​百科名片

apt*** apt***
APT(Advanced Persistent Threat)高级持续性威,胁顾名思义,这种***行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成***者所需C&C网络;其次APT***具有很强的针对性,***触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被***环境的各类0day收集更是必不可少的环节。

APT事件

1、 Google极光***

2010年的Google Aurora(极光)***是一个十分著名的APT***。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次***以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
该***过程大致如下:
1)对Google的APT行动开始于刺探工作,特定的Google员工成为***者的目标。***者尽可能地收集信息, 搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2)接着***者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该***故此得名)。
3)接下来,***者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
4)最后,***者就使用该雇员的凭证成功***进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。

2、 夜龙***

夜龙***是McAfee在2011年2月份发现并命名的针对全球主要能源公司的***行为。该***的***过程是:
1) 外网主机如Web服务器遭***成功,***采用的是SQL注入***;
2) 被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3) 内网机器如AD服务器或开发人员电脑遭***成功,多半是被密码暴力破解;
4) 被黑机器被植入恶意代码,并被安装远端控制工具(RAT),并禁用掉被黑机器IE的代理设置,建立起 直连的通道,传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
5) 更多内网机器遭***成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。

3、 RSA SecurID窃取***

2011年3月,EMC公司下属的RSA公司遭受***,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立×××网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到***,重要资料被窃取。在RSA SecurID***事件中,***方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网络通讯方式,直接寄送电子邮件给公司职员,并附带防毒软件无法识别的恶意文件附件。其***过程大体如下:
1) ***者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”,寄件人是webmaster@Beyond.com,正文很简单,写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”;
2) 很不幸,其中一位员工对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有,除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash。
3) 该主机被植入臭名昭著的Poison Ivy远端控制工具,并开始自BotNet的C&C服务器(位于 good.mincesur.com)下载指令进行任务;
4) 首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
5) RSA发现开发用服务器(Staging server)遭***,***方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹;
6)在拿到了SecurID的信息后,***者就开始对使用SecurID的公司(例如上述防务公司等)进行***了。
另一个与此***类似的***事件是针对Comodo的颁发数字证书的系统***,结果导致很多由Comodo签发的伪造数字证书,成为了***者的强大武器。

4、 超级工厂病毒***(震网***)

遭遇超级工厂病毒***的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界***。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的***者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染***,以此为第一道***跳板,进一步感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种漏洞,包括当时的一个0day漏洞,一点一点的进行破坏。这是一次十分成功的APT***,而其最为恐怖的地方就在于极为巧妙的控制了***范围,***十分精准。

5、 Shady RAT***

2011年8月份,McAfee/Symantec发现并报告了该***。该***在长达数年的持续***过程中,***并***了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。其***过程如下:
1) ***者通过社会工程学的方法收集被***目标的信息。
2) ***者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参加某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。
3) 当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用,从而被植入***。实际上,该漏洞不是0day漏洞,但是受害人没有及时打补丁,并且,该漏洞只针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本信息也已经为***者所悉知。
4) ***开始跟远程的服务器进行连接,并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片,或者HTML文件),不为安全设备所识别。
5) 借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致***者可以任意控制受害人的机器。

新型***主要呈现以下技术特点

1、 ***者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;
2、 ***者也经常采用恶意邮件的方式***受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,邮件内容分析也难以奏效;
3、 还有一些***是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入***方面缺乏防范;
4、 初始的网络***往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞***;
5、 在***者控制受害机器的过程中,往往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力;
6、 ***者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;
7、 还有的企业部署了内网审计系统,日志分析系统,甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部***的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从***行为的角度进行整合,发现***路径。
8、受害人的防范意识还需要进一步提高。***者往往不是直接***最终目标人,而是透过***外围人员层层***。例如先***HR的人,或者首轮受害人的网络好友,再以HR受害人的身份去欺骗(***)某个接近最终目标人的过渡目标,再透过过渡目标人去***最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。
因此,在APT这样的新型***面前,大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。

APT的一些要点

APT 是******系统的一种新方法。它是一种高级的、狡猾的伎俩,高级***可以利用 APT***网络、逃避“追捕”、随心所欲对泄露数据进行长期访问。以下是关于APT的一些要点:
1)任何组织(无论是政府机构还是非政府机构)都会成为APT的***目标。有些人错误地认为 APT 只是盯着美国国防部(Department of Defense)。对于网络***而言,政府机构和商业组织之间并没有明显区别,任何可能危害国家的事情都是***者垂涎的目标。
2)一旦进入网络,威胁便大有用武之地,许多***的切入点都是诱使用户点击链接。不过,一旦APT打入系统内部,它便可以大发其威,因为在***方式方面它是非常高级而狡猾的。签名分析对于防范APT毫无作用。高级***总是百变其身,不断重新编译和利用加密来逃避检测。
3)许多人误以为***类似天气变化,来也匆匆,去也匆匆,暴风雨的日子会过去,阳光灿烂的晴朗天会来临。然而,如今的互联网始终是阴云密布的。以往,***者只是定期骚扰某个机构,而如今则是持续不断的***。***没有停歇的时刻,***者更加“持之以恒”。如果某个组织一段时间内疏于防范,便给***者施威留下了可乘之机。
4)***者深知规模经济的功效,因此会尽可能快的进行多点***。***者选择的“利器”是自动化。自动化不仅确保了威胁的持续性,而且支持***者能够非常快的实施***。
5)老式***还会给受害者留下一些可见的破坏“线索”。而如今,***则是不留任何痕迹的逃避“追捕”。偷偷摸摸和加以伪装是目前***的主要伎俩。APT 的目标是要做到尽可能乱真 — 即使不完全相同 — 也要与合法流量尽可能接近。差别非常细微,以至于许多安全设备根本无法分辨出来。
6)APT的目的是帮助***者牟取经济或财务利益。因此,其核心目标是数据。任何对机构有价值的东西对***者而言同样有利可图。随着云计算技术的日益普及,通过互联网,数据已变得越来越“唾手可得”。
7)***者不仅需要做到对目标机构的系统进出自如,而且要能够长期访问到有价值的数据。如果***者下大力气侵入了一个机构的系统,他一定想做到长期“霸占”数据。偷一次数据会获得小利,而九个月内持续窃取数据则会使***者大发横财。

APT如何防御?

防范是理想举措,而检测则是必要的。多数机构仅仅重视防范措施,对于 APT 而言,它是伪装成合法流量侵入网络的,很难加以分辨,因此防范效果甚微。只有***数据包进入网络内部,破坏和***才开始实施。
针对APT这种新的***媒介,以下是防范此类威胁的必要措施:
1、控制用户并增强安全意识——一条通用法则是:你不能阻止愚蠢行为发生,但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的措施。
2、对行为进行信誉评级——传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过,随着高级***日益增多,这种分类方法已不足以应对威胁。许多***在开始时伪装成合法流量进入网络,得逞后再实施破坏。由于***者的目标是先混入系统,因此,需要对行为进行跟踪,并对行为进行信誉评级,以确定其是否合法。
3、重视传出流量——传入流量通常被用于防止和拦截***者进入网络。毋庸置疑,这对于截获某些***还是有效的,而对于 APT,传出流量则更具危险性。如果意在拦截数据和信息的外泄,监控传出流量是检测异常行为的有效途径。
4、了解不断变化的威胁——对于您不了解的东西很难做到真正有效的防范。因此,有效防范的唯一途径是对***威胁有深入了解,做到知己知彼。如果组织不能持续了解***者采用的新技术和新伎俩,将不能做到根据威胁状况有效调整防范措施。
5、管理终端——***者可能只是将侵入网络作为一个切入点,他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险,控制和锁定终端将是一项长期有效的机构安全保护措施。
如今的威胁更加高级、更具持续性、更加隐匿,同时主要以数据为目标,因此,机构必须部署有效的防护措施加以应对。

​百科名片

APT(Advanced Persistent Threat)高级持续性威,胁顾名思义,这种***行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成***者所需C&C网络;其次APT***具有很强的针对性,***触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被***环境的各类0day收集更是必不可少的环节。

APT事件

1、 Google极光***

2010年的Google Aurora(极光)***是一个十分著名的APT***。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次***以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
该***过程大致如下:
1)对Google的APT行动开始于刺探工作,特定的Google员工成为***者的目标。***者尽可能地收集信息, 搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2)接着***者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该***故此得名)。
3)接下来,***者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
4)最后,***者就使用该雇员的凭证成功***进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息。

2、 夜龙***

夜龙***是McAfee在2011年2月份发现并命名的针对全球主要能源公司的***行为。该***的***过程是:
1) 外网主机如Web服务器遭***成功,***采用的是SQL注入***;
2) 被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3) 内网机器如AD服务器或开发人员电脑遭***成功,多半是被密码暴力破解;
4) 被黑机器被植入恶意代码,并被安装远端控制工具(RAT),并禁用掉被黑机器IE的代理设置,建立起 直连的通道,传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
5) 更多内网机器遭***成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。

3、 RSA SecurID窃取***

2011年3月,EMC公司下属的RSA公司遭受***,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立×××网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到***,重要资料被窃取。在RSA SecurID***事件中,***方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网络通讯方式,直接寄送电子邮件给公司职员,并附带防毒软件无法识别的恶意文件附件。其***过程大体如下:
1) ***者给RSA的母公司EMC的4名员工发送了两组恶意邮件。邮件标题为“2011 Recruitment Plan”,寄件人是webmaster@Beyond.com,正文很简单,写着“I forward this file to you for review. Please open and view it.”;里面有个EXCEL附件名为“2011 Recruitment plan.xls”;
2) 很不幸,其中一位员工对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2011-0609)。这个Excel打开后啥也没有,除了在一个表单的第一个格子里面有个“X”(叉)。而这个叉实际上就是内嵌的一个Flash。
3) 该主机被植入臭名昭著的Poison Ivy远端控制工具,并开始自BotNet的C&C服务器(位于 good.mincesur.com)下载指令进行任务;
4) 首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
5) RSA发现开发用服务器(Staging server)遭***,***方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹;
6)在拿到了SecurID的信息后,***者就开始对使用SecurID的公司(例如上述防务公司等)进行***了。
另一个与此***类似的***事件是针对Comodo的颁发数字证书的系统***,结果导致很多由Comodo签发的伪造数字证书,成为了***者的强大武器。

4、 超级工厂病毒***(震网***)

遭遇超级工厂病毒***的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界***。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的***者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染***,以此为第一道***跳板,进一步感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种漏洞,包括当时的一个0day漏洞,一点一点的进行破坏。这是一次十分成功的APT***,而其最为恐怖的地方就在于极为巧妙的控制了***范围,***十分精准。

5、 Shady RAT***

2011年8月份,McAfee/Symantec发现并报告了该***。该***在长达数年的持续***过程中,***并***了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。其***过程如下:
1) ***者通过社会工程学的方法收集被***目标的信息。
2) ***者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参加某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。
3) 当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2011 project budget.xls、Contact List -Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用,从而被植入***。实际上,该漏洞不是0day漏洞,但是受害人没有及时打补丁,并且,该漏洞只针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本信息也已经为***者所悉知。
4) ***开始跟远程的服务器进行连接,并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片,或者HTML文件),不为安全设备所识别。
5) 借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致***者可以任意控制受害人的机器。

新型***主要呈现以下技术特点

1、 ***者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;
2、 ***者也经常采用恶意邮件的方式***受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,邮件内容分析也难以奏效;
3、 还有一些***是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入***方面缺乏防范;
4、 初始的网络***往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞***;
5、 在***者控制受害机器的过程中,往往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力;
6、 ***者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;
7、 还有的企业部署了内网审计系统,日志分析系统,甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部***的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从***行为的角度进行整合,发现***路径。
8、受害人的防范意识还需要进一步提高。***者往往不是直接***最终目标人,而是透过***外围人员层层***。例如先***HR的人,或者首轮受害人的网络好友,再以HR受害人的身份去欺骗(***)某个接近最终目标人的过渡目标,再透过过渡目标人去***最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。
因此,在APT这样的新型***面前,大部分企业和组织的安全防御体系都失灵了。保障网络安全亟需全新的思路和技术。

APT的一些要点

APT 是******系统的一种新方法。它是一种高级的、狡猾的伎俩,高级***可以利用 APT***网络、逃避“追捕”、随心所欲对泄露数据进行长期访问。以下是关于APT的一些要点:
1)任何组织(无论是政府机构还是非政府机构)都会成为APT的***目标。有些人错误地认为 APT 只是盯着美国国防部(Department of Defense)。对于网络***而言,政府机构和商业组织之间并没有明显区别,任何可能危害国家的事情都是***者垂涎的目标。
2)一旦进入网络,威胁便大有用武之地,许多***的切入点都是诱使用户点击链接。不过,一旦APT打入系统内部,它便可以大发其威,因为在***方式方面它是非常高级而狡猾的。签名分析对于防范APT毫无作用。高级***总是百变其身,不断重新编译和利用加密来逃避检测。
3)许多人误以为***类似天气变化,来也匆匆,去也匆匆,暴风雨的日子会过去,阳光灿烂的晴朗天会来临。然而,如今的互联网始终是阴云密布的。以往,***者只是定期骚扰某个机构,而如今则是持续不断的***。***没有停歇的时刻,***者更加“持之以恒”。如果某个组织一段时间内疏于防范,便给***者施威留下了可乘之机。
4)***者深知规模经济的功效,因此会尽可能快的进行多点***。***者选择的“利器”是自动化。自动化不仅确保了威胁的持续性,而且支持***者能够非常快的实施***。
5)老式***还会给受害者留下一些可见的破坏“线索”。而如今,***则是不留任何痕迹的逃避“追捕”。偷偷摸摸和加以伪装是目前***的主要伎俩。APT 的目标是要做到尽可能乱真 — 即使不完全相同 — 也要与合法流量尽可能接近。差别非常细微,以至于许多安全设备根本无法分辨出来。
6)APT的目的是帮助***者牟取经济或财务利益。因此,其核心目标是数据。任何对机构有价值的东西对***者而言同样有利可图。随着云计算技术的日益普及,通过互联网,数据已变得越来越“唾手可得”。
7)***者不仅需要做到对目标机构的系统进出自如,而且要能够长期访问到有价值的数据。如果***者下大力气侵入了一个机构的系统,他一定想做到长期“霸占”数据。偷一次数据会获得小利,而九个月内持续窃取数据则会使***者大发横财。

APT如何防御?

防范是理想举措,而检测则是必要的。多数机构仅仅重视防范措施,对于 APT 而言,它是伪装成合法流量侵入网络的,很难加以分辨,因此防范效果甚微。只有***数据包进入网络内部,破坏和***才开始实施。
针对APT这种新的***媒介,以下是防范此类威胁的必要措施:
1、控制用户并增强安全意识——一条通用法则是:你不能阻止愚蠢行为发生,但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的措施。
2、对行为进行信誉评级——传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过,随着高级***日益增多,这种分类方法已不足以应对威胁。许多***在开始时伪装成合法流量进入网络,得逞后再实施破坏。由于***者的目标是先混入系统,因此,需要对行为进行跟踪,并对行为进行信誉评级,以确定其是否合法。
3、重视传出流量——传入流量通常被用于防止和拦截***者进入网络。毋庸置疑,这对于截获某些***还是有效的,而对于 APT,传出流量则更具危险性。如果意在拦截数据和信息的外泄,监控传出流量是检测异常行为的有效途径。
4、了解不断变化的威胁——对于您不了解的东西很难做到真正有效的防范。因此,有效防范的唯一途径是对***威胁有深入了解,做到知己知彼。如果组织不能持续了解***者采用的新技术和新伎俩,将不能做到根据威胁状况有效调整防范措施。
5、管理终端——***者可能只是将侵入网络作为一个切入点,他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险,控制和锁定终端将是一项长期有效的机构安全保护措施。
如今的威胁更加高级、更具持续性、更加隐匿,同时主要以数据为目标,因此,机构必须部署有效的防护措施加以应对。