论文部分内容阅读
美国著名军事预测学家詹姆斯·亚当斯在《下一场战争》中预言:“在未来的战争中,计算机本身就是武器,前线无处不在,夺取作战空间控制权的不是炮弹和子弹,而是计算机网络里流动的比特和字节。”
尽管我们还没有看到真正意义上的大规模的由计算机网络中流动的比特和字节所引发的战争,但今天类似的“商业战争”却已无处不在。在战争中,情报是最值钱的信息;在商场厮杀中,企业机密同样是最值钱的信息。一旦大批企业的机密都变成计算机网络中流动的比特和字节时,借此敛财的黑客们也会比以往任何时刻都更加疯狂。
近年来,频发的黑客利用复杂精准的方式对特定对象发动高级持续性威胁(Advanced Persistent Threat,APT)攻击,越来越受到企业的重视。黑客发动APT攻击的目的是为了窃取机密情报,虽然此种威胁形式已谈不上是创新之举,但在APT威胁悄然来袭的今天,企业机密数据泄露事件却开始频繁涌现。
“精准打击”企业机密
据美国政府发布的数据显示,仅2008年有组织的黑客攻击行为就造成美国3980亿美元的经济损失。尽管这种损失还在扩大,但相关报告指出,时至今日只有13%的企业拥有应对这类攻击的能力。
在信息安全领域,APT已成为尽人皆知的“时髦术语”,一些大型企业甚至已经成为APT攻击的“靶子”,其中部分企业也还曾沦为这类攻击的“俘虏”。2010年,影响范围最广的莫过于Google Aurora(极光)攻击。由于Google的一名雇员点击了即时消息中的一条恶意链接,便引发了一系列事件,导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统数据被窃取的严重后果。类似的事件,还有2011年2月发生的针对全球主要能源公司的“夜龙攻击”。而国际著名安全公司RSA的SecurlD令牌技术文件外泄事件,则导致了全球上千万SecurID的使用者的极大恐慌。我们似乎可以预见,APT攻击未来还将制造更多的恐慌,引发更多的泄密事件……
现在,几乎所有的“定点”攻击行为都与商业利益有关。据新加坡《联合早报》之前的报道,马来西亚财政部、国会等51个政府网站陆续遭到黑客攻击,黑客在网上宣称,他们已获取沙巴旅游局网站逾3000名用户的资料。趋势科技近期也发现了一个正在进行中的APT攻击,并将其称之为“LURID”。该攻击成功入侵了61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构、研究机构、公司。
以往,一些黑客受雇于某些极端的政治团体,APT攻击主要针对政府层级的攻击对象。但过去一年半以来,数起安全事件涉及Yahoo、Google、RSA、Comodo等大型企业或网络安全公司,大型企业正在沦为APT攻击的受害者。这充分证明,继政府之后,黑客正在锁定有价值的企业信息。
阴险、低调且持续的攻击
趋势科技集合了全球几百名工程师,通过跟踪不同种类APT攻击行为的过程,得出了一个“令人担忧”的结论。
首先,众多企业机构惨遭不测的一个主要原因是,它们没有发现真正的漏洞并加以修复,而且这些漏洞存在于客户端居多。其次,由于APT攻击具有持续性,甚至能长达数年的“潜伏”特征,导致企业的管理人员难以察觉。在此期间,攻击的“持续性”体现在黑客不断尝试的各种攻击手段,在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁,主要针对政府和企业的重要基础设施进行,包括能源、电力、金融、国防等关系到国计民生或国家核心利益的网络基础设施。
趋势科技中国区资深产品经理林义轩表示:“APT的攻击手法是隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,它实质是一种在数字空间偷窃资料、搜集情报的行为,就像‘网络间谍’。这些发动APT攻击的黑客,目的往往不是为了在短时间内获利,而是以‘被控主机’当跳板持续搜索,直到能彻底掌握目标人、事、物的信息为止。所以,APT 攻击模式实质上对企业是一种恶意商业间碟威胁。”
这种恶意商业间谍行为的潜伏期有多长呢?针对“LURID”,趋势科技指出,“LURID Downloader”通常也被称为“Enfal”,这是一个长期存在的恶意软件家族。这种恶意软件,早在2006年就曾经被用在目标攻击中。到了2008年,一系列的记录显示,这种恶意软件的攻击目标包括政府机构、非政府组织( NGO)、美国政府雇员等的电脑系统。在2009年和2010年,多伦多大学的研究人员和趋势科技安全威胁研究员Nart Villeneuve共同发表了有关两个间谍网络的报告,被人称为“GhostNet”和“Shadow-In-The-Cloud”,网络中包括了Enfal木马链接的恶意软件和外界控制代码。同时,根据“维基解密”的信息和一系列被称为“Byzantine Hades”的连续攻击行为发现,与此相关的系列连续攻击,自2002年以来就一直在发生。
构建长期有效的威胁防范体系
对企业而言,这些长期的、有计划、有组织的“网络间谍”行为似乎防不胜防。对付APT攻击,企业到底需要怎样的安全防御体系呢?面对黑客使用的APT网络商业间谍攻击手法,趋势科技中国台湾技术总监戴燊认为,没有单一的解决方法。面对黑客不择手段的攻击,企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。
第一,防病毒软件是基本防御之道。黑客使用有针对性的恶意软件,一般的商用防病毒软件是无法侦测的。戴燊建议,政府或企业环境内应部署各种过滤设备,在对可疑的恶意软件样本进行第一轮的过滤后,再将其送到后端进行自动化分析处理。如果要判断该软件是否具有针对性,则需要与防病毒软件专业厂商充分合作,针对类似攻击,制作定制化的病毒特征分析系统。
第二,企业环境需要具备感知威胁的能力。除了防病毒基础防御外,要抵御黑客发动APT攻击,还需要先改变对威胁环境的认知,进行各种针对网络威胁的高级监测,以降低灾害发生的概率。企业要重新审视内部的威胁发现机制是否足够,以及是否有能力对网络中的封包或Session进行攻击特征的分析。
第三,针对APT攻击的“持续性”,建立长期的分析能力。除了日报、周报、月报外,更重要的是看长期的趋势变化,时间更长的季度报甚至是年报所呈现出来的攻击趋势,其实更重要。因为面对黑客发动的APT攻击,最忌讳将其中的一些攻击行为当做单一事件处理,所以IT工程师们应对每个月的安全事件进行检查,并确定是否每个月都有重复发生的问题,观察是否有持续性。
第四,结合云安全技术进行实时监测和统一管理。由于APT攻击类型很多,也很难检测,很多企业仍然依赖于以预防为主的防护工具,例如防毒代码技术和传统的网络层防火墙等。但高级持续攻击者更倾向于0day漏洞或利用目标公司基础设施存在的漏洞,因此抵御APT攻击的理想防御方法是结合最新的云安全技术,对网络和系统进行实时监测和统一管理。现在,市场中的很多工具都是针对不同基础设施设计的,综观所有事件和日志往往需要手动操作。这种状况,会给攻击者更多时间和机会来深入受害者的组织。利用云安全架构统一管理安全基础设施,在一个平台中将报表、日志联合起来,才能有效识别漏洞和攻击。
第五,信息安全教育是严防APT攻击的最后防线。从Google到RSA,这些企业受到攻击的原因都与普通员工遭遇社交工程的恶意邮件有关。早前,美国另外一家信息安全顾问公司HBGary也面临类似的攻击,黑客假冒CEO发信给IT部门同事,在“天时地利人和”的条件配合下,IT人员对黑客冒名发送的这封信件完全没有怀疑,直接将该公司IT系统管理员的账号、密码给被黑客冒名的CEO发送回去。因此,HBGary内部的IT系统防护也在一夜之间溃堤。
最后,如果已经清除了内部的恶意代码,员工和管理层还应该预料到APT攻击者们迟早还会卷土重来,并重新建立他们的据点。企业所面临的威胁环境,会变得越来越具有挑战性。
不过,如果企业能清楚地认识到对于信息系统进行攻击的方法在不断变化,风险常隐藏我们所忽视的那些环节中,才能有效地遏制住APT攻击,避免难以挽回的损失。
尽管我们还没有看到真正意义上的大规模的由计算机网络中流动的比特和字节所引发的战争,但今天类似的“商业战争”却已无处不在。在战争中,情报是最值钱的信息;在商场厮杀中,企业机密同样是最值钱的信息。一旦大批企业的机密都变成计算机网络中流动的比特和字节时,借此敛财的黑客们也会比以往任何时刻都更加疯狂。
近年来,频发的黑客利用复杂精准的方式对特定对象发动高级持续性威胁(Advanced Persistent Threat,APT)攻击,越来越受到企业的重视。黑客发动APT攻击的目的是为了窃取机密情报,虽然此种威胁形式已谈不上是创新之举,但在APT威胁悄然来袭的今天,企业机密数据泄露事件却开始频繁涌现。
“精准打击”企业机密
据美国政府发布的数据显示,仅2008年有组织的黑客攻击行为就造成美国3980亿美元的经济损失。尽管这种损失还在扩大,但相关报告指出,时至今日只有13%的企业拥有应对这类攻击的能力。
在信息安全领域,APT已成为尽人皆知的“时髦术语”,一些大型企业甚至已经成为APT攻击的“靶子”,其中部分企业也还曾沦为这类攻击的“俘虏”。2010年,影响范围最广的莫过于Google Aurora(极光)攻击。由于Google的一名雇员点击了即时消息中的一条恶意链接,便引发了一系列事件,导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统数据被窃取的严重后果。类似的事件,还有2011年2月发生的针对全球主要能源公司的“夜龙攻击”。而国际著名安全公司RSA的SecurlD令牌技术文件外泄事件,则导致了全球上千万SecurID的使用者的极大恐慌。我们似乎可以预见,APT攻击未来还将制造更多的恐慌,引发更多的泄密事件……
现在,几乎所有的“定点”攻击行为都与商业利益有关。据新加坡《联合早报》之前的报道,马来西亚财政部、国会等51个政府网站陆续遭到黑客攻击,黑客在网上宣称,他们已获取沙巴旅游局网站逾3000名用户的资料。趋势科技近期也发现了一个正在进行中的APT攻击,并将其称之为“LURID”。该攻击成功入侵了61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构、研究机构、公司。
以往,一些黑客受雇于某些极端的政治团体,APT攻击主要针对政府层级的攻击对象。但过去一年半以来,数起安全事件涉及Yahoo、Google、RSA、Comodo等大型企业或网络安全公司,大型企业正在沦为APT攻击的受害者。这充分证明,继政府之后,黑客正在锁定有价值的企业信息。
阴险、低调且持续的攻击
趋势科技集合了全球几百名工程师,通过跟踪不同种类APT攻击行为的过程,得出了一个“令人担忧”的结论。
首先,众多企业机构惨遭不测的一个主要原因是,它们没有发现真正的漏洞并加以修复,而且这些漏洞存在于客户端居多。其次,由于APT攻击具有持续性,甚至能长达数年的“潜伏”特征,导致企业的管理人员难以察觉。在此期间,攻击的“持续性”体现在黑客不断尝试的各种攻击手段,在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁,主要针对政府和企业的重要基础设施进行,包括能源、电力、金融、国防等关系到国计民生或国家核心利益的网络基础设施。
趋势科技中国区资深产品经理林义轩表示:“APT的攻击手法是隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,它实质是一种在数字空间偷窃资料、搜集情报的行为,就像‘网络间谍’。这些发动APT攻击的黑客,目的往往不是为了在短时间内获利,而是以‘被控主机’当跳板持续搜索,直到能彻底掌握目标人、事、物的信息为止。所以,APT 攻击模式实质上对企业是一种恶意商业间碟威胁。”
这种恶意商业间谍行为的潜伏期有多长呢?针对“LURID”,趋势科技指出,“LURID Downloader”通常也被称为“Enfal”,这是一个长期存在的恶意软件家族。这种恶意软件,早在2006年就曾经被用在目标攻击中。到了2008年,一系列的记录显示,这种恶意软件的攻击目标包括政府机构、非政府组织( NGO)、美国政府雇员等的电脑系统。在2009年和2010年,多伦多大学的研究人员和趋势科技安全威胁研究员Nart Villeneuve共同发表了有关两个间谍网络的报告,被人称为“GhostNet”和“Shadow-In-The-Cloud”,网络中包括了Enfal木马链接的恶意软件和外界控制代码。同时,根据“维基解密”的信息和一系列被称为“Byzantine Hades”的连续攻击行为发现,与此相关的系列连续攻击,自2002年以来就一直在发生。
构建长期有效的威胁防范体系
对企业而言,这些长期的、有计划、有组织的“网络间谍”行为似乎防不胜防。对付APT攻击,企业到底需要怎样的安全防御体系呢?面对黑客使用的APT网络商业间谍攻击手法,趋势科技中国台湾技术总监戴燊认为,没有单一的解决方法。面对黑客不择手段的攻击,企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。
第一,防病毒软件是基本防御之道。黑客使用有针对性的恶意软件,一般的商用防病毒软件是无法侦测的。戴燊建议,政府或企业环境内应部署各种过滤设备,在对可疑的恶意软件样本进行第一轮的过滤后,再将其送到后端进行自动化分析处理。如果要判断该软件是否具有针对性,则需要与防病毒软件专业厂商充分合作,针对类似攻击,制作定制化的病毒特征分析系统。
第二,企业环境需要具备感知威胁的能力。除了防病毒基础防御外,要抵御黑客发动APT攻击,还需要先改变对威胁环境的认知,进行各种针对网络威胁的高级监测,以降低灾害发生的概率。企业要重新审视内部的威胁发现机制是否足够,以及是否有能力对网络中的封包或Session进行攻击特征的分析。
第三,针对APT攻击的“持续性”,建立长期的分析能力。除了日报、周报、月报外,更重要的是看长期的趋势变化,时间更长的季度报甚至是年报所呈现出来的攻击趋势,其实更重要。因为面对黑客发动的APT攻击,最忌讳将其中的一些攻击行为当做单一事件处理,所以IT工程师们应对每个月的安全事件进行检查,并确定是否每个月都有重复发生的问题,观察是否有持续性。
第四,结合云安全技术进行实时监测和统一管理。由于APT攻击类型很多,也很难检测,很多企业仍然依赖于以预防为主的防护工具,例如防毒代码技术和传统的网络层防火墙等。但高级持续攻击者更倾向于0day漏洞或利用目标公司基础设施存在的漏洞,因此抵御APT攻击的理想防御方法是结合最新的云安全技术,对网络和系统进行实时监测和统一管理。现在,市场中的很多工具都是针对不同基础设施设计的,综观所有事件和日志往往需要手动操作。这种状况,会给攻击者更多时间和机会来深入受害者的组织。利用云安全架构统一管理安全基础设施,在一个平台中将报表、日志联合起来,才能有效识别漏洞和攻击。
第五,信息安全教育是严防APT攻击的最后防线。从Google到RSA,这些企业受到攻击的原因都与普通员工遭遇社交工程的恶意邮件有关。早前,美国另外一家信息安全顾问公司HBGary也面临类似的攻击,黑客假冒CEO发信给IT部门同事,在“天时地利人和”的条件配合下,IT人员对黑客冒名发送的这封信件完全没有怀疑,直接将该公司IT系统管理员的账号、密码给被黑客冒名的CEO发送回去。因此,HBGary内部的IT系统防护也在一夜之间溃堤。
最后,如果已经清除了内部的恶意代码,员工和管理层还应该预料到APT攻击者们迟早还会卷土重来,并重新建立他们的据点。企业所面临的威胁环境,会变得越来越具有挑战性。
不过,如果企业能清楚地认识到对于信息系统进行攻击的方法在不断变化,风险常隐藏我们所忽视的那些环节中,才能有效地遏制住APT攻击,避免难以挽回的损失。