最近一段時(shí)間,APT(高級(jí)持續(xù)性威脅)已經(jīng)成為安全界人士談?wù)摰母哳l詞。剛剛過去的5月,已經(jīng)有不止一家企業(yè)針對(duì)APT發(fā)布了相關(guān)的安全產(chǎn)品,如:5月22日,趨勢(shì)科技發(fā)布了新一代威脅管理工具TDA解決方案,該方案旨在幫助大型企業(yè)和政府組織抗擊高級(jí)持續(xù)性威脅(APT)和針對(duì)性攻擊(Targeted Attacks);5月23日,RSA(EMC信息安全事業(yè)部)召開網(wǎng)絡(luò)研討會(huì),就如何利用智能主導(dǎo)的信息安全架構(gòu)和解決方案應(yīng)對(duì)APT的問題展開了集中討論,并重點(diǎn)推介了定位為安全管理中心的SMC打包解決方案;5月24日,啟明星辰發(fā)布了兩款萬兆產(chǎn)品,也著重強(qiáng)調(diào)了這兩款高性能新品在對(duì)抗APT時(shí)的強(qiáng)大威力。在大大小小的安全會(huì)議上,APT一詞也幾乎每一次都會(huì)被提及。
APT已經(jīng)襲來,如果你仍然認(rèn)為這只是聳人聽聞的炒作,那就真的危險(xiǎn)了。2011年,在美國(guó)本土,光是有據(jù)可查的大型安全攻擊就有70多起。中國(guó)的APT公開案例雖然相對(duì)少見,但這并不代表APT案件真的少了,在國(guó)家網(wǎng)絡(luò)信息安全技術(shù)研究所所長(zhǎng)杜躍進(jìn)看來,這是中國(guó)的安全威脅發(fā)現(xiàn)能力有限所致。
那么,對(duì)付APT難點(diǎn)在哪兒?筆者認(rèn)為,對(duì)付APT難在技術(shù),更難在人。
APT,是黑客以竊取核心資料為目的,針對(duì)客戶所發(fā)動(dòng)的網(wǎng)絡(luò)攻擊和侵襲行為,是一種蓄謀已久的“惡意商業(yè)間諜威脅”。 “潛伏性和持續(xù)性”是其最大的威脅。潛伏性,是指這種威脅可能在用戶環(huán)境中存在一年以上或更久,他們不斷收集各種信息,直到收集到重要情報(bào),發(fā)動(dòng)APT攻擊的黑客目的往往不是為了在短時(shí)間內(nèi)獲利,而是借助“被控主機(jī)”當(dāng)成跳板,持續(xù)搜索,直到能徹底掌握所針對(duì)的目標(biāo)人、事、物;持續(xù)性,體現(xiàn)在APT攻擊者不斷嘗試的各種攻擊手段,以及滲透到網(wǎng)絡(luò)內(nèi)部后長(zhǎng)期蟄伏,其病毒家族持續(xù)更新,以對(duì)抗安全軟件的檢測(cè)。
APT威脅和攻擊是有組織、有目標(biāo)、利益驅(qū)動(dòng)的,這些特點(diǎn)使得傳統(tǒng)的方法難以對(duì)其進(jìn)行抵御。具體來說,傳統(tǒng)方法對(duì)付APT力不從心體現(xiàn)在:APT使用的社交工程攻擊日趨成熟,郵件幾乎真假難辨;零時(shí)差攻擊造成防御的空窗期;它可輕易避開防病毒軟件的偵測(cè);傳統(tǒng)的代碼比對(duì)機(jī)制無法找出新威脅等。
實(shí)際上,從技術(shù)上看,APT攻擊技術(shù)并無太多新鮮之處。它最可怕的地方在于:有計(jì)劃、有組織、有目標(biāo)、利益驅(qū)動(dòng),APT的發(fā)動(dòng)者是人,其目的是為了獲利。它的周期可以設(shè)定得很長(zhǎng),它不靠單個(gè)病毒,也不靠單個(gè)惡意代碼和漏洞,它可以沉下心來設(shè)計(jì)非常多的東西,構(gòu)成一個(gè)完整的閉環(huán)。這就對(duì)安全人員的經(jīng)驗(yàn)提出了更高的要求。
具體到一個(gè)企業(yè),要對(duì)付APT更有賴于決策者的意識(shí)。在RSA公司資深技術(shù)顧問華丹看來,應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅最困難之處并不是在技術(shù)層面,而是在前期企業(yè)對(duì)APT攻擊或網(wǎng)絡(luò)威脅的重視程度和理解程度。華丹在與客戶溝通時(shí)經(jīng)常發(fā)現(xiàn)一個(gè)現(xiàn)象,企業(yè)的IT安全部門認(rèn)為應(yīng)對(duì)APT很重要,但企業(yè)的決策者并不這樣認(rèn)為,因?yàn)锳PT往往不會(huì)立刻發(fā)作,而在潛伏期,它又往往缺乏較強(qiáng)的可視性,因此,它很難獲得非IT人員的理解。
對(duì)付APT的關(guān)鍵在人,這還體現(xiàn)在:目前,市場(chǎng)上雖然并不缺乏針對(duì)APT的產(chǎn)品和解決方案,但用戶往往很難做到事前防御。安全人員的經(jīng)驗(yàn)在這個(gè)時(shí)候顯得至關(guān)重要。理論上,APT的事前防御并不是不能實(shí)現(xiàn)。但在目前,由于絕大多數(shù)用戶企業(yè)都缺乏擁有豐富經(jīng)驗(yàn)的安全人員,所以大部分用戶企業(yè)只能在事中(也就是攻擊發(fā)生時(shí))開始實(shí)施防御,在防御APT時(shí)并不能做到足夠主動(dòng)。
未來,APT攻擊會(huì)變得更為常態(tài)化。對(duì)企業(yè)來說,當(dāng)擁有了對(duì)付APT的工具后,最關(guān)鍵的事就是盡可能的把產(chǎn)品的功能用好,在人和流程上不斷進(jìn)行優(yōu)化,讓安全系統(tǒng)能真正跟企業(yè)業(yè)務(wù)緊密融合起來,實(shí)現(xiàn)有效防護(hù)。
