到底什么是高级持续性攻击？

发布时间:2012-03-31 11:18 作者:佚名来源:CNW 点击:加载中...次

　　从蠕虫到病毒，到特洛伊木马，钓鱼，SQL注入再到零日漏洞的利用，这些威胁接踵而来，简直是CSO们的噩梦。现在，我们面临着一个更为严重的威胁：高级持续威胁，简称APT。显然，这些安全威胁的名称会随着时间推移而丧失热度。每个CSO都知道APT，每个安全销售也会给产品贴上这一标签。

　　因为有些公司已经因为APT威胁蒙受了损失。谷歌就是其中一个。而RSA也承认有些高级且持续型黑客不仅对其造成威胁，还偷盗了一些与其SecurID产品线相关的信息。互联网完全联盟告诫各大涉足国防工业的公司要注意APT威胁。尽管有这么多负面言论，国防工业仍然很兴盛。且至少有一位CSO认为APT不过是一种营销噱头。“虽然这是安全供应商用来唬人的一个名词，但却是以前CSO经济学里不需要担心的事情，”Pioneer Investments CSO Ken Pfeil称。

　　注意，Pfeil没有说APT威胁不存在。他肯定这种威胁的存在而且也认为CSO们应该顾虑到这一威胁。只是他认为公司可以购买简单的安全产品来保障安全。在与CSO们的交谈中，他发现很多CSO对技术不内行，在购买安全产品的时候都是听信销售人员的介绍。

　　人的天性是期待问题出现的时候出现一个聪明的技术师提供可以解决问题的产品。遗憾的是，没有哪个单一的产品可以阻止APT威胁。

　　什么是APT?

　　美国国家标准和技术研究院对此给出了详细定义：

　　“精通复杂技术的攻击者利用多种攻击向量(如：网络，物理和欺诈。)借助丰富资源创建机会实现自己目的。”这些目的通常包括对目标企业的信息技术架构进行篡改从而盗取数据(如将数据从内网输送到外网)，执行或阻止一项任务，程序;又或者是潜入对方架构中伺机进行偷取数据。APT威胁：1.会长时间重复这种操作;2.会适应防御者从而产生抵抗能力;3.会维持在所需的互动水平以执行偷取信息的操作。

　　简而言之，APT就是长时间窃取数据。有能力执行APT威胁的人似乎都有些共性：

　　聪明。他们非常聪明，能写出复杂病毒，蠕虫和其他恶意程序，然后进行伪装，这样很多防火墙，AV和IDS以及其他工具就不会找到他们，即便是他们正从你的网络中偷取信息。在有些案例中，特别是涉及银行的案例中，黑客必须指导人们进行操作，从ATM机处取钱，然后将其转存到其他银行账号。和素质较好的CSO们一样，这些黑客必须了解整个IT环境，而不仅仅是目标网络。

　　行事有条不紊。他们会购买和运行所有有意义的反病毒工具，然后在攻击前用这些工具测试自己的代码，以确保自己不会很快就被发现。

　　有耐心。与电影中的桥段不同，黑客一般不是通过敲几下键盘就进入某个公司的网络，尽管一些自动化攻击使其看上去是这么回事儿。黑客或许是通过社工方式潜入。对目标人物的分析技巧是黑客技术被忽视的一面。通过人物链进入网络比以往使用技术潜入网络要容易，特别是当一家公司对网络设置了多重障碍时。

　　直到最近Neohapsis CTO Greg Shipley才表示，这类攻击一直都是计算领域的一部分。Shipley称，Neohapsis在20世纪90年代末及21世纪初的时候就看到了很多网络违规行为其实早已符合现在对APT威胁的定义：以前会使用一些复杂的方式使用未知工具渗透到企业网络中，供黑客穿行。只是这类攻击的量发生了变化。有些还来自政府网络间谍活动。

　　Shipley称攻击数量的增加是有理由的，因为西方社会比十年前更注重技术和独立性。移动设备，如手机传播很广泛，消费者大幅度接受过去不曾有的数字技术。

　　Pfeild称另一个不同则体现咋业务主管们会向他讨教如何应对一些比较热门的安全问题。对CSO们而言，APT威胁的难点在于，从商业角度看，它并非一种新型攻击。

　　不过很多CSO发现业务主管现在愿意增加资金投入来防御复杂的攻击。在2011 年8月针对244位安全专家进行的一项企业策略团队调查中发现，有77%的公司因为APT现象愿意增加安全投入，包括培训方面的投入。调查中有一半的人称APT是一种新型威胁，对于安全行业而言有其独特性。“我对人们没有轻视其威胁感到惊讶。”指导这次企业策略团队调查的Jon Oltsik说。

　　持续偷窃信息者

　　这三种攻击都归类于APT威胁名下：黑客行为主义式攻击(Hacktivism)，如WikiLeaks凭证信息的发布或是Anonymous和LulzSec等组织发起的定向攻击。政府之间的攻击。间谍活动和政治活动的历史相当。普遍有一种看法认为政府是长期攻击行为的组织者。这类攻击就像是007电影中的桥段一样。Stuxnet攻击摧毁了伊朗电网，特别是其两个核反应堆。而外界猜测美国和以色列有可能是Stuxnet这次攻击的幕后支持者;而美国则声称俄罗斯才是幕后操纵者。对于CSO们而言，由政府赞助的攻击行为的威胁在于它具有高度定向性，而且资金雄厚。任何公司里的CSO都有可能成为网络间谍活动的目标。

　　有组织犯罪网络实施的攻击。有组织犯罪的头目看到了网络里的利益诱惑。他们有资源可以雇佣高端人才，给他们足够的时间实施攻击。

　　在上面三种攻击中，黑客行为主义似乎是作恶最小的APT。eEye Digital Security CTO Marc Maiffret称说：“他们都是高级的威胁。但是他们并没有试图隐藏自己的行为，所以他们的攻击并不是持续型的。”那些涉足国防，金融服务和知识产权(包括无形资产，如开创性的生产进程)的公司更容易成为攻击目标。

(责任编辑：)