通過(guò)大數(shù)據(jù)分析尋找APT攻擊的蛛絲馬跡

來(lái)源：互聯(lián)網(wǎng)   發(fā)布日期：2012-11-02 12:35:38   瀏覽：13475次  

　　在過(guò)去的20多年里，攻與防的較量始終沒(méi)有停息，信息終端所面臨的風(fēng)險(xiǎn)也從單純的病毒破壞發(fā)展到木馬、間諜軟件等帶有明確的利益驅(qū)動(dòng)的行為。而APT(Advanced Persistent Threat，高級(jí)可持續(xù)性威脅)攻擊作為目前攻擊類型中最高端的攻擊模式，以及在全球多個(gè)國(guó)家的政府和企業(yè)中發(fā)生的眾多攻擊實(shí)例被頻繁討論。

　　“APT是結(jié)合了包括釣魚(yú)攻擊、木馬攻擊、惡意軟件攻擊等多種攻擊的高端攻擊模式。原來(lái)的APT攻擊主要是以軍事、政府和比較關(guān)鍵性的基礎(chǔ)設(shè)施為目標(biāo)，而現(xiàn)在已經(jīng)更多的轉(zhuǎn)向商用和民用領(lǐng)域的攻擊。它的目標(biāo)不僅僅是得到情報(bào)，而是通過(guò)攻擊來(lái)獲利。”EMC信息安全事業(yè)部RSA產(chǎn)品管理經(jīng)理Israel Aloni在接受ZDNet記者采訪時(shí)表示。

　　EMC信息安全事業(yè)部RSA產(chǎn)品管理經(jīng)理Israel Aloni

　　APT以人為目標(biāo)尋找攻擊薄弱點(diǎn)

　　在解釋APT典型的攻擊步驟時(shí)，Aloni告訴記者，攻擊者首先找出它們所需要的訪問(wèn)權(quán)限的個(gè)人，然后發(fā)送偽造的帶有惡意鏈接或附件的電子郵件，感染特定的、高價(jià)值員工的機(jī)器。一旦進(jìn)入，攻擊者映射出公司的IT環(huán)境以確定戰(zhàn)略資產(chǎn)、特權(quán)節(jié)點(diǎn)和具備更多有用權(quán)限的員工。隨后攻擊者通過(guò)其他釣魚(yú)方式或通過(guò)解密系統(tǒng)管理員的憑證來(lái)提升權(quán)限，接著安裝惡意軟件來(lái)劫持系統(tǒng)，創(chuàng)建后門，建立“后背連接”功能與指揮和控制服務(wù)器通訊。最后，攻擊者激活指揮和控制設(shè)施竊取、加密、壓縮和傳輸信息。

　　Aloni列舉了幾個(gè)APT攻擊的案例，某國(guó)際航天集團(tuán)的員工在企業(yè)中的信息被黑客攻陷。通過(guò)鏈入社交網(wǎng)站，發(fā)現(xiàn)這個(gè)人的相關(guān)信息，再給他發(fā)送長(zhǎng)矛式釣魚(yú)郵件，進(jìn)入他的信息系統(tǒng)。利用這個(gè)記錄點(diǎn)，進(jìn)入企業(yè)系統(tǒng)，發(fā)現(xiàn)企業(yè)系統(tǒng)的零日漏洞，利用漏洞使機(jī)器感染惡意軟件，而這些惡意軟件可以發(fā)現(xiàn)企業(yè)內(nèi)部到底哪里會(huì)有重要的數(shù)字資產(chǎn)。借此進(jìn)入運(yùn)營(yíng)中心，攻擊者持續(xù)對(duì)其他員工和網(wǎng)絡(luò)進(jìn)行攻擊，最終發(fā)現(xiàn)并獲取最有價(jià)值的數(shù)據(jù)。

　　在以色列的反網(wǎng)絡(luò)欺詐中心發(fā)現(xiàn)，有些黑客攻擊了股票交易所。但其目的并不是要做股票交易，而是通過(guò)APT攻擊了解貿(mào)易雙方進(jìn)行交易的人，通過(guò)長(zhǎng)矛釣魚(yú)攻擊，從而獲取更有價(jià)值的信息。實(shí)際上攻擊者不僅僅是想獲得財(cái)務(wù)回報(bào)，還想得到知識(shí)產(chǎn)權(quán)、客戶數(shù)據(jù)庫(kù)等等，這些他都認(rèn)為是高價(jià)值的資產(chǎn)。

　　所以，從APT典型的攻擊步驟和幾個(gè)案例來(lái)看，APT不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開(kāi)始找薄弱點(diǎn)。APT的攻擊是針對(duì)一些高價(jià)值的信息，利用所有的網(wǎng)絡(luò)攻擊模式，持續(xù)瞄準(zhǔn)目標(biāo)以達(dá)到目的。Aloni指出，由于APT攻擊以人為目標(biāo)，它的攻擊模式發(fā)生重大轉(zhuǎn)變。以往的防病毒、防入侵檢測(cè)主要目的是監(jiān)測(cè)系統(tǒng)，它對(duì)應(yīng)對(duì)新型攻擊的作用有待商榷，要采用新的安全策略予以應(yīng)對(duì)。

　　從發(fā)現(xiàn)、大數(shù)據(jù)分析到響應(yīng)形成閉環(huán)系統(tǒng)

　　因?yàn)锳PT攻擊以找到企業(yè)最薄弱的環(huán)節(jié)——人為跳板，所以企業(yè)需要教育員工，告訴員工不要隨意打開(kāi)你不熟悉的軟件或者做違背公司規(guī)定的操作。Aloni強(qiáng)調(diào)，但企業(yè)自身的防范系統(tǒng)最重要。

　　根據(jù)歷史數(shù)據(jù)，大部分APT都是未被發(fā)現(xiàn)的，只有10%是被企業(yè)發(fā)現(xiàn)的，而90%是被外人告知的。所以企業(yè)首先要通過(guò)更加智能的工具及時(shí)發(fā)現(xiàn)這種攻擊，提升發(fā)現(xiàn)APT攻擊的能力。

　　其次，企業(yè)需要對(duì)大數(shù)據(jù)進(jìn)行分析，以強(qiáng)大的調(diào)查平臺(tái)，在大量的數(shù)據(jù)中發(fā)現(xiàn)蛛絲馬跡。通過(guò)數(shù)據(jù)分析引擎，對(duì)工作流程進(jìn)行相關(guān)數(shù)據(jù)的關(guān)聯(lián)性分析。Aloni指出，以前的問(wèn)題在于所有的信息都分布在企業(yè)不同的地方，對(duì)于調(diào)查取證非常困難，所以很難發(fā)現(xiàn)這樣的攻擊。而系統(tǒng)如果可以快速搜集這些信息，進(jìn)行關(guān)聯(lián)性分析就能很快發(fā)現(xiàn)這種攻擊。同時(shí)這套系統(tǒng)還要具備智能性，了解員工的行為信息，這是一種對(duì)使用情景的識(shí)別，圍繞流程或者行為，把這些信息收集起來(lái)進(jìn)行識(shí)別。同時(shí)，還需要對(duì)外部、第三方提供的攻擊代碼模式智能感知。

　　在身份認(rèn)證的層面上，要以風(fēng)險(xiǎn)為導(dǎo)向，因?yàn)樵瓉?lái)的靜態(tài)密碼已經(jīng)不能保護(hù)單一用戶了，企業(yè)系統(tǒng)要更加智能化才能應(yīng)對(duì)當(dāng)前這種攻擊。系統(tǒng)除了能做控制，還要能去發(fā)現(xiàn)不太正常的狀態(tài)。大數(shù)據(jù)需要一個(gè)中控系統(tǒng)把所有內(nèi)部的、外部的信息收集起來(lái)進(jìn)行分析，所有傳統(tǒng)意義上的邊界安全已經(jīng)不能起到作用。

　　最后，除了前端的發(fā)現(xiàn)工具、分析工具外，要通過(guò)控制層進(jìn)行快速響應(yīng)。過(guò)去這種系統(tǒng)都是孤島型的，控制層和管理層都是隔離的，很難做到快速響應(yīng)。隨著虛擬化和大量移動(dòng)終端接入和云計(jì)算的普及，必須要形成閉環(huán)智能信息安全系統(tǒng)。

　　RSA針對(duì)APT攻擊有一套信息安全管理中心的解決方案，其主要的特點(diǎn)就是把一些大數(shù)據(jù)收集起來(lái)，進(jìn)行分析、檢測(cè)、監(jiān)控。Aloni表示，RSA第一次把這些變成整體的系統(tǒng)，因?yàn)樵瓉?lái)做身份認(rèn)證的只是身份認(rèn)證，做日志管理的也只是日志管理。如今把控制點(diǎn)的信息都加起來(lái)，讓每個(gè)層面都變得智能、敏捷并進(jìn)行協(xié)作。

　　在這套流程里，一邊有日志全采集，一邊有網(wǎng)絡(luò)監(jiān)控，把所有的東西放到一個(gè)統(tǒng)一的監(jiān)控平臺(tái)上，就相當(dāng)于建立了全自動(dòng)化的響應(yīng)系統(tǒng)�？梢詾闆Q策提供快速支持，相當(dāng)于一個(gè)智能系統(tǒng)，而不是用分散的信息進(jìn)行獨(dú)立的分析。Aloni進(jìn)一步說(shuō)到，其實(shí)這種智能有時(shí)候不光是企業(yè)內(nèi)部系統(tǒng)產(chǎn)生的，如果有第三方類似經(jīng)驗(yàn)或類似攻擊模式的分享，就可以在系統(tǒng)中了解哪些是惡意軟件或APT攻擊，從而快速建立起防御。他同時(shí)強(qiáng)調(diào)，RSA的安全產(chǎn)品一個(gè)非常重要的功能就是Netwitness網(wǎng)絡(luò)監(jiān)控可以回放，就像攝像頭一樣。發(fā)現(xiàn)不正常的情況后，可以把場(chǎng)景進(jìn)行回放，了解攻擊的去向。原來(lái)邊界安全的做法是，如果受到攻擊，只要關(guān)閉端口就可以了。而APT可能潛伏一周、一個(gè)月、一年甚至更長(zhǎng)的時(shí)間，所以必須要有網(wǎng)絡(luò)回放，從而增強(qiáng)監(jiān)控能力。最后，從發(fā)現(xiàn)到響應(yīng)形成閉環(huán)系統(tǒng)。

贊助本站