飞速发展的IT技术使得信息安全业站在产业发展的风口浪尖,无论是云计算、物联网,还是3G、移动互联,IT技术在推动产品创新与变革的同时,各种安全问题也随之而来。近日,与某友商技术大牛关于APT攻防的话题进行了一番争论,故撰文一篇,科普关于APT攻击的那些事。
自2010年Google承认遭受严重黑客攻击之后,APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”,当然对于像Google、RSA、Comodo等深受其害的公司而言APT无疑是一场噩梦,噩梦的结果便是对现有安全防御体系的深入思考。
何为APT攻击
APT(Advanced Persistent Threat)高级持续性威胁顾名思义,这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。
在已经发生的典型的APT攻击中,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式,整个惊心动魄的过程绝不逊于好莱坞巨制《偷天换日》。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。例如,在某台服务器端成功部署Rootkit后,攻击者便会通过精心构造的C&C网络定期回送目标文件进行审查。
也许很多IT管理者认为APT攻击这种长期而复杂的攻击方式不可能幸运的发生在您所负责网络中,但在西方先进国家APT攻击已经成为国家网络安全防御战略的重要环节。例如,美国国防部的High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链条中至关重要也是最基础的组成部分。
对于APT攻击我们需要高度重视,正如看似固若金汤的马奇诺防线,德军只是改变的作战策略,法国人的整条防线便沦落成摆设,至于APT攻击,任何疏忽大意都可能为信息系统带来灾难性的破坏。相信您迫切想了解传统的网络犯罪集团与APT攻击行为到底有哪些异同,下面的表格或许能让您找到答案。
不难看出APT攻击更像一支配备了精良武器的特种部队,这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙等安全网关失去应有的防御能力。无论是0day或者精心构造的恶意程序,传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵。即便是业界热议的NGFW,利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。
典型的APT攻击,通常会通过如下途径入侵到您的网络当中:
通过SQL注入等攻击手段突破面向外网的Web Server;
通过被入侵的Web Server做跳板,对内网的其他服务器或桌面终端进行扫描,并为进一步入侵做准备;
通过密码爆破或者发送欺诈邮件,获取管理员帐号,并最终突破AD服务器或核心开发环境;
