目前全球APT攻击趋势如何?针对APT攻击,企业应如何防护?针对最普通的APT攻击方式加密勒索软件,现今有何对策?带着这些疑问,51CTO记者采访到APT攻击方面的安全专家,来自亚信安全的APT治理战略及网关产品线总监白日和产品管理部总监徐江明。
APT攻击成头号网络安全杀手
自2010年开始,APT攻击就已经成为取代传统黑客攻击的一种非常重要的攻击手段,而且呈现出愈演愈烈的形势。白日认为,目前,在攻击形态上,其主要呈现为一个非常简易的、最普通的APT攻击方式——恶意加密勒索软件。在攻击目标上,其已经不仅仅钟情于传统的大型企业,越来越多的中小企业成为攻击对象,而且无论是金融还是电信,能源、政府等多个行业都成为众矢之的。如今,APT攻击频率越来越高,影响越来越大。APT攻击已成为国与国之间的第四战场,成为国与国之间,领导人之间会晤的重要话题。总之,透过近些年的安全事件,我们会发现:APT攻击越来越频繁,已经逐渐成为企业头号网络安全杀手。
最普通、最简易的APT攻击方式——恶意加密勒索软件
上面我们说到,现在APT攻击的形态主要体现为恶意加密勒索软件。那么,勒索软件的发展现状如何呢?不幸中招了该怎么办呢?除了交付赎金还有其他办法么?
◆现在勒索软件的发展现状如何呢?
早在2005年勒索软件就已经出现,最初仅仅是通过锁定电脑屏幕作为勒索手段。直至2013年,加密型的勒索软件出现,通过网页恶意广告、电子邮件附件等方式入侵电脑,利用加密秘钥来恶意加密文件。而且根据加密方式的不同,勒索软件也不同,如:
CryptoWall、CryptoL0cker、CTB Locker和CERBER等等。以加密型勒索软件CERBER为例,不仅有语言选择和语音等新功能,更限制中招用户仅能通过比特币支付赎金。勒索软件发展至今天,已经让很多企业产生了不同程度的损失。
据一项勒索软件调查报告显示,2015年,全球勒索软件数量上升35%,其中,43%的勒索软件攻击目标为企业。预计未来针对企业进行攻击的勒索软件比例将不断上升,企业将会成为勒索软件攻击的主要目标。
◆不幸被加密勒索软件攻击该怎么办?
无论是个人还是企业,如不幸中招。在没有备份的情况下只有交付赎金,或者拒交赎金放弃信息。除此以外,别无他法。
因为对于已知的加密算法,技术人员可以通过逆向分析的方法解密,但是勒索软件的加密算法多数都是未知的,无法做到逆向。
◆遭遇勒索软件基本无解,这该如何是好?
因为中招后基本无解,所以一切只能从源头做好防范。
就企业而言,大部分加密勒索软件攻击属于淡定型恶意攻击,它会用到高级定制化的附件或者VR,因其不具有普遍性,所以通过传统的安全软件无法识别。攻击者只要对加密勒索软件的代码进行修改,就可以穿过防火墙,直接到达桌面终端,而桌面终端的杀毒软件无法对其进行查杀,因为没有通过特殊码进行匹配,所以点击就中毒了。此时,只能依靠下一代威胁侦测来解决,例如亚信安全提供了一套针对加密勒索软件的解决方案,该方案提供防钓鱼邮件的行为匹配,行为识别,具有最新的未知威胁的监控能力。
对于企业的安全防护来说,白日建议企业应从以下两方面做起:一方面,提高员工的安全意识,这样至少可以解决60%的问题。特别是长期战斗在一线的工作人员,在上网的时候要提升自身的安全意识,不要打开不明邮件,以防被钓鱼。另外,在浏览网站时,不要轻易打开恶意链接。总之要学会自我教育,自我防范意识。另一方面,通过安全技术和安全产品及解决方案来对企业安全防护进行补充。这样双管齐下,通过个人安全意识和主动防御相结合的方式可以解决80%以上的恶意勒索软件的攻击,把勒索软件带来的危害降到最低。
◆特别提醒:感染勒索软件的电脑及时断网
假如网络中有一台电脑不幸遭遇勒索软件攻击,请及时断网。为啥要这么做?因为现在加密勒索软件攻击通过外围进行信息搜集,单点突破并对个体进行袭击,对目标企业核心资产进行全盘加索要赎金这三步后,已经进入到企业网络内部。这时候有些典型的APT类似于炒股短线,快进快出,索要到赎金就罢了。
但是真正的APT攻击或者黑客组织可能不会就此罢休,真正的APT攻击可能目标不仅仅是你的电脑,他可能从你的电脑横向移动到企业中的其他终端或者服务器上,或者锁定整个企业的设备从而进行勒索,或者潜伏下来,长期获取公司数字资产,盗取信息,对企业形成长期持久性的危害。我们知道,一个APT攻击的周期短则半年,长则十多年都有。因此,假如一个员工遭遇勒索软件攻击,很有可能攻击会通过员工的桌面然后跳转到其他员工的桌面或者企业的服务器上,针对企业实施勒索或者长期潜伏搜集信息。
白日向记者表示,这种横向移动是现在的企业用户难以防范的。因为传统安全防护理念认为所有威胁都来自于外部,没有发现内部是最大的安全源。现在企业用的还是传统的防御体系和防御架构,企业的安全投资大多是在边界、服务器和终端上,没有基于内网的一体化安全防护。防护边界的设备无法检测到横向移动,只有通过内网检测设备才能清楚攻击是否从一台内网PC转向另一台内网PC。因此,企业需要通过一定的技术方法和产品帮助管理人员找到由内到内的攻击方式。考虑到此,亚信安全的APT解决方案实现了能够对外网边界、终端和服务器,以及内网进行安全防护的产品平台。
企业如何及时防范APT攻击?
白日表示,APT攻击主要六个步骤,分别是:情报收集、单点突破、命令与控制(C&C 通信)、横向移动、资产/资料发掘、资料窃取。因此,APT攻击的防护也应从这六个阶段出发。
第一,加强员工安全意识培训以及内网安全,减少系统、服务器、终端的漏洞以及因人而带来的漏洞。从而让攻击者找不到漏洞,收集不到信息而无从下手。
第二,防范单点突破,例如社交钓鱼邮件类社会工程学攻击。可以利用亚信安全深度威胁邮件网关(DDEI)进行防护。
第三,完成单点突破后,攻击者就需要对被控制的设备下达指令,或者从外界获取更多的攻击工具,以进行下一阶段的攻击。所以,这时要做的就是应用亚信安全深度威胁终端取证及行为分析系统(DDES)等产品对内网的服务器、终端等设备违规外联进行阻止。
第四,针对横向移动。如上所述,企业应注重内网安全防护,借助亚信安全深度威胁终端取证及行为分析系统(DDES)及时发现有风险的设备,及时阻止入侵行为。
第五,对企业核心信息资产进行加密,或者DRP,或者使用APT防追踪的策略,从而防止黑客找到这些核心信息资产。
第六,加强内网安全防护,通过DRP技术,违规外联检测等技术阻止攻击者将企业的核心信息资产或者是重要数据打包带走。
遭遇APT攻击后需做好调查取证工作
此外,针对APT攻击,企业在部署APT防护解决方案的同时,还要做好APT攻击后的调查取证准备,通过攻击回溯将企业损失将至最低。
对此,徐江明表示,针对APT攻击的调查取证并不是一件简单的事情,在APT攻击调查取证方面企业面临很大挑战。其一,企业布防的安全设备每天会产生大量的安全日志,面对大量的安全事件,在人力资源有限的情况下处理事件的先后就成了问题。其二,企业有没有能力分析判断流量或者文件对自己是否有害。其三,企业是否能够建立知识库,避免被同一攻击弄的焦头烂额。
为了解决调查取证难题,亚信安全最新发布了CTIC平台(高级威胁调查取证中心),该中心可以针对高级威胁的专有日志进行分析,日志收集专而精,日志分析、规则编写更精准。目前CTIC中心提供的服务内容主要基于日志仓库(亚信安全所有安全产品日志、Windows、Linux等系统日志),其设计目标保本地化2000家企业客户日志数量长达3年。
总结
采访最后,白日表示:“APT攻击不是一个技术或者产品就能够扼制住的,必须要做长期持久的对抗。因为黑客的攻击是长期持久的,所我们要做的追踪或APT治理也应是长期持久的事情,在这个过程当中需要用多种技术和解决方案综合对APT做相关的侦测,包括分析,和进一步防治。”
