信息來(lái)源：比特網(wǎng)

      美國(guó)聯(lián)邦調(diào)查局某高官曾經(jīng)說(shuō)過(guò): “世界上只有兩種大型企業(yè)，一種是知道已經(jīng)被黑客入侵的企業(yè)，另一種則是被入侵卻渾然不知的企業(yè)?！?

      有人感覺(jué)，“高官”的言論未免太過(guò)極端，但不可爭(zhēng)議的是，近幾年APT攻擊愈演愈烈。數(shù)據(jù)統(tǒng)計(jì)，僅2014年全球就有超過(guò)80000家公司遭遇網(wǎng)絡(luò)攻擊，其中只有2122家公司被迫公開(kāi)承認(rèn)，全球500強(qiáng)公司大面積淪陷，攻擊范圍涉及全球60多個(gè)國(guó)家和地區(qū)，由此可見(jiàn)，該高官的表述并不過(guò)分。

      面對(duì)狡猾且技藝高超的黑客，由防火墻、入侵檢測(cè)、防病毒系統(tǒng)組成“三大件”似乎失去了作用。以APT攻擊為代表的高級(jí)新型攻擊，正在毫無(wú)顧忌的沖破企業(yè)安全防線(xiàn)，他們悄悄潛伏，伺機(jī)竊取機(jī)密數(shù)據(jù)丟失或是破壞生產(chǎn)系統(tǒng)。那么，APT攻擊為何難以發(fā)現(xiàn)？企業(yè)用戶(hù)只能束手待斃嗎？

APT 攻擊平均“ 559”天才被發(fā)現(xiàn)

      亞信安全對(duì)大量 APT攻擊案件進(jìn)行了系統(tǒng)調(diào)查，統(tǒng)計(jì)結(jié)果出乎意料，企業(yè)用戶(hù)平均經(jīng)過(guò) 559天才會(huì)發(fā)覺(jué)自己正在遭遇攻擊。此外，亞信安全還發(fā)現(xiàn)，APT攻擊導(dǎo)致的核心數(shù)據(jù)泄密會(huì)對(duì)大型企業(yè)造成極為負(fù)面的影響，這不僅會(huì)造成知識(shí)產(chǎn)權(quán)的流失，這將在技術(shù)、業(yè)務(wù)、市場(chǎng)、客戶(hù)等方面發(fā)生連鎖反應(yīng)。對(duì)于上市企業(yè)，APT事件一旦被公布，必然會(huì)直接影響企業(yè)股價(jià)，導(dǎo)致企業(yè)資產(chǎn)瞬間縮水。

      一般來(lái)說(shuō)，傳統(tǒng)的木馬病毒攻擊采用的是 “廣撒網(wǎng)”的方式，他們更加在意這張“網(wǎng)”的范圍有多大，而很少在意哪些具體的魚(yú)會(huì)被捕上來(lái)。與傳統(tǒng)的網(wǎng)絡(luò)威脅不同，APT攻擊十分狡猾，徹底顛覆了我們對(duì)木馬病毒、黑客攻擊的認(rèn)識(shí)。

針對(duì)APT攻擊的特點(diǎn)，亞信安全產(chǎn)品總監(jiān)、APT治理專(zhuān)家白日表示：“黑客從一開(kāi)始就選定了明確的攻擊對(duì)象和攻擊目標(biāo)，并為此進(jìn)行長(zhǎng)期的人力和物力的投入。攻擊者追求的是攻擊成功率，而不是攻擊范圍的擴(kuò)大。一旦確定目標(biāo)，‘專(zhuān)注’的黑客會(huì)采用一些極為個(gè)性化、針對(duì)強(qiáng)的攻擊手法。這些攻擊手法，以及他們所采用的攻擊代碼，有時(shí)只會(huì)使用一次，但這種攻擊卻是持續(xù)而影響深遠(yuǎn)的?！?

如何抓住狐貍的尾巴？

      黑客發(fā)動(dòng)APT攻擊，往往會(huì)精心選擇隱匿行蹤的技巧，通過(guò)有組織的行動(dòng)將攻擊分散開(kāi)來(lái)，以躲避查殺。此外，黑客一旦進(jìn)入到企業(yè)內(nèi)部網(wǎng)絡(luò)，多數(shù)會(huì)采用深度潛伏的方式。這些特點(diǎn)，讓我們很難發(fā)現(xiàn)遭遇APT攻擊，但狡猾的狐貍終究會(huì)露出尾巴。

要抓狐貍，就要了解它的習(xí)性。APT攻擊共有6個(gè)階段，這包括：情報(bào)收集、單點(diǎn)突破、命令與控制(C&C通信)、橫向移動(dòng)、資產(chǎn)/資料發(fā)掘、資料竊取。在一些受雇傭的黑客隊(duì)伍中，常常分工明確，不同階段甚至?xí)胁煌暮诳拓?fù)責(zé)完成。這雖然增加了企業(yè)防御APT攻擊的難度，但如果熟悉每個(gè)階段的攻擊特征，就可以做到有的放矢。例如：亞信安全發(fā)現(xiàn)，在APT“單點(diǎn)突破”階段，有91%的目標(biāo)攻擊是利用電子郵件作為切入點(diǎn)。此外，有78%的針對(duì)性電子郵件會(huì)內(nèi)含附件引誘用戶(hù)點(diǎn)擊。

      針對(duì)APT的有效治理，白日表示：“發(fā)現(xiàn)APT攻擊者在企業(yè)內(nèi)部的藏身之處有一定的難度，但不是說(shuō)企業(yè)就束手無(wú)策。企業(yè)用戶(hù)要實(shí)現(xiàn)APT攻擊的有效治理，最佳方案就是根據(jù)這6個(gè)階段建立一一對(duì)應(yīng)的抑制點(diǎn)。不僅需要在‘單點(diǎn)突破’這個(gè)階段利用沙箱技術(shù)發(fā)現(xiàn)惡意代碼，發(fā)現(xiàn)‘橫向移動(dòng)’階段中的黑客掃描流量也很重要?！?

      沿用傳統(tǒng)設(shè)備的“單兵作戰(zhàn)”勢(shì)必?zé)o法與黑客團(tuán)體抗衡。為此，亞信安全推出了以監(jiān)控為中心，以偵測(cè)、分析、響應(yīng)、阻止為治理過(guò)程，以“深度威脅發(fā)現(xiàn)平臺(tái)”為核心的完整而有效的APT治理整體解決方案。亞信安全深度威脅發(fā)現(xiàn)平臺(tái)Deep Discovery包括：深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅安全網(wǎng)關(guān)Deep Edge、深度威脅郵件網(wǎng)關(guān)DDEI、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security，以及能夠?qū)崿F(xiàn)本地和云端威脅情報(bào)共享的統(tǒng)一聯(lián)動(dòng)控制管理中心TMCM和高級(jí)威脅調(diào)查取證服務(wù)DI。

APT攻擊“簡(jiǎn)化版”—— 勒索軟件

      如今，很多政府機(jī)構(gòu)和全球化企業(yè)在安全控管上都投入了巨大的人力和物力，但是APT攻擊仍然滲透進(jìn)這些組織，并且，許多黑客團(tuán)體將這種進(jìn)攻方案變得更加“簡(jiǎn)單粗暴”。

      對(duì)于APT攻擊的發(fā)展，白日認(rèn)為：“一種非常簡(jiǎn)易的APT攻擊已經(jīng)開(kāi)始大規(guī)模泛濫，這就是加密勒索軟件。它具備APT攻擊第2個(gè)階段的典型特征，即利用社交工程郵件突破企業(yè)邊界防護(hù)，進(jìn)而控制企業(yè)的終端和服務(wù)器，最終獲取并加密核心數(shù)據(jù)，恐嚇勒索用戶(hù)。所以說(shuō)，表面看起來(lái)只是企業(yè)員工感染了勒索軟件，但其實(shí)還是籠罩在APT攻擊之下。因此，亞信安全的APT治理戰(zhàn)略同樣也適用于勒索軟件攻擊?！?