什么是 APT?简单的说就是针对特定组织所作的复杂且多方位的网络攻击。
APT 进阶持续性渗透攻击 (Advanced Persistent Threat, APT)可能持续几天,几周,几个月,甚至更长的时间。APT攻击可以从收集情报开始,这可能会持续一段时间。它可能包含技术和人员情报收集。情报收集工作可以塑造出后期的攻击,这可能很快速或持续一段时间。
例如,试图窃取商业机密可能需要几个月有关安全协定,应用程序弱点和文件位置的情报收集,但当计划完成之后,只需要一次几分钟的执行时间就可以了。在其他情况下,攻击可能会持续较长的时间。例如,成功部署Rootkit在服务器后,攻击者可能会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)进行审查。
企业面对不断演变的安全威胁环境。其中一项最大的挑战就是APT进阶持续性渗透攻击,它是针对特定组织所作出复杂且多方位的攻击。要减轻APT的风险需要比传统的多层次防御更先进的作法,包括即时威胁管理。本文要系列介绍APT的性质,它们对企业所构成的风险,以及如何去封锁、侦测并遏制APT和其他新威胁的技术。我们先从实务面来评估APT的性质,大致如下:
今天APT的性质
不断变化的安全威胁环境
APT的要素
不断变化的企业运作,让问题更加复杂
评估控制和减轻APT风险的可能性
很显然地,安全威胁环境变得越来越具有挑战性。对于信息系统进行攻击的动机和方法正在发生变化。有决心有毅力的攻击者正运用着多种手段去打破安全控制。企业需要透过多种安全管控来做应对,包括即时监控和快速遏制措施。
今天的APT
APT是针对一个特定组织所作的复杂且多方位的网络攻击。不管是就攻击者所使用的技术还是他们对于目标内部的了解来看,这种攻击是非常先进的。APT可能会采取多种手段,像是恶意软件,弱点扫描,针对性入侵和利用恶意内部人员去破坏安全措施。
APT是长期且多阶段的攻击。
APT攻击的早期阶段可能集中在收集关于网络设定和服务器操作系统的的详细信息,接着,精力会放在安装Rootkit或其他恶意软件去取得控制权或是跟命令与控制服务器建立连接。再下来的攻击可能集中在复制机密或是敏感数据来窃取知识产权。
重要的是要明白,APT不是一种新的攻击手法,也不是可以藉由阻止或破坏一次攻击就让问题消失。APT可以被视为更像是一个网络攻击活动而不是单一类型的威胁;可以想成是进行中的过程。杀毒程序可能会阻止APT攻击所使用的恶意软件,但并不意味着停止攻击。就其性质而言,一个APT是一段持续的攻击。如果一个战术行不通,就会再尝试另外一个。实际上,我们不应该只去思考单一对策,或只是在多层次安全策略上增加更多防御层,相反的,我们应该思考将其他例子中可能用来拦截、侦测和遏制的各种方式都组合起来。现在,很合理的我们会想问,要如何做到这一点?
不断演变的安全威胁环境
企业和政府面临着一个不断演变的安全威胁环境。从一开始为了用来吹嘘而去攻击媒体网站或用拒绝服务攻击DDoS来切断流行网站的服务,到现在是为了经济利益而攻击。攻击者能够透过诈骗或窃取知识产权来直接获取利益,或是间接地经由破坏竞争对手的服务或进行大规模资料窃取攻击来入侵客户的个人金融信息。而除了动机上的变化,攻击手段上也有所改变。
应用程序架构的改变和将核心操作去中央化都为攻击者带来机会。在过去,银行行员和自动提款机是银行帐户进行交易唯一的途径,现在你可以用手机做到这一点。也就在不久之前,谈论到零售商就会想到有实体店面的店家或商场,现在它会让人们联想到可以出售各种东西的网站,从书籍到电器都有。
网页应用程序提供多种业务相关服务来完成整个工作流程,而且还能串到后勤管理系统,像是库存管理和应收账款等。这些都很容易成为弱点扫描,注入攻击和其他用来找出应用程序结构或潜在漏洞等信息探测器的目标。
演变中的安全威胁环境里的另一项因子是会组合多项技术。恶意软件可以被用来执行特定任务,如侧录键盘,或者它可能包含一个通讯模组,可接收命令和控制服务器所下达的指令,来让攻击者去进行探测,搜索,并且根据找到的信息来改变战术。
我们在APT中所看到的某些技术,在之前的混合式攻击(在一次单一攻击中使用多种的恶意软件)中就已经看过了。我们还看到攻击会因应使用者对策而改变。当杀毒软件成功的利用病毒代码比对技术来侦测到病毒时,恶意软件作者会采用加密和多形技术来让自己的程序得以避免侦测。同样的,如果一条进入系统的路径被封锁了,APT会寻找另一条路径。APT可变动的性质是安全威胁的共同特点,但有其他特点可以区别APT和其他类型的攻击。
APT的要素
从最基本面来看,有三项特点让我们认为这攻击是APT:
出于经济利益或竞争优势
一个长期持续的攻击
针对一个特定的公司,组织或平台
企业和政府是APT的目标原因很明显。企业拥有高度价值的金融资产和知识产权。而从有政府组织以来,政府组织就是会面临外来的攻击。因此,APT的概念在许多方面都没有什么新意。唯一新的是执行这种威胁的方法,已经进入网络和应用程序的领域了。
长期攻击可能持续几天,几周,几个月,甚至更长的时间。APT攻击可以从收集情报开始,这可能会持续一段时间。它可能包含技术和人员情报收集。情报收集工作可以塑造出后期的攻击,这可能很快速或持续一段时间。例如,试图窃取商业机密可能需要几个月有关安全协定,应用程序弱点和文件位置的情报收集,但当计划完成之后,只需要一次几分钟的执行时间就可以了。在其他情况下,攻击可能会持续较长的时间。例如,成功部署Rootkit在服务器后,攻击者可能会定期传送有潜在价值文件的副本给命令和控制服务器进行审查。
有一些广为人知的APT攻击演示了发动APT的手段和动机:
以Zeus僵尸网络/傀儡网络 Botnet当例子,一开始是作为攻击金融机构的平台,但被改成一个框架提供给其他类型的APT。
极光(Aurora)APT攻击Google和其他科技公司,似乎在试图取得存取权和可能去修改应用程序代码。
Stuxnet 是高度针对特定产业的恶意软件,其中包含一个针对用在工业设备上可编程序控制器(Programmable Logic Controller, PLC)的Rootkit。所以新闻圈有人猜测Stuxnet 是由一个或多个政府来开发的。
而这些APT可以利用我们提供服务的改变来加以攻击。
不断变化的企业运作,使问题更加复杂
使用技术和攻击动机的改变只是APT成为如此严重威胁的部份原因。我们如何去设计系统让使用者存取商务应用程序也是原因的一部分。
想到边界化。过去防火墙会阻止未被明确允许的连接。由于进阶应用需要有更灵活的网络连接。外部人员需要访问内部资源。开发人员开发应用程序去建立通道让被封锁的协定藉由被允许通过的协定(也就是HTTP)穿过。现在并不是用单一边界包围着所有的网络资产,企业开放存取更多的服务器而只依赖于基于设备的管控和网络流量监控。
另一个可以被APT所利用的因子是手机和其他无法被管理的设备使用增加。IT部门并不总是能够要求在杀毒软件或存取控制到位之后,设备才可以使用内部服务。这些设备可以被APT利用来做为攻击企业或政府网络的一部分。
同样,增加外部可用的网页应用程序提供另一种可能的攻击方法。举例来说,对于网页应用程序的注入攻击可以用来收集资料库内容或是程序结构相关的情报。
藉由扩大员工访问重要信息系统的能力,企业可以让员工更容易也更有效率的进行必要的工作。但是,这样也增加了可能的攻击入口。
技术和组织方面的因素在工作上会导致APT攻击的可能性。其中许多因素,像是提供员工更多功能和可以从移动设备来存取应用程序都是这么的有帮助,很难想像要去削减它们。我们可以降低APT的风险,而不必牺牲这些和其他的好处。
从实务面来评估控制APT的可能性
从实务面来看,在可预见的未来,APT将会一直与我们同在是很合理的假设。在网络安全的历史中充满了新型态攻击出现以因应新型态控制的例子。APT是长期的过程导向攻击,是攻击者动机和攻击手段改变下的产物。既然APT已经存在了,有什么合适的策略可以用来减轻相关的风险呢?
我们应该继续部署拦截对策。杀毒软件,加密,弱点扫描和上修正程序(Patch)都是很好的做法。但是他们还不够去应付APT,所以我们应该假设会被攻击成功。并不是说这些对策有问题;,这观点只是认定一个事实,就是有决心而且坚持的攻击者始终会找到一条路摆脱所有的防堵办法的。
所以在某些点上会被攻击成功的前提下,我们必须即时的监控网络流量和电脑上的活动。万一攻击发生了,能够尽快侦测到攻击和遏制它所造成的影响是迫切需要的。遏制方法可以包括隔离被入侵的设备,关闭服务器和收集资料以作监识分析之用。
