程彥博

APT（高級(jí)持續(xù)性安全威脅）已經(jīng)離我們?cè)絹碓浇?/p>

2014年初，F(xiàn)ireEye發(fā)布的2013年高級(jí)威脅研究報(bào)告顯示，在FireEye分析的39504次網(wǎng)絡(luò)安全事件中，與APT攻擊相聯(lián)系的威脅占到4192次，平均每天11次。

如今，各個(gè)信息安全廠商和咨詢分析機(jī)構(gòu)都在不同的時(shí)間點(diǎn)表示，APT攻擊將呈現(xiàn)出爆發(fā)趨勢(shì)。一方面，APT攻擊始終呈現(xiàn)出非常高的國(guó)別屬性，當(dāng)網(wǎng)絡(luò)空間成為國(guó)家空間的一部分，各個(gè)國(guó)家為了政治、經(jīng)濟(jì)上的利益，網(wǎng)絡(luò)戰(zhàn)爭(zhēng)始終沒有停止。在世界各國(guó)都在積極準(zhǔn)備網(wǎng)絡(luò)戰(zhàn)爭(zhēng)的攻擊和防護(hù)時(shí)，我國(guó)的核心機(jī)構(gòu)和組織、政府部門、能源金融等領(lǐng)域均面臨著嚴(yán)峻的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)威脅。另一方面，這個(gè)曾經(jīng)非?！案叽笊稀薄⒈焕糜谡?、大型集團(tuán)型組織之間相互對(duì)抗的攻擊同時(shí)也開始侵入“尋常百姓家”。這是因?yàn)?，這些相當(dāng)于“尋常百姓”的中小企業(yè)同樣具備一些高價(jià)值的資料和商業(yè)秘密，同時(shí)它們出于成本的考慮，信息安全防護(hù)工作往往不那么嚴(yán)密，甚至有很多紕漏。

“2013年，安恒信息成為承擔(dān)全國(guó)政府網(wǎng)站的安全大檢查工作的單位之一。在全國(guó)政府網(wǎng)站安全大檢查之后，我們做了一些數(shù)據(jù)統(tǒng)計(jì)并發(fā)現(xiàn)，全國(guó)省部級(jí)政府網(wǎng)站中，存在比較嚴(yán)重安全問題的網(wǎng)站占據(jù)了一定的比例。”近日，在杭州安恒信息技術(shù)有限公司（下文簡(jiǎn)稱安恒信息）舉辦的發(fā)布會(huì)上，安恒信息副總裁劉志樂如此介紹。

這樣的形勢(shì)，事實(shí)上讓一些政府機(jī)構(gòu)和企業(yè)暴露在APT攻擊的威脅之下，如何防范日益嚴(yán)重的APT攻擊成為它們迫切需要解決的問題。而安恒信息發(fā)布的APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)，正是為了迎合中國(guó)政府和企業(yè)的安全需求，幫助它們實(shí)現(xiàn)在APT攻擊下的預(yù)警與防護(hù)。

雖然APT在信息安全領(lǐng)域并不是一個(gè)嶄新的詞匯，但是如今不同的人對(duì)APT仍然存在不同的理解，對(duì)APT的防護(hù)也有不同的方式?！癆PT攻擊的威脅已經(jīng)不單單是一個(gè)病毒，它經(jīng)常伴有惡意程序、黑客攻擊，以及垃圾郵件等多種威脅?！卑埠阈畔⒖偛梅稖Y介紹，“通過對(duì)APT攻擊進(jìn)行大量分析，我們會(huì)發(fā)現(xiàn)絕大多數(shù)大攻擊通過3條路徑對(duì)目標(biāo)發(fā)起攻擊：一是通過發(fā)送帶惡意附件的郵件，利用惡意附件在員工電腦中植入后門，再通過員工電腦進(jìn)行進(jìn)一步滲透；二是直接攻擊Web服務(wù)器，由于Web服務(wù)器經(jīng)常存在嚴(yán)重的安全漏洞，所以黑客經(jīng)常對(duì)Web服務(wù)器進(jìn)行攻擊，然后再利用Web服務(wù)器為跳板，對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊；三是使用欺騙或流量截獲的方式直接對(duì)員工服務(wù)器發(fā)起攻擊，利用員工電腦對(duì)內(nèi)部網(wǎng)絡(luò)發(fā)起攻擊。”

“目前針對(duì)APT攻擊，不同廠商的理解殊途同歸，比如針對(duì)零日（0day）攻擊的分析，基于Web、文件和郵件的攻擊檢測(cè)和流量分析來發(fā)現(xiàn)攻擊行為。”范淵表示。

在范淵看來，APT攻擊檢測(cè)設(shè)備的一個(gè)主要能力就是能夠檢測(cè)到零日攻擊。靜態(tài)檢測(cè)無法檢測(cè)到深度多攻擊行為，而動(dòng)態(tài)檢測(cè)由于存在大量環(huán)境組合無法窮舉，無法觸發(fā)所有的行為。所以，在對(duì)APT攻擊的檢測(cè)上，不應(yīng)該使用任何單一的方法。

“對(duì)APT攻擊的防御是體系化的，它所涉及的層面十分廣泛?！狈稖Y告訴記者，“在APT攻擊中，由于黑客可能嘗試多種路徑進(jìn)行攻擊，所以無法使用一種方法就有效地檢測(cè)出APT攻擊。我們需要多種檢測(cè)手段結(jié)合，并進(jìn)行綜合分析才能更有效地發(fā)現(xiàn)APT攻擊。比較常用的檢測(cè)步驟是：首先針對(duì)Web、郵件、傳輸?shù)奈募M(jìn)行攻擊檢測(cè)，然后綜合這些攻擊的數(shù)據(jù)分離可疑文件、攻擊流量，再對(duì)Web行為模型進(jìn)行建模和統(tǒng)計(jì)分析并對(duì)文件進(jìn)行靜態(tài)分析和動(dòng)態(tài)運(yùn)行分析，最終綜合各種攻擊路徑上的告警情況進(jìn)行綜合分析，從而發(fā)現(xiàn)APT攻擊。”

據(jù)了解，安恒信息研究院與國(guó)內(nèi)的許多知名互聯(lián)網(wǎng)企業(yè)和國(guó)外的合作伙伴建立了完善的提醒和通知機(jī)制，不斷挖掘和研究零日漏洞，在互動(dòng)中加強(qiáng)經(jīng)驗(yàn)的積累。這也為安恒信息APT攻擊（網(wǎng)絡(luò)戰(zhàn)）預(yù)警平臺(tái)的預(yù)警和防護(hù)能力提供了保證。endprint