目前全球apt攻擊趨勢如何?針對apt攻擊,企業應如何防護?針對最普通的apt攻擊方式加密勒索軟體,現今有何對策?帶着這些疑問,51cto記者采訪到apt攻擊方面的安全專家,來自亞信安全的apt治理戰略及網關産品線總監白日和産品管理部總監徐江明。
apt攻擊成頭号網絡安全殺手
自2010年開始,apt攻擊就已經成為取代傳統黑客攻擊的一種非常重要的攻擊手段,而且呈現出愈演愈烈的形勢。白日認為,目前,在攻擊形态上,其主要呈現為一個非常簡易的、最普通的apt攻擊方式——惡意加密勒索軟體。在攻擊目标上,其已經不僅僅鐘情于傳統的大型企業,越來越多的中小企業成為攻擊對象,而且無論是金融還是電信,能源、政府等多個行業都成為衆矢之的。如今,apt攻擊頻率越來越高,影響越來越大。apt攻擊已成為國與國之間的第四戰場,成為國與國之間,上司人之間會晤的重要話題。總之,透過近些年的安全事件,我們會發現:apt攻擊越來越頻繁,已經逐漸成為企業頭号網絡安全殺手。
最普通、最簡易的apt攻擊方式——惡意加密勒索軟體
上面我們說到,現在apt攻擊的形态主要展現為惡意加密勒索軟體。那麼,勒索軟體的發展現狀如何呢?不幸中招了該怎麼辦呢?除了傳遞贖金還有其他辦法麼?
◆現在勒索軟體的發展現狀如何呢?
早在2005年勒索軟體就已經出現,最初僅僅是通過鎖定電腦螢幕作為勒索手段。直至2013年,加密型的勒索軟體出現,通過網頁惡意廣告、電子郵件附件等方式入侵電腦,利用加密秘鑰來惡意加密檔案。而且根據加密方式的不同,勒索軟體也不同,如:
cryptowall、cryptol0cker、ctb locker和cerber等等。以加密型勒索軟體cerber為例,不僅有語言選擇和語音等新功能,更限制中招使用者僅能通過比特币支付贖金。勒索軟體發展至今天,已經讓很多企業産生了不同程度的損失。
據一項勒索軟體調查報告顯示,2015年,全球勒索軟體數量上升35%,其中,43%的勒索軟體攻擊目标為企業。預計未來針對企業進行攻擊的勒索軟體比例将不斷上升,企業将會成為勒索軟體攻擊的主要目标。
◆不幸被加密勒索軟體攻擊該怎麼辦?
無論是個人還是企業,如不幸中招。在沒有備份的情況下隻有傳遞贖金,或者拒交贖金放棄資訊。除此以外,别無他法。
因為對于已知的加密算法,技術人員可以通過逆向分析的方法解密,但是勒索軟體的加密算法多數都是未知的,無法做到逆向。
◆遭遇勒索軟體基本無解,這該如何是好?
因為中招後基本無解,是以一切隻能從源頭做好防範。
就企業而言,大部分加密勒索軟體攻擊屬于淡定型惡意攻擊,它會用到進階定制化的附件或者vr,因其不具有普遍性,是以通過傳統的安全軟體無法識别。攻擊者隻要對加密勒索軟體的代碼進行修改,就可以穿過防火牆,直接到達桌面終端,而桌面終端的防毒軟體無法對其進行清除,因為沒有通過特殊碼進行比對,是以點選就中毒了。此時,隻能依靠下一代威脅偵測來解決,例如亞信安全提供了一套針對加密勒索軟體的解決方案,該方案提供防釣魚郵件的行為比對,行為識别,具有最新的未知威脅的監控能力。
對于企業的安全防護來說,白日建議企業應從以下兩方面做起:一方面,提高員工的安全意識,這樣至少可以解決60%的問題。特别是長期戰鬥在一線的從業人員,在上網的時候要提升自身的安全意識,不要打開不明郵件,以防被釣魚。另外,在浏覽網站時,不要輕易打開惡意連結。總之要學會自我教育,自我防範意識。另一方面,通過安全技術和安全産品及解決方案來對企業安全防護進行補充。這樣雙管齊下,通過個人安全意識和主動防禦相結合的方式可以解決80%以上的惡意勒索軟體的攻擊,把勒索軟體帶來的危害降到最低。
◆特别提醒:感染勒索軟體的電腦及時斷網
假如網絡中有一台電腦不幸遭遇勒索軟體攻擊,請及時斷網。為啥要這麼做?因為現在加密勒索軟體攻擊通過外圍進行資訊搜集,單點突破并對個體進行襲擊,對目标企業核心資産進行全盤加索要贖金這三步後,已經進入到企業網絡内部。這時候有些典型的apt類似于炒股短線,快進快出,索要到贖金就罷了。
但是真正的apt攻擊或者黑客組織可能不會就此罷休,真正的apt攻擊可能目标不僅僅是你的電腦,他可能從你的電腦橫向移動到企業中的其他終端或者伺服器上,或者鎖定整個企業的裝置進而進行勒索,或者潛伏下來,長期擷取公司數字資産,盜取資訊,對企業形成長期持久性的危害。我們知道,一個apt攻擊的周期短則半年,長則十多年都有。是以,假如一個員工遭遇勒索軟體攻擊,很有可能攻擊會通過員工的桌面然後跳轉到其他員工的桌面或者企業的伺服器上,針對企業實施勒索或者長期潛伏搜集資訊。
白日向記者表示,這種橫向移動是現在的企業使用者難以防範的。因為傳統安全防護理念認為所有威脅都來自于外部,沒有發現内部是最大的安全源。現在企業用的還是傳統的防禦體系和防禦架構,企業的安全投資大多是在邊界、伺服器和終端上,沒有基于内網的一體化安全防護。防護邊界的裝置無法檢測到橫向移動,隻有通過内網檢測裝置才能清楚攻擊是否從一台内網pc轉向另一台内網pc。是以,企業需要通過一定的技術方法和産品幫助管理人員找到由内到内的攻擊方式。考慮到此,亞信安全的apt解決方案實作了能夠對外網邊界、終端和伺服器,以及内網進行安全防護的産品平台。
企業如何及時防範apt攻擊?
白日表示,apt攻擊主要六個步驟,分别是:情報收集、單點突破、指令與控制(c&c 通信)、橫向移動、資産/資料發掘、資料竊取。是以,apt攻擊的防護也應從這六個階段出發。
第一,加強員工安全意識教育訓練以及内網安全,減少系統、伺服器、終端的漏洞以及因人而帶來的漏洞。進而讓攻擊者找不到漏洞,收集不到資訊而無從下手。
第二,防範單點突破,例如社交釣魚郵件類社會工程學攻擊。可以利用亞信安全深度威脅郵件網關(ddei)進行防護。
第三,完成單點突破後,攻擊者就需要對被控制的裝置下達指令,或者從外界擷取更多的攻擊工具,以進行下一階段的攻擊。是以,這時要做的就是應用亞信安全深度威脅終端驗證及行為分析系統(ddes)等産品對内網的伺服器、終端等裝置違規外聯進行阻止。
第四,針對橫向移動。如上所述,企業應注重内網安全防護,借助亞信安全深度威脅終端驗證及行為分析系統(ddes)及時發現有風險的裝置,及時阻止入侵行為。
第五,對企業核心資訊資産進行加密,或者drp,或者使用apt防追蹤的政策,進而防止黑客找到這些核心資訊資産。
第六,加強内網安全防護,通過drp技術,違規外聯檢測等技術阻止攻擊者将企業的核心資訊資産或者是重要資料打包帶走。
遭遇apt攻擊後需做好調查驗證工作
此外,針對apt攻擊,企業在部署apt防護解決方案的同時,還要做好apt攻擊後的調查驗證準備,通過攻擊回溯将企業損失将至最低。
對此,徐江明表示,針對apt攻擊的調查驗證并不是一件簡單的事情,在apt攻擊調查驗證方面企業面臨很大挑戰。其一,企業布防的安全裝置每天會産生大量的安全日志,面對大量的安全事件,在人力資源有限的情況下處理事件的先後就成了問題。其二,企業有沒有能力分析判斷流量或者檔案對自己是否有害。其三,企業是否能夠建立知識庫,避免被同一攻擊弄的焦頭爛額。
為了解決調查驗證難題,亞信安全最新釋出了ctic平台(進階威脅調查驗證中心),該中心可以針對進階威脅的專有日志進行分析,日志收集專而精,日志分析、規則編寫更精準。目前ctic中心提供的服務内容主要基于日志倉庫(亞信安全所有安全産品日志、windows、linux等系統日志),其設計目标保本地化2000家企業客戶日志數量長達3年。
總結
采訪最後,白日表示:“apt攻擊不是一個技術或者産品就能夠扼制住的,必須要做長期持久的對抗。因為黑客的攻擊是長期持久的,所我們要做的追蹤或apt治理也應是長期持久的事情,在這個過程當中需要用多種技術和解決方案綜合對apt做相關的偵測,包括分析,和進一步防治。”
作者:杜美潔
來源:51cto