APT防御 歸因很有趣,但攻擊動機更重要
發(fā)布時間:2015-11-26每當人們想到高級持續(xù)性威脅(AdvancedPersistent Threat,,以下簡稱APT攻擊)和針對性攻擊/鎖定目標攻擊(Targeted attack ),,都不禁要問:這是誰干的?他們想要什么,?雖然這些問題都很有意思,,亞信安全認為更重要的是要問:關于攻擊者的哪些信息可以更好的幫助企業(yè)保護自己?
讓我們從網絡管理者捍衛(wèi)自己組織的角度來看這件事情,。如果有人想確認誰是攻擊自己組織的幕后黑手,,第一步或許會用IP地址來嘗試鎖定攻擊者的位置。但是,,假如我們鎖定了該服務器,,有什么理由認為這臺服務器不是由于被黑客入侵才發(fā)動攻擊的?是什么原由讓你認為網站負責人會配合你進行調查,?
在復雜的攻擊中,,常常可以看到攻擊者從一臺被入侵機器連到另一臺,,你可以嘗試盡可能的追查下去,,但幾乎很難追查到關于攻擊者的蛛絲馬跡。我們真的沒辦法取得像情報單位那樣多關于攻擊者的資料,。我們可以使用開放的資料庫但有其極限,,有時攻擊者會犯錯,在這時候我們可以討論他們是誰,,他們針對誰等等,。但如果你需要防護組織,就不能指望這一點,。
了解你要面對什么樣的攻擊
這不是說你該完全忽略誰在攻擊你,,而是應該更關注他們會做什么。如果有人用腳本小子(Script Kiddie)取得的工具來攻擊你,,這可能并非嚴重的威脅,。如果有人用新的漏洞和精心設計的惡意軟件來攻擊你,那就要注意了,。
他們的能力可能也反映了他們的意圖,。例如,,故意破壞(如篡改網站)比較可能是激進黑客主義(Hacktivism)的目標,而非國家級攻擊活動,。了解你面對什么樣的對手可以讓你了解他們的動機,。但大多數(shù)攻擊的目標是竊取信息,有時可能是可以馬上換錢的金融信息,,如支付信息,。有時可能是更加敏感的信息,如公司機密,。
并非每次入侵都會造成嚴重的信息外泄事件來占據(jù)各大科技新聞網站的頭條,。它可能是細水長流型:可能會放置后門程序在你網絡內部長達數(shù)個月,慢慢地在沒人注意的情況下流出信息,,這是許多攻擊者想要的結果,,即來自目標源源不絕的信息。而網絡存取能力本身也可能成為一種商品,,想象一下出現(xiàn)在網絡犯罪地下市場的一則廣告,,“一萬美元就可以讓你進入A公司的網絡”。
防御不良意圖
那么,,你該如何防護這一切,?針對入侵外泄的偵測是目前最重要的。了解你的網絡中什么是正常而什么是不正常,,讓你可以快速找到不正常的地方,,也就有是說可能是惡意的活動。你不能再假設外圍防御能夠阻止一切到達你組織的攻擊,;相反地,,你必須假設某種入侵事件最終將會發(fā)生,盡可能的去準備好偵測這樣的入侵外泄行為,。
想要做到這一點,,就必須準備好事件回應計劃。特別是針對嚴重而大規(guī)模的入侵外泄行為,,重要的是要知道該怎么辦,,獲取必要的工具,有合適的人員并提供相應的訓練,。這樣,,當重大事件發(fā)生時,人們可以根據(jù)經過深思熟慮過的計劃來作出回應,,而非匆忙而慌張地反應,。
簡言之:歸因很有趣,但從防御的角度來看,動機更加重要,。這決定了攻擊者一旦進入你的網絡內部后會做什么,,這也相對地影響了你該如何建立自己的防御能力。因此,,組織最好的防御思路莫過于確認攻擊者的動機,然后根據(jù)此動機判斷入侵最有可能發(fā)生的節(jié)點以及方式,,并擬定針對性的入侵防御方案,,對目標進行重點防御。
建立APT防御機制的前提是你的組織有監(jiān)控威脅的充足能力,,以發(fā)現(xiàn)入侵攻擊的發(fā)生及演變過程,。缺乏這一能力的組織可以通過部署亞信安全深度威脅發(fā)現(xiàn)平臺(Deep Discovery),通過智能的安全管控確認威脅是否發(fā)生,、判斷攻擊的本質,、評估威脅的影響和范圍,進而構建安全聯(lián)動的防護體系,。
