启明星辰：人机结合共御APT攻击

　　近几年，安全威胁发生了很大变化，尤其是高级持续性威胁(APT)有愈演愈烈之势。那么，APT威胁最近有哪些新的发展？传统检测方法应对APT有哪些不足？我们又该如何防御？启明星辰积极防御实验室(ADLab)副总监杨红光给出了自己的看法。

　　APT威胁最新发展动态

　　FireEye公司发布的《2012年下半年高级威胁分析报告》指出，约每三分钟就会有一个机构遭受一次 恶意代码 攻击(特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件); 92%的攻击邮件都使用zip格式的附件，剩下的格式还有 pdf 等。另外，根据CN-CERT发布的《2012年我国 互联网 网络安全态势综述》显示，2012年我国境内至少有4.1万余台主机感染了具有APT特征的 木马 程序。

　　我们面临的问题是：我们对跨年度的恶意代码无法及时感知，传统反 病毒 体系的获取实时性遭到了挑战;APT攻击的攻击范围广、针对性强，它不仅仅局限于传统的信息网络，还会威胁工控系统、移动终端等其它信息系统，针对如能源、军工、金融、科研、大型制造、IT、政府、军事等大型组织的重要资产发动攻击;APT威胁愈演愈烈，普遍存在且影响严重。随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和攻击手段的出现，对于APT攻击的检测和防范变得越发困难。

　　APT攻击技术日益复杂

　　APT攻击一般可以划分为4个阶段，即搜索阶段、进入阶段、渗透阶段、收获阶段。

　　在搜索阶段，APT攻击的攻击者会花费大量的时间和 精力 用于搜索目标系统的相关信息、制定周密的计划、开发或购买攻击工具等。在进入阶段，攻击者会进行间断性的攻击尝试，直到找到突破口，控制 企业 内网的第一台计算机。随后进入渗透阶段，攻击者利用已经控制的计算机作为跳板，通过远程控制，对企业内网进行渗透，寻找有价值的数据。最后，攻击者会构建 一条 隐蔽的数据传输通道，将已经获取的机密数据传送出来。

　　APT攻击是攻击者利用多种攻击技术、攻击手段，同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击，这些攻击技术和攻击手段包括 SQL注入攻击 、XSS跨站脚本、0Day漏洞利用、特种木马等。

　　近几年，APT攻击技术更加复杂、攻击手段更加隐蔽，而且攻击已经不局限于传统的信息系统，而是逐渐把目标扩散到工业控制等系统，例如针对工业控制系统编写的Stuxnet、 Duqu病毒 。

　　APT攻击防御手段需持续改进

　　传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的威胁，对于未知的漏洞利用、木马程序、攻击手法，无法进行检测和定位，并且很多企业因为缺少专业的 安全服务 团队，无法对检测设备的告警信息进行关联分析。目前，在APT攻击的检测和防御上，主要有如下几种思路：

　　◆恶意代码检测：在互联网入口点对Web、邮件、文件共享等可能携带的恶意代码进行检测。

　　◆数据防泄密：在主机上部署DLP产品，APT攻击目标是有价值的数据信息，防止敏感信息的外传也是防御APT攻击的方法之一。

　　◆网络 入侵 检测：在网络层对APT攻击的行为进行检测、分析，例如网络入侵检测类产品。

　　◆ 大数据 分析：全面采集网络中的各种数据(原始的网络数据包、业务和安全日志)，形成大数据，采用大数据分析技术和智能分析算法来检测APT，可以覆盖APT攻击的各个阶段。

　　上述的防御方式各有各自的特点，恶意代码检测产品通常部署在互联网入口点，可以在APT攻击的初始阶段对攻击进行检测、发现，例如可以抓取携带后门程序、异常代码的word文件、pdf文件等等;网络入侵检测可以在网路层对APT攻击行为进行检测，如果攻击者通过跳板对内网进行渗透攻击，网络入侵检测系统可以进行预警、定位;数据防泄密可以防止APT攻击者将计算机中的敏感数据外传，可以有效降低攻击行为所造成的损失;大数据分析的检测比较全面，可以覆盖APT攻击的各个环节。

　　杨红光认为，虽然每种防御方式针对APT攻击的各个阶段进行检测，但是由于APT攻击的复杂性、隐蔽性，不排除有漏报或误报的可能，所以APT攻击的检测和防御产品同样需要跟随 信息安全 的发展动态，持续的进行改进。

　　他建议,在不能完全挡住APT攻击的情况下，要将APT攻击的危害降到最小，就需要做到以下几点：

　　 要有APT攻击检测和防御的手段，可以通过安全检测产品，由专业的安全服务人员进行运维、分析，及时发现、处置攻击事件。

　　 要定期组织信息 安全培训 ，警惕攻击者结合社会工程学进行欺骗攻击。

　　 要加强对重要信息资产的保护，从访问控制、用户权限、安全审计等等层面对控制措施和手段进行优化和加强。

　　针对APT攻击，启明星辰为用户提供了专业的安全产品以及专业的安全服务。启明星辰依托恶意代码检测引擎、网络入侵检测引擎、蜜罐系统、Armin大数据分析系统等安全产品实现对用户信息系统的安全监测，然后由其安全服务团队的专家对APT攻击进行分析、跟踪，帮助用户及时处理APT攻击事件。