对于业内公认的重要网络安全威胁——高级持续性威胁(Advanced Persistent Threat,APT),是有组织的或者小团体使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。现在APT反复出现在每一份网络安全分析报告当中,其恶名和手段,已成为所有用户最担心的安全危险。
了解高级持续性威胁 有效防御APT攻击
如同上面描述的,APT是以商业和政治为目的的一个网络犯罪类别,它需要长期经营与策划,并具备高度的隐蔽性,才可能取得成功。这种攻击方式往往不会追求短期的经济收益和单纯的系统破坏,而是专注于步步为营的系统入侵,每一步都要达到一个目标,而不会做其他多余的事来打草惊蛇。
了解高级持续性威胁 有效防御APT攻击
而在当下,有超过88%的恶意软件都具“变身”能力,能够轻松逃避传统防毒代码解决方案的拦截,轻松进入企业内部为非作歹。所以,当你看不到这些危险的时候,恐怖的APT可能就发生在身边。
当然APT恶意程序≠恶意程序攻击,它是针对特定目标进行定制化,因此APT恶意程序占全体恶意程序数量相当小,而且APT恶意程序是具有地域性的。
了解高级持续性威胁 有效防御APT攻击
据悉APT攻击的背后一般都是优秀技术、资金资源的黑客组织或集团,他们对某些特定的用户发起的有目的、长时间的攻击,一般都会采用情报收集、进入点、命令和控制(C&C)通讯、横向扩展等手段,并以盗取数据为最终目标。但由于缺少可以甄别出APT攻击的安全工具,用户往往需要穷尽所有、借助外部专家帮助,在浪费了数月之后才能侥幸发现它们在企业内部寄居的“窝点”。用户采用这种极其低效的防御方式,后果只有一个:你的核心机密早已被黑客盗取,并成为地下交易市场上贩卖的商品。
那么,如何发现APT攻击呢?对此,安全专业人士表示,一方面,APT攻击的操纵者经常会针对性的进行为期几个月甚至更长时间的潜心准备,企业凭借自身力量无法在海量的信息中发现探测、横向扩展等行为。他们会把恶意代码植入企业中的薄弱终端,但不会立即发动攻击。当一切准备就绪,攻击者锁定的重要信息便会从这条秘密通道悄无声息的转移出去。
另一方面,传统的恶意软件探测方式是以签名技术为基础的,但蠕虫、木马、0Day漏洞为手段的攻击形式正在向复杂性更高的APT形式过渡,这些产品已经无法顺应时代的发展。
从历史上看,APT的目标是政府和大型企业的关键基础设施,但经济利益的驱动下,现在这种威胁已经发展到针对更小的组织和企业。为了帮助中小企业用户积极有效地应防御APT攻击,一些网络安全厂商已经推出了相关的UTM和NGFW设备,可以实现“APT拦截器”的功能,令企业用户可以拥有APT威胁防范的可见性和实时性。
综上,为了防止APT的危害,我们应该有效利用云平台,使用仿真环境,APT攻击代码和包含零日威胁的恶意流量将自动提交到云端沙箱中进行分析。通过反病毒引擎并发检测技术,将最终形成安全策略发布平台,提前一步防止携带APT攻击特性的数据进入企业内部。另外,还可通过日志系统将利用大数据分析技术,真正意义上帮助用户拥有在数分钟内发现并追踪APT攻击源头能力,解决传统技术无法识别或是需要数日时间才能预警的被动局面。