全球服务器安全、虚拟化及云计算安全领导厂商趋势科技提醒广大企业用户,近期针对频发的黑客利用复杂精准的方式对特定对象发动高级持续性威胁(Advanced Persistent Threat,APT)攻击,企业应采取长期而有效的威胁管理以应对从而避免成为APT攻击的受害者。
众所周知,黑客发动APT的目的是为了窃取机密情报,虽然此种威胁形式已谈不上是一种创新之举,但在APT威胁悄然来袭的今天,一些企业数据泄露的信息开始频频涌现,安全隐患堪忧。那么,企业如何才能清楚的认识到这些长期的、有计划、有组织的“网络间谍”行为,同时动用自己的安全防御手段,做到有的放矢呢?
黑客利用APT对目标进行着长期的、有计划、有组织的“网络间谍”行为
企业机密正成为APT攻击的首选目标
美国著名军事预测学家詹姆斯。亚当斯在《下一场战争》中预言:“在未来的战争中,计算机本身就是武器,前线无处不在,夺取作战空间控制权的不是炮弹和子弹,而是计算机网络里流动的比特和字节。”
其实这场战争早已开始,早在1998年,就有苏联黑客针对美国官方等单位发动攻击。而根据美国政府发布的数据显示,仅2008年这种有组织的黑客攻击行为就造成美国3980亿美元的经济损失。而这种损失还在加剧,这份报告还指出了,时至今日,只有百分之十三的企业拥有应对攻击的能力。
在信息安全领域,APT已成为人尽皆知的“时髦术语”,越来越多的企业开始对其高度关注,甚至一些大型企业已经成为APT攻击的“俘虏”。2010年影响范围最广的莫过于Google Aurora(极光)攻击,业界对此进行了深入的报道。其过程主要由于Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件,导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取的严重后果。其次,还有2011年2月出现针对全球主要能源公司的“夜龙攻击”。还有,国际著名的安全公司RSA的SecurlD令牌技术文件外泄事件,这导致了全球上千万的SecurID的使用者都感到极大的恐慌。我们可以确定,未来还将会有更多重大安全事件……
现在,几乎所有的“定点”攻击行为都与商业利益有着联系。据新加坡《联合早报》之前的报道,马来西亚财政部、国会等51个政府网站陆续遭黑客攻击,同时这名黑客在网上宣称,他们取得沙巴旅游局网站逾3000名用户的资料。趋势科技近期也发现了一个正在进行中的APT攻击,并将其称之为“LURID”。该攻击已经成功入侵了位于61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构和公司,以及研究机构。
以往黑客受雇某些极端政治团体,使用这样的APT手法,主要是针对国家层级的对象。但从过去一年半以来,从数起类似的安全事件中,却可以发现,包含Yahoo!、Google、RSA、Comodo等大型企业或网络安全公司,以往我们认为不是黑客采用APT手法攻击的对象,也都陆续成为受害对象。这也充分证明了,企业已经是继政府之外,黑客采用APT手法的主要攻击对象。
“低调且持续性”是APT攻击最大的威胁
趋势科技集合全球几百名工程师一起,通过跟踪不同种类APT攻击行为的过程,得出了一个“令人担忧”的结论。首先,众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。其次,由于APT攻击具有持续性,甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及在渗透到网络内部后长期蛰伏,他们不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和企业进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。
趋势科技中国区资深产品经理林义轩表示:“以往这类攻击手法都针对政府和某些政治狂热份子为主,后来这种攻击被黑客广泛使用在一些大型企业的核心资料窃取上。这种APT的攻击手法,因为是隐匿自己,针对特定对象,长期、有计划性和组织性的窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种”网络间谍“的行为。这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是借助”被控主机“当成跳板,持续的搜索,直到能彻底掌握所针对的目标人、事、物。”
那么,这种间谍行为的潜伏期有多长呢?
针对“LURID”,趋势科技指出,“LURID Downloader”通常也被称为“Enfal”,这是一个众所皆知的、长期存在的恶意软件家族。这只恶意软件,早在2006年就曾经被用在目标攻击中。到了2008年,一系列的记录显示了使用这种恶意软件的攻击目标包括政府机构,非政府组织( NGO),还有国防部承包商和美国政府雇员。在2009年和2010年,多伦多大学的研究人员和趋势科技安全威胁研究员Nart Villeneuve共同发表了有关两个间谍网络的报告,被人称为“GhostNet”和“Shadow-In-The-Cloud”,网络中包括了 Enfal木马链接的恶意软件和外界控制代码。同时,根据“维基解密”的信息和一系列被称为“Byzantine Hades”的连续攻击行为发现,这系列连续攻击,自2002年以来就一直在发生。
长期而有效的威胁管理将有效避免成为APT攻击的受害者
面对黑客使用APT网络间谍的攻击手法,趋势科技中国台湾技术总监戴燊认为,这并没有单一的解决之道,因为黑客为达目的、不择手段的攻击方式,企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。
首先,防病毒软件还是基本防御之道。黑客使用这些针对式的恶意软件,一般商用防病毒软件无法侦测,戴燊建议,政府或企业环境内应首先部署各种过滤设备,并针对可疑的恶意软件样本先进行第一轮的过滤后,再送到后端自动化分析机制。如果要判断该恶意软件是否是有针对性的,则需要与防毒厂商充分达成默契,这样就能让防毒厂商针对该攻击,制作出定制化的病毒特征给该单位。
第二,除了防病毒软件的防御层面外,进行企业环境的威胁发现,则是预防APT的有效之道。要预防黑客发动APT攻击,得先改变对威胁环境的认知,进行各种高级监测威胁,以降低灾害。这包括,企业内部的威胁发现机制是否足够,以及是否有能力可以对网络中的封包或Session进行攻击特征的分析。
第三,就是针对APT攻击的“持续性”建立长期的分析能力。除了日报、周报、月报外,更重要的是要看出长期的趋势变化,时间更长的季度报甚至是年报所呈现出来的攻击趋势,其实更重要。因为面对黑客发动的APT攻击,企业最忌讳当成单一事件,所以IT工程师们应对于每个月安全事件进行检查,并确定是否每个月都重复发生,观察是否有持续性。
第四,由于APT攻击类型很多,也很难检测,很多企业仍然仅依赖于以预防为主的工具,例如防毒代码技术和传统的网络层防火墙。高级持续攻击者更倾向于 0day漏洞,或者利用目标公司基础设施存在的漏洞问题。因此,抵御APT攻击者的理想防御方法是结合最新的云安全技术,对网络和系统达到实时监测和统一管理。但是现在市面上很多工具都是针对不同的基础设施,纵观所有事件和日志往往是需要手动来操作。这就给了攻击者更多时间和机会来深入受害者组织,因此,将安全基础设施利用云安全架构中的统一管理模式,将这些报表和日志联合起来,才能有效地识别出漏洞和攻击的存在。
第五,也是我们反复提到的信息安全教育,因为这将是严防APT攻击最后的防线。从Google到RSA,这些单位受到攻击的关键因素都与普通员工遭遇社交工程的恶意邮件有关。从RSA受攻击的事件可以发现,黑客刚一开始,就是针对某些特定员工发送的钓鱼邮件,就是该起RSA遭到黑客使用APT手法进行攻击的所有源头。在今年稍早,美国有另外一家信息安全顾问公司HBGary也面临类似的攻击方式,那就是黑客假冒CEO发信给IT部门同事,由于“天时地利人和”的条件配合下,IT人员对于黑客冒名发送的这封信件完全不曾怀疑,IT人员直接将该公司IT系统Administrator的账号、密码给被黑客冒名的CEO发送回去。因此,HBGary内部的IT系统防护也在一夜之间溃堤。
安全意识淡薄,APT只需要5个步骤就能轻松“俘虏”目标系统
最后,如果已经清除了内部的恶意代码,员工和管理层还应该预料到APT攻击者们迟早还会卷土重来,然后重新建立他们的据点,这也就让企业所面临的威胁环境变得越来越具有挑战性。不过,当我们清楚的认识到,这些对于信息系统进行攻击方法的正在变化,我们就有决心有毅力,并有效的能够遏制住APT攻击。