高级持续威胁攻击者可能已经渗透到你的网络:这是安全领域的新现象,并不罕见,但是你应该做些什么呢?这是超越传统思维定势(只考虑预防方面的问题)的问题,“我们正试图帮助人们从入侵防御转移到感染后检测和减小损害的工作上!”Fidelis公司的研究主管Will Irace表示。
攻击者已经入侵了你的网络内部可能让你感染,这让你有些不安,甚至震惊,但是事实上,这些网络间谍攻击已经从军事/国防部问题演变成困扰各行各业的问题。“在此之前,高级持续攻击首先是针对军事部门,接着是政府职能部门,然后是国防工业基地,我们看到相同的攻击形式不断地扩大他们的目标范围,甚至到石油和天然气、医药和其他领域的商业企业,”Mandiant公司首席安全官兼管理服务副总裁Richard Bejtlich表示,“这对于我来说是相当惊人的,他们现在的目标如此之广。”
Bejtlich表示,尽管这些攻击具有持续性和经常性,但我相信受害企业最终能够增强抵御。“这是第一次大家面对这种攻击,有人跟踪你,他们不会放弃,他们会不断试图进入你的企业,这对于大多数人来说都是前所未闻,”他表示,“可能需要花几年时间,但在受害企业抵御这些有针对攻击方面,我相信我们最终将看到改善。”
对于这些攻击,鲜少有受害者会公开披露自己受到攻击。在过去几个月中,网络间谍活动攻击开始瞄准多个联邦文职政府机构的高级官员,这些攻击活动仍然处于调查之中,但是受害机构的名称可能永远无法证实,或者说所产生的损害程度永远不得而知。攻击者使用了复杂的恶意软件和SSL加密连接来从该政府机构来窃取信息,并将信息发送回他们的主服务器。
我们的目标是尽快检测出这些攻击类型,并尽量减少你的知识产权信息或者商业机密的泄露数量或者损失,例如“如何在几小时或者几天内检测到他们?”RSA首席安全官Eddie Schwartz表示,“这需要访问所有与这个安全问题相关的潜在数据。”
Schwartz表示,与传统安全事件不同,对于高级持续攻击,你无法从单个日志或者防火墙事件上来作出决定。“一名最终用户访问了他正常情况下不需要访问的系统,”这就属于一种有针对性的攻击。
“对于高级持续性攻击,你需要问,‘这是否属于某种整体攻击的一部分,还有另外10到12个移动部分需要追踪?’”他表示。
但是这种攻击类型很难检测,很多企业仍然仅依赖于以预防为主的工具,例如基于签名的技术和防火墙。高级持续攻击者更倾向于零日漏洞,或者利用目标公司基础设施存在的问题。在大多数情况下,第一步都是对毫无戒心的用户使用社会工程学攻击,通常是通过看起来像是从用户熟知的人发来的电子邮件消息,邮件信息包含恶意附件或者网址,一旦打开,就会为攻击者提供立足点。
安全专家表示,抵御高级持续攻击者的理想防御方法是结合传统的防御工具和对网络和系统的实时监测。但是现在市面上很多工具都是针对基础设施的不同部分,纵观所有事件和日志往往是需要手动来操作。这就给了攻击者更多时间和机会来深入受害者组织,这样就更难将他们根除。
底线:专家表示,在抵御这些有针对性攻击方面,现在市面上并不存在“万能药”。
“企业部署的大多数监测工具都缺乏挖掘内容与上下文之间存在的重要信息的能力,或者只是一个渗出:加密数据伪装成数据?在发送到人力资源部的压缩文件的微软Office文件中是否存在恶意VBscript?”Fidelis公司的Irace表示,“ 在事故发生的十天后,通过取证数据包分析发现这个问题并不能够帮助发现高级持续攻击者:我们需要能够实时发现并解决这种问题的技术。”
网络行为异常监测工具可以帮上忙,但是对于内容就无能为力了。入侵防御系统可以发现一些情况,但是并不会检查负载。“此外,这些工具是为抵御服务器上的数据包攻击而设计的,而不是针对客户端的基于负载的攻击。沙盒技术有助于事后检查,但是它并不提供实时保护,”Irace表示。
数据包捕获工具对事后检查又帮助,但是与沙盒技术一样,无法提供实时帮助。
黑名单盒白名单防御
已知的黑名单或者最近发现的命令和控制域名可以帮助抓住高级持续攻击,“第一个增长最快的就是信标检测,IPS和IDS可以使用,”IT-Harvest的首席研究分析师Richard Stiennon表示,“但是可怕的是当攻击者设置一个从未使用过的新的ip地址和新的服务器时,你无法通过信标检测,”他表示。
“最大的担忧就是1%非常有针对性的攻击你没有检测到,”Stiennon表示。
白名单可以帮助平息有针对性的攻击,他表示。对白名单的批评就是很多企业并不一定知道在他们系统上运行的所有应用程序,但是新一代白名单产品能够识别这些应用程序。
T-Mobile公司首席信息安全官Bill Boni表示,安全专家必须现实地面对这个威胁,这意味着评估如何管理数据泄漏如何遏制这种攻击。
你能够检测到高级持续攻击渗透并不意味着你就能够抓住真正的的攻击者,或者说能够找到多有数据泄露的证据,“你最重要的资源时什么?我们如何确保我们部署了访问控制、日志记录和监测,以及对渗出的控制?”他表示。
“我们知道安全一直都有点军备竞赛的意味。我们所面临的挑战是确保你的企业处于竞赛之中,”Boni表示,“五年前必要的安全技术:防火墙、杀毒软件和入侵防御仍然都是必要的,但是并不足以抵抗目前针对企业的攻击。你需要不断升级你的工具来跟上新威胁的步伐。”
即使你结合了安全和监测工具的最佳组合,也永远不要低估高级持续攻击的危害。这种攻击通常是资金充足、由民族国家集团发起的,他们想要从受害者获取尽可能多的信息,或者处于金钱或者竞争力的驱使。“你不会知道攻击者是如何规避你的防御,”RSA的Schwartz表示,“你必须假设他们拥有与你相当的资源,并且他们具有创造性和专业技能。”
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
翻译
相关推荐
-
APT攻击防范要当心“水坑”
大多数APT攻击并不会直接暴露真实面目,而是会很好的在用户经常访问的可信网站上或是分支机构中伪装起来,等待粗心的企业用户,这类的攻击也被叫做 “水坑攻击”……
-
案例:趋势科技帮助提高云南无线电管理机构APT攻击“免疫力”
结合云南无线电管理机构现有的安全架构,趋势科技采用了一套从网关到网络的全方位、多层次的APT疫情监控及阻断体系。
-
WatchGuard:全系统模拟捕捉APT
“我们认为,全系统模拟(Full System Emulation)的沙箱(Sandbox)技术可以更为有效地帮助企业防御APT攻击。”WatchGuard中国区市场总监万熠如此表示。
-
揭秘APT攻击:是隐藏太深还是防护失效?
APT攻击包含了社会工程学攻击、0day漏洞利用、应用层攻击在内的多种攻击手段。而深信服下一代防火墙可以为APT提供一体化安全防护。