先進(jìn)的專(zhuān)業(yè)技術(shù)并擁有大量資源的對(duì)手。采取的方法是利用多種類(lèi)型的攻擊(舉例來(lái)說(shuō)����,網(wǎng)絡(luò)、物理以及欺詐等)創(chuàng)造出各種機(jī)會(huì)來(lái)完成既定的攻擊任務(wù)��。通常情況下�����,這里所涉及的范圍將包含有目標(biāo)組織內(nèi)部的信息技術(shù)基礎(chǔ)設(shè)施,進(jìn)攻的方式可能是利用潛入信息來(lái)建立并擴(kuò)展立足點(diǎn)����,以達(dá)到破壞或者阻礙組織��、項(xiàng)目或者任務(wù)重要部分工作的目標(biāo);或者將自身隱藏起來(lái)以便在未來(lái)的時(shí)間可以完成既定任務(wù)���。高級(jí)持續(xù)性威脅的基本特征是:(一)能夠針對(duì)同一目標(biāo)進(jìn)行長(zhǎng)時(shí)間的反復(fù)攻擊;(二)可以承受防御者的極力抵抗;(三)在達(dá)到既定目標(biāo)之前���,進(jìn)行攻擊的能力不會(huì)降低。
該定義澄清了一種對(duì)于APT的常見(jiàn)誤解�����。這就是�,有些時(shí)間,它們會(huì)被當(dāng)作零日漏洞之類(lèi)的純技術(shù)問(wèn)題�。所謂的APT,就是針對(duì)明確目標(biāo)的攻擊���,涉及的范圍可以包含簡(jiǎn)單的社會(huì)化工程到極其復(fù)雜的惡意軟件�。為了達(dá)到既定目標(biāo)���,采取的手段可以達(dá)到無(wú)所不用其極的地步�����。這與利用大型自動(dòng)化工具來(lái)尋找可能存在潛在機(jī)會(huì)目標(biāo)的普通攻擊者形成了非常鮮明的對(duì)比��。
它的另一項(xiàng)明顯特征就是可以用于攻擊的資源數(shù)量極多����,這也是導(dǎo)致APT經(jīng)常會(huì)被認(rèn)為屬于國(guó)家支持的原因之一。這種關(guān)聯(lián)會(huì)還導(dǎo)致了一種APT只能由外國(guó)政府發(fā)起的誤解出現(xiàn);但實(shí)際上����,很多組織都會(huì)選擇資助攻擊者的活動(dòng),從希望進(jìn)行工業(yè)間諜活動(dòng)的公司到有組織犯罪團(tuán)伙在內(nèi)都屬于可能的后臺(tái)�。
APT的防御
面對(duì)攻擊者虎視眈眈所帶來(lái)的嚴(yán)重威脅,我們應(yīng)當(dāng)采取哪些措施來(lái)防范APT呢?首先��,在選擇出可以防范這類(lèi)威脅的可信防御措施之前�,我們需要對(duì)相關(guān)的基本常識(shí)有所了解。威瑞森最新發(fā)布的數(shù)據(jù)泄露調(diào)查報(bào)告中的數(shù)據(jù)顯示���,所有違規(guī)行為中有96%都屬于非常簡(jiǎn)單的情況��,是由于基本安全措施不到位造成的�。因此,對(duì)于公司組織來(lái)說(shuō)�,完善的密碼與驗(yàn)證策略、補(bǔ)丁管理工具���、切實(shí)有效的防火墻與IDS配置以及記錄審查工具這些基本安全措施應(yīng)當(dāng)成為必備的選擇����。
第二步要做的工作就是對(duì)于安全方面的既有認(rèn)識(shí)進(jìn)行放大處理��。由于這種類(lèi)型攻擊者的目標(biāo)是尋找最寶貴的信息資產(chǎn)�����,因此�����,我們就需要掌握這些信息究竟是什么���,都處于什么位置,哪些人有權(quán)進(jìn)行訪問(wèn)��,為什么需要以及什么時(shí)間進(jìn)行訪問(wèn)��。在回答這些問(wèn)題的同時(shí),我們就可以對(duì)基礎(chǔ)設(shè)施中需要重點(diǎn)關(guān)注的最關(guān)鍵部分產(chǎn)生更清晰的認(rèn)識(shí)���。而這反過(guò)來(lái)又可以為我們?cè)谶M(jìn)行日志異常審核時(shí)確定出真正的搜索重點(diǎn)來(lái)����,并能夠在事故發(fā)生時(shí)為采取正確的緊急處理措施提供助力���。
此外����,還有一項(xiàng)需要重點(diǎn)關(guān)注的工作就是認(rèn)識(shí)到用戶(hù)對(duì)于組織信息資產(chǎn)保護(hù)的真正重要性所在�。實(shí)際上,我們已經(jīng)聽(tīng)說(shuō)過(guò)數(shù)起APT利用社會(huì)化工程攻擊用戶(hù)的案例����。畢竟,對(duì)于任何公司來(lái)說(shuō)�,用戶(hù)安全方面的意識(shí)都應(yīng)當(dāng)屬于相關(guān)信息安全戰(zhàn)略中的關(guān)鍵要素。
