【 摘 要 】 全球范围的APT攻击事件频发,严重危害着各国政府部门、组织、公司的网络信息安全,传统网络安全防御体系对于APT攻击而言形同虚设,因此针对APT攻击的防御策略已成为业界研究热点。该文概括介绍了APT的定义、APT攻击特点及步骤,分析了现有网络安全防御体系缺陷,研究总结了针对APT攻击的防御策略。
【 关键词 】 APT攻击;网络安全防御;检测;策略
【 Abstract 】 Worldwide APT attacks happened frequently, which endanger the network information security of government departments, organizations and companies. Traditional network security defense system for APT attacks can be evaded. Therefore, the defense strategies for APT attacks have become the research hot spot. This paper introduces the definition, the characteristics and the steps of APT attack, analyzes the defects of existing network security defense system , researches and summarizes the defense strategies for APT attacks.
【 Keywords 】 apt attacks; network security defense; detection; strategies
1 引言
APT(Advanced Persistent Threat)即高级持续性威胁,利用先进、复杂的方法和技术对特定目标进行长期、持续性的网络攻击,从受害目标中窃取机密信息。自2010年伊朗核设施遭遇“震网”病毒攻击的报道中首次引入APT概念以来,各国一些政府部门、组织、公司等陆续被曝遭遇APT攻击,这些事件分别对国家安全、企业运转、社会生活等各方面产生了不同程度的影响,APT成为信息安全领域新的巨大威胁,令计算机网络安全传统防御无法应对。因此,针对APT攻击的防御策略日益成为人们研究的热点。
2 APT特点及步骤
APT的特点正如其名,包括先进性、持久性和威胁性。此外,由于APT以持续窃取目标机密信息为主要目的,势必还具备隐蔽性、目标性和强适应性。
(1)先进性。因为攻击者知晓像SQL注入、木马这样的单一入侵方法通常会被传统IDS或防火墙阻挡,所以当攻击者启动一个APT计划,往往会结合多种入侵方法、技术和工具展开攻击。与传统入侵方法相比,APT攻击更加复杂且更具技术含量。
(2)持久性。与传统黑客不同,APT攻击者进行攻击并非为了一时证明能力、报复或者牟取暴利,他们的目标是从目标网络中窃取机密信息。在完全获得其所需的信息之前,他们会长时间对目标网络发动攻击,这一过程可能长达数月甚至数年。
(3)威胁性。APT攻击者一般受组织甚至国家所雇用,有足够资金和技术支持来完成其计划,成功率较高;此外,APT攻击的动机一般是经济利益或国家利益等,其结果必定是致命的。因此,对于受害目标乃至潜在利益主体而言,APT攻击具有极大的威胁性。
(4)隐秘性。APT攻击一般会以各种方式巧妙绕过已有的入侵检测系统,悄然入侵目标网络。而且,为了在目标内部长时间获取信息,通常会尽可能地减少明显的攻击行为以及所留痕迹,隐秘窃取所需信息。
(5)目标性。APT攻击具有明确对象和目的,包括范围、目标属性、时间限制和终止条件等。
(6)强适应性。APT攻击目标的网络安全防护工作一般比较完善且稳妥,APT攻击者需要依据目标网络建设情况及防护方法采取合适的攻击方式,并且在目标网络环境变化之时动态调整以获得最好的攻击、控制效果。
通过对已曝光APT攻击的分析,一般将APT攻击分为六个步骤,即信息收集、初始攻击、命令和控制、横向移动、数据挖掘和任务完成。
(1)信息收集。APT攻击之初,攻击者会收集目标业务流程、内部人际关系、目标系统使用情况等各种信息,以确定如何来突破目标。他们通常会关注目标组织的雇员,此方法简单而有效。
(2)初始攻击。信息收集之后,攻击者将开始入侵目标网络,常常利用社会工程、鱼叉式钓鱼攻击、水坑攻击、零日漏洞等来进行。攻击者会进行间断性的攻击尝试,直到突破目标网络内第一台计算机。
(3)命令和控制。该部分分为两个步骤:第一步是建立据点——在受害者的网络植入远程管理软件,创建秘密访问其设备的网络后门和隧道;第二步是提升权限——利用漏洞和密码破解来获取受害者计算机的管理员权限,甚至是Windows域管理员账号。
(4)横向移动。攻击者利用已控的目标计算机作为跳板,在内部网络搜索目标信息。最初是内部侦察,在周边有信任关系的设备或Windows域内收集信息;然后,攻击者扩展到对工作站、服务器等设备的控制,在之上进行信息收集。
(5)数据挖掘。数据专家对得到的信息进行分析并指导攻击者定位关键数据的存储位置,寻找高价值的信息。
(6)任务完成。最后安全转移出从受害网络窃取的数据。
此外,在APT攻击者获取到足够信息之前,只要不被发现,攻击者的攻击行为往往不会停止,他们将循环进行(4)(5)(6)三个步骤,持续窃取新的敏感数据与机密信息。
3 现有网络安全防御体系缺陷
现有网络安全防御技术主要在网络边界和主机边界进行,包括防火墙、IPS/IDS等。APT攻击采用复杂的技术手段突破各种技术屏障,令目标网络环境中传统的安全网关失去应有的防御能力,传统安全防御体系对于APT攻击而言形同虚设,具体表现在五个方面。
一是特征检查无法识别未知流量。APT攻击常常利用社会工程学、零日漏洞、定制恶意软件等,传统的基于特征库的被动防御体系无法识别异常流量,存在严重的滞后性。
二是伪造签名可规避恶意代码检测。APT攻击有时通过伪造合法签名的方式避免恶意代码文件被识别,为传统的基于签名的检测带来很大困难。
三是加密数据能够防范内容检测。在内部网络,攻击者能使用SSL VPN来控制主机。因为数据是加密的,所以现有的内容检测系统无法识别。
四是难以发现利用合法途径的窃密。在攻击者获取目标数据时,他们并不利用恶意软件,而是利用合法的方法——例如命令窗口、NetBIOS命令、Windows终端服务等将数据加密并发送出去,无法被发现。
五是及时消痕导致无法溯源。APT攻击者不留任何痕迹地在目标系统展开活动,使得无法溯源至
他们的命令和控制中心,他们可在目标系统保持控制权数年之久。
4 针对APT攻击的防御策略
通过对网络安全防御体系缺陷的分析可知,对于APT攻击,以点概面的安全检测手段已失去作用,需要更智能、完善的安全防御体系。本文结合APT攻击的特点及各个步骤,总结出针对APT攻击可以采取的一些防御策略。
4.1 多层面加强对APT初期攻击的检测
纵观APT攻击的整个生命周期,因为攻击者在控制目标网络内若干台主机之后就能够成功将其行为隐匿于正常进程之中,再进行APT攻击检测将非常困难,所以最初的安全检测对于APT攻击防御而言非常重要。
在APT攻击初期不同步骤中,攻击者会采用复杂的技术手段开展相应攻击,综合各类检测技术从多层面及时检测出具有APT特征的异常是APT防御的关键。例如在信息收集阶段,攻击者需要使用各种工具扫描目标网络,若能有效分析系统日志、网络流量数据、防御系统警报等信息,将有可能发现APT攻击的信号;在初始攻击阶段,目标性电子邮件攻击往往是经典方法之一,部署采用基于收发双方关联信息、基于电子邮件历史分析发送者特点和基于附件恶意代码分析等检测技术的对策工具,可以有效检测出利用目标性电子邮件的APT攻击;在命令和控制阶段,可能存在增加用户、提升权限和增加新的启动项目等行为,使用IDS或IPS检测这类入侵将有助于发现APT攻击,另外,研究人员发现APT攻击者命令和控制通道的通信模式并不经常变化,若能及时获取到各APT攻击中命令控制通道的检测特征,可以采用传统入侵检测方法进行检测。
此外,可以利用大数据分析技术来处理检测数据。APT攻击者通常会规划很长一段时间展开信息收集和目标突破的行动,而现有IDS或IPS系统一般是实时工作的,而且在检测数据中存在大量冗余信息。因而,为了令初期阶段的检测更加有效,可对长时间、全流量数据用大数据分析的方法进行深度检测,对各种来源的日志数据进行周期性关联分析,这将非常有助于发现APT攻击。
4.2 完善APT响应机制最小化损失程度
检测系统虽然能在一定程度上判定出潜在的APT攻击,但有时也会出现误判,同时,检测技术往往滞后于千变万化的APT攻击技术,一些企业或组织还可能由于技术或资金限制并未采用最先进的检测系统。因此,尽力完善APT响应机制,在第一时间启动事件处置及应急响应流程,最大程度上减小APT攻击造成的损失至关重要。
对APT攻击的响应依赖于有效的检测系统,在检测系统发现异常发出报警后快速行动能最小化损失。可以部署大数据分析系统,这样就能很快搜索数据库并找到与受害主机相关的所有信息,甚至获取攻击者的信息并进行定位。如果对攻击没有清晰认识,需要使用一些基本方法最小化损失,例如:(1)当确认了某台主机遭受APT攻击,必须立即关闭与该主机的所有连接并运行反病毒软件;(2)隔离核心网络阻止后续损失;(3)激活无效防火墙;(4)分析系统日志,研究攻击者遗留的攻击代码,总结攻击模式并将该模式增加至数据库;(5)向安全机构提交事件报告。
4.3 人工干预
能否对APT攻击进行有效防御,在很大程度上取决于检测系统和响应机制,但是,适当的人工干预非常必要。雇用专业的安全服务人员,对安全防御系统进行运维和情况分析,就能够更加准确、及时地发现和处置攻击事件,提高安全防御系统的效能。
4.4 数据保护
APT攻击目标是企业或组织内部有价值的数据信息,因此可以考虑合理规划数据所在区域的网络结构部署、增强数据所在主机自身安全防护、优化相应权限管理、对数据进行加密存储及加密传输等措施,增大攻击者获取有价值数据的难度。另外,在主机上部署数据泄露防护(Data Loss Prevention,DLP)产品防止信息外传也是防御APT攻击的策略之一。
4.5 安全管理
人性弱点往往是APT攻击的最有效切入点,仅通过安全产品和安全技术无法完全实现对APT攻击的有效检测和防御,为了更好地抵御APT威胁,各企业或组织需要建立以安全技术与安全管理相结合的纵深防御体系。例如,在企业或组织内部建立信息安全部门,不断完善信息安全法规;定期进行安全检查、加固计算机网络系统及个人计算机系统安全,尽量减少各类信息的暴露,提高APT攻击者初始攻击的难度;定期对员工进行安全培训,提高员工的安全防范意识,确保个人落实安全法规。
5 结束语
全球范围内的APT攻击还在持续,严重危及企业及组织安全,已成为网络安全业界关注的焦点,世界各国亦将其提升到国家安全层面。面对复杂的APT攻击,传统以实时检测及阻断为主体的防御方式难以有效发挥作用,在与APT的对抗中必须转换思路,依据信息安全发展动态不断改进检测技术,采取新的策略以应对新的挑战。
参考文献
[1] 米昂,杨海军,姚钦锋,戴沁芸.从国家网络安全保障看APT防御思路[J].世界电信,2014,(8):40-47.
[2] 王在富.浅析APT攻击检测与防护策略[J].无线互联科技,2014,(3):120-121.
[3] 糜旗,朱杰,徐超,宗俊琣.基于APT网络攻击的技术研究[J].计算机与现代化,2014,(10):92-94.
[4] 李凤海,李爽,张佰龙,宋衍.高等级安全网络抗APT攻击方案研究[J].2014,(9):109-114.
作者简介:
李潇(1983-),女,山东淄博人,硕士,工程师;主要研究方向和关注领域:信息安全。
张强(1985-),男,北京人,学士,助理工程师;主要研究方向和关注领域:信息安全。
胡明(1979-),男,江苏泰州人,学士,工程师;主要研究方向和关注领域:信息安全。
