在所有黑客攻击行为当中,高级可持续性攻击(APT)很难应对,它在企业网络内部隐藏、游走。受害企业通常都有一个同样的疑惑:“黑客是如何在我的网络中长期躲藏而不被发现?”不法分子运用APT和“零时”漏洞进入企业网络,盗取企业的核心机密数据,这些数据能够为其换得回报。因此,不法分子长期潜伏下来,并且持续渗透。
如果我们还不能建立起有效的APT攻击防御架构,任何一个组织都面临数据泄露的危险。管理员必须要熟悉黑客窃取数据的方法,掌握APT攻击各个阶段的特点,并且能够针对APT攻击链条建立有效的抑制点。在互联网入口、内部交换层,都要配备更智能的过滤和分析机制,因为黑客正在把APT攻击代码写进看似正常的图片和文档中。亚信安全APT治理专家徐江明提醒:“企业用户一定要关注APT攻击的变化。我们的工程师已经发现了更糟糕的状况,地下市场上随处可见的恶意程序,以及卷土重来的宏病毒已经被APT攻击者广泛采用。”
某些恶意软件可以将C&C通信隐藏在图片当中。大多数的系统管理员都会被这样的技巧所骗,因为他们习惯上只会在安全网关上拦截可以执行文件并进行分析,不会拦截图片文件。但这些图片一旦进入目标网络之后,恶意软件就会帮助黑客发挥“横向移动”的能力。
能够骗过管理员和用户的另外一个伎俩就是Office文档,而这也是宏病毒藏身的地方。现在宏病毒回归,成为了APT攻击的惯用工具。紧随其后的是一些后门恶意软件,黑客还加上自己的防御手段,他们或是对启用宏的文件加上密码保护来防止防毒软件的查杀,或是开辟新方法来通过宏恶意软件感染用户的系统。
APT攻击共有六个阶段,这包括:情报收集、单点突破、命令与控制 (C&C 通信)、横向移动、资产/资料发掘、资料窃取。在黑客团体常常分工明确,每一阶段由一组专门的黑客负责。另外,需要注意的不仅是在“单点突破”这个阶段的恶意代码,黑客在第四阶段的“横向移动”对于最后资料窃取阶段的布局也至关重要。不断地在不同终端之间移动,可以让黑客完整扫描整个网络,并且找到最珍贵的数据。
发现APT攻击者在企业内部的藏身之处有一定的难度,企业必须不断提升自己的安全防护级别,并随时掌握整个企业网络的情况。如果无法避免黑客入侵那么就要尽可能缩短黑客潜伏的时间,并且妥善保护核心的数字资产。
本报记者 赵明
关注读览天下微信,
100万篇深度好文,
等你来看……
