防御APT 网络安全矛与盾之间的生死时速
先回顾一下,最早有关APT类攻击的报道就是2010年伊朗核设施遭遇Stuxnet——超级工厂病毒攻击,造成伊朗核电站推迟发电。2011年索尼、RSA、洛克希德•马丁公司……相继遭遇有针对性攻击。去年安全技术公司nCircle进行的一份调查咨询了563名IT安全专家,16%的受访者将APT列为了自己2011年最大的安全顾虑。有报告称,每日针对性攻击数量由2010年底的77次增加到了2011年底的82次。
这类有针对性攻击的持续出现,意味着网络恶意攻击正在愈加职业化、有组织化,并正在具有商业犯罪、军事攻击、恐怖袭击等高级属性。虽然现在安全业界已经有了一些防御思路,但人们也不得不承认的是“阻止APT攻击,实在太难了……”
APT不是炒作,APT是一种攻击的类型。其主要针对经济、军事、情报发起有针对性的攻击,它可以在目标系统里潜伏很长时间。为了发起APT攻击,攻击者会进行针对性的资料搜集,对被攻击目标进行详尽的分析。攻击者对于各类网络技术、安全技术都十分熟悉。
APT攻击与传统攻击不同,传统攻击方式在正常的系统里非常明显,很容易被识别。而APT攻击则完全将自身融入到正常系统里,极其难于被检测发现。
APT攻击在早期的攻击阶段,也就是准备阶段、进入攻击的初期阶段,其更注重隐藏性。这就像疾病的初期,没有很明显的征兆。然而当疾病暴发时——也就是当APT发现(等到)了攻击目标时,在APT发起攻击动作后,其就会与整个系统格格不入。这也正是进行APT防御的最佳时机,也是攻击者与防御者争分夺秒的时候:如果攻击者抢先一步实现完整的攻击,那么被攻击者将损失巨大;如果防御者能够在及时发现攻击者动作后,抢先一步实现防御阻断,那么就能避免可能的损失,使得APT攻击功亏一篑。
说起来似乎很简单,但实际操作起来太难了。
要想防御APT有针对性攻击,需要对整个网络进行不间断性的监控,进行网络情报分析,而这里将涉及大量结构化数据、非机构化数据。所以目前来看,网络情报分析仅有大型机构才有条件、有能力进行。而进行情报分析并不意味着就能发现攻击痕迹,网络情报分析意味着为发现APT攻击提供一种可行的方法。比如对于“匿名者”这类恶意攻击组织,可以针对其攻击行为进行调研分析,发现其攻击特征,提前进行防御。这需要将网络情报的分析连接起来,而只有技术非常进步的公司才能做到这一点。这需要借助于云计算等技术来对大数据量的情报进行分析,争取更早的发现APT攻击的痕迹,进行更早的防御、反击。
如果企业即将作出的某个决策可能吸引黑客组织的注意,那么企业的风险管理部门是应该让安全团队保持警惕,还是应该否决这项业务呢?如果企业的某个决定不会由于黑客攻击给企业造成巨大损失,那么企业的风险管理团队应该尽快考虑如何加强安全防范——从真实的人到虚拟的网络。在黑客专业的网络攻击面前,网络安全将不仅仅局限于网络自身,还将涉及网络在现实世界里的延展。