保密宣传

  • 您所在的位置:首页 >> 机关工作 >> 保密宣传
  • “高级持续威胁”频频来袭 安全防御面临严峻挑战

    时间:2013-12-19 19: 07:11信息来源:人防办点击:0

     

          近年来,网络攻击手段层出不穷,网络安全防御越来越具有挑战性。今年3月在美国旧金山举行的RSA 2012信息安全大会上,RSA总裁亚瑟•科维洛(Arthur W. Coviello)对网络世界面临的新型安全威胁——APT(Advanced Persistent Threat,高级持续威胁)的讨论,再一次引发了人们对信息安全防御体系的深入思考。实际上,众所周知的极光行动、夜龙事件、暗鼠行动、震网事件、维基揭密、火焰病毒乃至今年年初国内多家网站数据泄露事件,都属于APT的范畴。
            一、何为APT
            APT一般被翻译为“高级持续威胁”,也被称为“针对特定目标的攻击”。这个术语最初用来代指网络间谍活动,指的是某些组织和团体以挖掘安全数据为目的,长时间内访问一个网络。随着APT攻击范围的扩大,其内涵有所扩展,被普遍认为是为了获取某个组织甚至是国家的重要信息,有针对性进行的复杂且多方位的攻击过程。APT攻击往往是经过长期缜密的策划与组织,具有明确的指向性,潜伏周期长,攻击手段多样,攻击能力强。APT使得网络攻击的形式变得更为复杂和多元化,将网络攻击提升到了一个更高的层次。但究其实质,APT并不是一种新的攻击手法和单一类型的网络威胁,而是一种持续、复杂的网络攻击活动。
    在信息安全领域,APT曾一度以国家重要信息系统和基础设施网络(如政府、金融、电信、电力、能源、军事等网络)为目标,旨在破坏工业基础设施、窃取关系国家安全和国计民生的重要情报。比如,伊朗遭受的震网病毒攻击,核设施设备遭到破坏;美国政府遭遇的维基揭密,大量涉密文件被外传;美国信息安全厂商RSA的动态口令牌被破解,众多客户信息遭窃取。在政治利益和商业利益的推动下,APT攻击逐渐扩展到了商业和民用领域,攻击目标并不仅局限于大型高科技公司,那些处于一定职位,具有重要情报信息访问权限的个人也成为攻击目标。与国防军事领域旨在打击摧毁目标不同,APT攻击在商用和民用领域的目的是通过盗取数据获取经济利益,而不是造成网络瘫痪。
            二、APT的特点
            作为一种复杂的网络攻击活动,APT具有两个最为显著的特点。
            一是持续性。APT攻击往往不是为了短时间获利,攻击者经常会有针对性地进行为期几个月甚至数年的精心准备,从熟悉用户网络环境开始,先收集大量关于用户业务流量和目标系统使用情况的精确信息,搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式。如果一个攻击手段行不通,攻击者会不断尝试其他攻击手段,直至成功侵入目标网络内部。渗透到目标网络内部后,入侵程序会长期蛰伏,不断收集各种信息,通过精心构造的命令控制网络定期回送目标文件精心分析,直到收集到重要情报。
            二是隐匿性。APT攻击很难被传统的安全防御攻击检测到,因其具有极强的隐蔽能力。攻击者通常是使用目标主机上现有的工具,或者安装不会与入侵防御系统发生冲突的工具,通过常用网络端口,企业或机构网络中受信的应用程序漏洞来形成攻击者所需要的命令控制,并将他们的通信隐藏在HTML语言脚本中。这种攻击通常是以隐藏的方式进行的,通过各种措施来掩盖他们的踪迹,避免在日志中留下入侵证据。APT的目标是要做到尽可能以假乱真,即使不完全相同,也要与合法流量尽可能接近。
            三、APT攻击途径
            APT攻击途径多种多样,兹列如下。
            一是通过电子邮件达到攻击目的,这也是最常见的攻击途径。首先,攻击者会向用户发送带有恶意链接或附件的钓鱼邮件,窃取用户ID与密码。然后,攻击者开始执行恶意脚本,扫描终端用户使用环境,映射出公司的IT环境以确定战略资产、关键节点和高权限员工,随后攻击者通过其他钓鱼方式或解密系统管理员的身份认证来提升权限。接着,攻击者向侵入的终端植入恶意软件(如木马、后门、Downloader等)或恶意软件,并针对用户环境中应用程序的漏洞,劫持用户系统,构建僵尸网络。最后,攻击者激活指挥和控制设施,只要在不被发现的情况下,就可以源源不断地从攻击对象那里获取信息。在针对邮件系统的APT攻击过程中,攻击者通常会利用各种办公系统所支持的各类文档,例如word、pdf、ppt等,越是经常使用的文档,越有可能降低用户安全意识。
            二是通过入侵智能手机、USB等移动设备达到攻击目的。如今,这类设备的使用率猛增,在用户安全意识不强,或防病毒软件与访问控制机制未到位的情况下,用户使用这些设备连接内部网络,极易被APT用来做为攻击企业或政府网络的工具。
            三是通过利用防火墙、服务器等系统的漏洞达到攻击目的。攻击者借助程序漏洞建立连接,让被封锁的协议通过允许使用的协议进行穿透,继而获取访问企业网络的权限。
            四是通过控制远程访问终端达到攻击目的。为提高工作效率,企业会提高员工远程访问重要信息系统的能力。攻击者会通过远程访问向目标系统植入恶意软件,一旦终端被安装恶意软件,攻击者就能访问和控制企业的系统了。
            五是通过恶意网站,用钓鱼的方式达到攻击目的。在安全防御体系对恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库的情况下,企业无法阻止内部员工访问恶意网站,从而增加APT攻击入口。
            此外,APT攻击还有可能利用可通过外部访问的网页应用程序、对目标网站进行SQL注入、使用SSL链接等手段,达到攻击目的。
            四、APT攻击实例
            2010年引发全球安全厂商关注的极光行动(Operation Aurora)是一个十分著名的APT攻击实例。据报道,它由一个有组织的网络犯罪团体精心策划,使用了十几种恶意代码和多层次的加密,持续渗透Google公司内部网络,并巧妙掩盖自己的活动,目的是长时间渗透并窃取数据。攻击过程如下:
            (1)攻击者首先寻找特定攻击目标,通过Facebook上的好友分析,锁定了Google公司的一个员工及其好友。
            (2)攻击者入侵该员工好友的机器,利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器,上面放置了IE的ODay攻击代码。
            (3)攻击者利用好友的机器发送即时消息,邀请这名员工浏览新照片,其实消息链接正指向了这个IE ODay的页面。
            (4)这名员工收到好友发来的网络链接并且点击它,进入恶意网站。
            (5)攻击者通过SSL安全隧道与受害人机器建立连接,持续监听并最终获得了这名员工访问Google服务器的账号、密码等信息。
            (6)攻击者利用Google这个员工的身份在内网持续渗透,直到获得GMAIL系统中众多敏感用户的访问权限。
            (7)攻击者窃取了GMAIL系统中敏感信息后,通过合法加密信道将数据传出。
            据事后统计,极光行动不只针对Google发动了攻击,有30家美国高科技公司被侵入,包括赛门铁克这样的知名安全厂商。
            五、APT攻击的防范措施
            针对APT攻击越演越烈的状况,如何防御APT攻击成为政府、科研机构及众多安全厂商共同关注的问题。在近年APT攻击事件频发的背景下,由来自全球1000个知名企业的、业界定级信息安全领导人组成的企业创新信息安全委员会(SBIC),发布了一份题为《高级持续性威胁何时变为主流:制定信息安全战略,抵御不断升级的安全威胁》的报告,报告呼吁企业采取新的信息安全思考方式,尽快从旨在成功阻止侵入,转变为旨在成功检测攻击并减轻损失。从这一观念出发,报告从7个方面对防御不断升级的APT攻击给出了建议:
            (1)高级情报收集与分析,让情报成为战略的基石;
            (2)实施智能监控,知道要寻找什么,并建立信息安全与网络监控机制,以寻找所要寻找之物;
            (3)回收访问控制权,控制特权用户的访问;
            (4)重视用户培训,培训用户以识别社会工程攻击,并使得用户承担保证企业信息安全的个人责任;
            (5)强化高管意识,确保最高管理层认识到,抗击APT攻击的本质是数字领域的战争;
            (6)重新设计IT,从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,从而难以发现最宝贵的信息;
            (7)参与情报交换,分享信息安全威胁情报,利用其他积累的知识。
            从这7条建议可以看出,要防御APT攻击,“三分技术,七分管理”这一信息安全管理理念依然适用,无论是回收用户访问控制权、加强用户培训,还是提升管理层的意识,都是要加强对人的安全管理,提高用户安全意识。同时,APT攻击的组织性、复杂性,使得分析和分享情报变得极为重要,企业和科研机构单打独斗地制定各自的安全防御措施将不再是最佳选择,必要时还需要政府力量的介入。
            西方一些国家已经将APT攻击视为国家网络安全防御战略的重要环节,如美国国防部在High Level网络作战原则中,明确指出针对APT攻击行为的检测与防御是整个风险管理链接中至关重要也是最基础的组成部分。在这种形势下,我们应该如何应对APT挑战,维护国家信息安全和重要基础设施安全,成为迫切需要解决的问题,亟待政府、科研机构及众多安全厂商合力寻找答案。


    (摘自《保密科学技术》2012年第7期)

    CoryRight©2005-2012东莞市人民防空办公室 版权所有 粤ICP8976883号

    地址:东莞市中心区石竹路菊香苑7座二楼 联系电话:0769-22882377 传真:0769-22882379

    E-Mail:rfb@dg.gov.cn 邮编:523071