通过大数据分析寻找APT攻击的蛛丝马迹
在过去的20多年里,攻与防的较量始终没有停息,信息终端所面临的风险也从单纯的病毒破坏发展到木马、间谍软件等带有明确的利益驱动的行为。而APT(Advanced Persistent Threat,高级可持续性威胁)攻击作为目前攻击类型中最高端的攻击模式,以及在全球多个国家的*和企业中发生的众多攻击实例被频繁讨论。
“APT是结合了包括钓鱼攻击、木马攻击、恶意软件攻击等多种攻击的高端攻击模式。原来的APT攻击主要是以军事、*和比较关键性的基础设施为目标,而现在已经更多的转向商用和民用领域的攻击。它的目标不仅仅是得到情报,而是通过攻击来获利。”EMC信息安全事业部RSA产品管理经理Israel Aloni在接受ZDNet记者采访时表示。
EMC信息安全事业部RSA产品管理经理Israel Aloni
APT以人为目标寻找攻击薄弱点
在解释APT典型的攻击步骤时,Aloni告诉记者,攻击者首先找出它们所需要的访问权限的个人,然后发送伪造的带有恶意链接或附件的电子邮件,感染特定的、高价值员工的机器。一旦进入,攻击者映射出公司的IT环境以确定战略资产、特权节点和具备更多有用权限的员工。随后攻击者通过其他钓鱼方式或通过解密系统管理员的凭证来提升权限,接着安装恶意软件来劫持系统,创建后门,建立“后背连接”功能与指挥和控制服务器通讯。最后,攻击者激活指挥和控制设施窃取、加密、压缩和传输信息。
Aloni列举了几个APT攻击的案例,某国际航天集团的员工在企业中的信息被黑客攻陷。通过链入社交网站,发现这个人的相关信息,再给他发送长矛式钓鱼邮件,进入他的信息系统。利用这个记录点,进入企业系统,发现企业系统的零日漏洞,利用漏洞使机器感染恶意软件,而这些恶意软件可以发现企业内部到底哪里会有重要的数字资产。借此进入运营中心,攻击者持续对其他员工和网络进行攻击,最终发现并获取最有价值的数据。
在以色列的反网络欺诈中心发现,有些黑客攻击了股票交易所。但其目的并不是要做股票交易,而是通过APT攻击了解贸易双方进行交易的人,通过长矛钓鱼攻击,从而获取更有价值的信息。实际上攻击者不仅仅是想获得财务回报,还想得到知识产权、客户数据库等等,这些他都认为是高价值的资产。
所以,从APT典型的攻击步骤和几个案例来看,APT不再像传统的攻击方式找企业的漏洞,而是从人开始找薄弱点。APT的攻击是针对一些高价值的信息,利用所有的网络攻击模式,持续瞄准目标以达到目的。Aloni指出,由于APT攻击以人为目标,它的攻击模式发生重大转变。以往的防病毒、防入侵检测主要目的是监测系统,它对应对新型攻击的作用有待商榷,要采用新的安全策略予以应对。
从发现、大数据分析到响应形成闭环系统
因为APT攻击以找到企业最薄弱的环节——人为跳板,所以企业需要教育员工,告诉员工不要随意打开你不熟悉的软件或者做违背公司规定的操作。Aloni强调,但企业自身的防范系统最重要。
根据历史数据,大部分APT都是未被发现的,只有10%是被企业发现的,而90%是被外人告知的。所以企业首先要通过更加智能的工具及时发现这种攻击,提升发现APT攻击的能力。
其次,企业需要对大数据进行分析,以强大的调查平台,在大量的数据中发现蛛丝马迹。通过数据分析引擎,对工作流程进行相关数据的关联性分析。Aloni指出,以前的问题在于所有的信息都分布在企业不同的地方,对于调查取证非常困难,所以很难发现这样的攻击。而系统如果可以快速搜集这些信息,进行关联性分析就能很快发现这种攻击。同时这套系统还要具备智能性,了解员工的行为信息,这是一种对使用情景的识别,围绕流程或者行为,把这些信息收集起来进行识别。同时,还需要对外部、第三方提供的攻击代码模式智能感知。
在身份认证的层面上,要以风险为导向,因为原来的静态密码已经不能保护单一用户了,企业系统要更加智能化才能应对当前这种攻击。系统除了能做控制,还要能去发现不太正常的状态。大数据需要一个中控系统把所有内部的、外部的信息收集起来进行分析,所有传统意义上的边界安全已经不能起到作用。
最后,除了前端的发现工具、分析工具外,要通过控制层进行快速响应。过去这种系统都是孤岛型的,控制层和管理层都是隔离的,很难做到快速响应。随着虚拟化和大量移动终端接入和云计算的普及,必须要形成闭环智能信息安全系统。
RSA针对APT攻击有一套信息安全管理中心的解决方案,其主要的特点就是把一些大数据收集起来,进行分析、检测、监控。Aloni表示,RSA第一次把这些变成整体的系统,因为原来做身份认证的只是身份认证,做日志管理的也只是日志管理。如今把控制点的信息都加起来,让每个层面都变得智能、敏捷并进行协作。
在这套流程里,一边有日志全采集,一边有网络监控,把所有的东西放到一个统一的监控平台上,就相当于建立了全自动化的响应系统。可以为决策提供快速支持,相当于一个智能系统,而不是用分散的信息进行独立的分析。Aloni进一步说到,其实这种智能有时候不光是企业内部系统产生的,如果有第三方类似经验或类似攻击模式的分享,就可以在系统中了解哪些是恶意软件或APT攻击,从而快速建立起防御。他同时强调,RSA的安全产品一个非常重要的功能就是Netwitness网络监控可以回放,就像摄像头一样。发现不正常的情况后,可以把场景进行回放,了解攻击的去向。原来边界安全的做法是,如果受到攻击,只要关闭端口就可以了。而APT可能潜伏一周、一个月、一年甚至更长的时间,所以必须要有网络回放,从而增强监控能力。最后,从发现到响应形成闭环系统。
上一篇: 来自Google的内部报告:大数据的类型和数量同样重要
下一篇: PHP实现取得HTTP请求的原文