APT

实实在的信息安全综合解决方案拒绝忽悠

admin

APT,Advanced persistent threat,高级可持续性威胁,是目前信息安全领域比较热门的一个词汇,不过不要被它那华丽的字眼和恐怖的描述所吓倒,当然,在遭遇黑客攻击之后也不要立即宣称受到APT攻击,企图受到谅解或蒙混过关。

让我们先看看它的定义,它通常指一个群体,例如外国政府,有能力和意图长期而有效地针对特定的目标(发动渗透攻击),这样说来单个黑客甚至小型的黑客团队即使再厉害,也算不上APT,因为他们力量微薄,攻击的方式方法有限,也不具有持续性。

除了在国家政治军事层面,目前比较公认的震网(Stuxnet)病毒属于APT,在商业领域,APT也经常会被用称呼基于互联网的商业间谍攻击,具体的方式包括:病毒感染、供应链渗透、社会工程等。

想主动利用病毒感染这种传统的方式入侵目标系统并不容易,多数商业组织都有安全网关,它往往使用特定的安全操作系统,只要更新及时并做好基本的安全加固,并不容易受到病毒的感染,而在网关的保护下,内网的计算系统往往不会被互联网直接访问到,直接进行病毒攻击也很难得逞,所以在国外流行扔U盘或其它终端计算设备,利用它们来感染拾到者的电脑,当然我们相信正常的防病毒系统会查出已知的病毒程序,而且新型防病毒系统也有些未知病毒的识别功能,不过要彻底防范,还需更多安全控制措施,更需要教育用户的安全防范意识。

通过供应链渗透则更是费事,多数组织在供应链及合作伙伴的安全管理上并非无所作为,通常会设置防火墙访问控制策略,并且在应用系统中设置帐户和数据的访问权限,所以想借助供应链从网络和应用系统层面入侵的成功性很小,但是不排除利用组织内部员工,比如假借供应链关系,通过收买或贿赂等手段在组织内部安放潜伏人员,这些招数也只能通过安全意识教育、安全行为监控、安全人员管理比如员工背景审查、签定保密协议等手段来约束。

社会工程防范基本上不能信赖技术控管措施,对组织并不熟悉的网络钓鱼、诈骗电话等等伎俩实际上很容易被内部员工识别出来,但前提是他们要有相关的安全防范意识,敢怀疑和挑战可疑的信息索取请求。

接连几年,知名信息安全公司Verizon持续进行着数据安全泄漏情况的调查,结果显示每年的数据泄露原因都无差别,大部分的受害者并没有受到未知的不明的或不可阻止的攻击,而是员工不小心插了受到感染的拇指硬盘、在电话里向坏家伙们提供了敏感信息、向“朋友”分享了进入系统的密码、点击了邮件中的钓鱼链接、或者放“合同工”或“同事”进入了组织的设施内部。

诚然,我们可以通过技术手段来控管这些ATP所借助的攻击渠道,比如禁用USB接口、过滤和实时监听电话交谈内容、使用多因素认证系统、监控邮件外发和接收、实施防尾随及防带人安保措施等等,然而这样做的代价太大,成本太高,而且仍然防不胜防,比较经济实用的防范方式是加强员工在安全防范方面的意识认知,提高其警惕性和对可疑人物及行为的识别能力。

亭长朗然科技有限公司的安全研究员James Dong称:“尽管企业很难成为APT的攻击目标,但是仍然可以从APT攻击手法中吸取适当的教训用于防范各类安全攻击,最重要的是要员工认识到安全不是其他人的问题或职责,而是自己的职责,只有每位员工都保护好了自己,并且积极帮助他人,组织才能获得全面的安全。”

别再拿APT忽悠一般商业客户了,他们根本不会成为APT攻击的目标,而且信息安全防范并不需要什么故弄玄虚的高招,脚踏实地遵循业界最佳操作实践,真心诚意为客户解决安全问题的方案,即使您的产品和服务并不能全面帮助客户,也应该让客户了解事实真相,这才是获得客户长久信赖的上策。

探讨从管理层面应对零天攻击的有效对策

admin

科技创新速度之快,让信息安全负责人员可以从容实施各类安全保障措施,来应对各类泛滥的安全威胁。

然而,零天(zero-day)攻击似乎让安全负责人防不胜防,传统上的漏洞(或称弱点)生命周期规律正在被打破,黑客不再向以往那样炫耀发现了某些系统的漏洞,然后有跟进者积极寻找漏洞的利用方式,并尽可能写出可以简化利用漏洞造成破坏的代码,与此同时,受影响系统的厂家积极修复漏洞,并发布补丁和公告,以便用户尽快修复。

黑客们发现要想取得重大成功,最重要的是速度和数量,要抢在厂家的修复建议出来之前尽可能感染和控制最多的终端计算系统,所以,他们极力制造能自动入侵和感染其它计算系统的蠕虫型病毒,并搭建僵尸网络命令与控制中心,以便能有效利用这些资源牟利。

然而,这种攻击方式显得有些漫无目的,曝光的安全漏洞经常会被大型厂商及时修补,让黑客们的僵尸电脑损失不少,于是他们将目光转向了对特定目标的攻击,当然也学聪明了——不轻易向公众和厂商透露漏洞信息,只在一个小圈子里进行未公开漏洞的买卖。

这种新型的锁定目标的零日攻击的危害性更大,黑客利用系统厂商都不知晓的严重安全问题,最终用户如何防范呢?这不禁令人不寒而粟。

更让人担心的是0day遇上APT,即高级持续性威胁,APT是长期的、有计划、有组织的黑客潜伏行动,目标是窃取机密信息。趋势科技中国区资深产品经理林义轩表示:“以往这类攻击手法都针对政府和某些政治狂热分子为主,后来这种攻击被黑客广泛使用在一些大型企业的核心资料窃取上。”

假如黑客已经渗透进公司的安全控制中心,即便部署再多的安全控制措施如防病毒、入侵检测及防火墙等等,在海量的数据中,恐怕也难检测出一点潜伏者的蛛丝马迹,即使某位系统安全管理员在例行检查日志或报表时发现异常情况,这时再追查善于伪装的攻击者恐怕也是亡羊补牢,为时晚矣。

那有什么招儿呢?总不能无所作为,坐以待毙吧?应对之策无非构建多重防御体系,加强安全意识教育。

如果对关键的核心机密数据只实施一层防御措施的话,简单的0day零日攻击即可宣告机密数据外泄。如果有多层防御体系,攻击者要到达突破多层安全控管措施,到达核心层,所需的时间和精力会成倍上升,同时,多层防御也容易使这种潜伏式APT攻击行为暴露马脚,安全团队也有足够的时间还进行响应,比如进行防御体系的及时修复和加固。

而加强对员工们进行信息安全意识教育,则是防范0day和APT攻击的最后一道防线,再坚实的城堡也需要人员来守卫,如果人员打开城门,不加抵抗直接投了降,那多层的复杂防御体系反倒会方便攻击者进行占领之后的守卫或深入渗透。而在信息安全防范体系中,普通员工甚至管理层都类似城堡的守卫人员,经常会成为攻击者利用的对象,比如通过社交攻击攻击、网络诈骗或钓鱼邮件攻击等方式获得信息系统的控制权或高管对机密信息的访问权。相反,警觉的经过充分信息安全培训的员工会意识到这些攻击事件,并及时在全员范围内发现警告,这便让攻击者和攻击行为无处遁形。

切记,狡猾的攻击者会不断变换手法,并且找寻和利用新的未知安全漏洞,所以,安全防范体系仍需不断加强,而针对全体员工的安全意识教育,更需紧跟时代变迁的步伐,针对各类新老威胁,不断改进,重复刷新。

最后,需要安慰读者的是,狡猾的掌握着0day漏洞的资深黑客并不多见,魔高一尺道高一丈,只要我们坚持信息安全分组保护、多层防御的原则,认真在全员范围内进行信息安全认识和技能的普及教育,绝大多数低级的黑客攻击行为将被制止,而APT攻击也会得到相应的有效遏制,正义终将战胜邪恶。

在对全体员工进行安全意识培训或安全理念的普及教育方面,昆明亭长朗然科技有限公司有丰富的实践经验,特别能针对客户的特殊信息科技环境,定制设计和开发出最合适的安全意识培训方案和课程内容,像针对APT攻击的防范手段一样,这些培训方案和内容资源也是多样性、综合性和全面性的,安全培训的方案实施也是长期的、有计划和有组织的。

security-attack-0day