APT攻擊作為一種復(fù)雜且多方位的攻擊�,對(duì)于企業(yè)的安全保障構(gòu)成了極大的風(fēng)險(xiǎn)。盡管很多全球化企業(yè)在安全控管上都投入了龐大的資源�����,但是APT攻擊仍然滲透進(jìn)這些企業(yè)�����,并使韓國(guó)金融企業(yè)��、Adobe等遭遇了重大損失。這些事件都向我們警示了APT攻擊的復(fù)雜性與巨大破壞性��,并敦促我們盡快采取相應(yīng)防范措施����。
APT攻擊使企業(yè)面臨巨大風(fēng)險(xiǎn)
APT攻擊可能發(fā)生在任何一家公司����,其中最大的一個(gè)原因就是為了竊取公司的機(jī)密信息。知識(shí)產(chǎn)權(quán)����、金融資料、員工和客戶的個(gè)人信息�、財(cái)務(wù)信息等很多機(jī)密信息都具有很高的價(jià)值。一旦黑客通過(guò)APT攻擊獲取這些機(jī)密信息����,將有可能給目標(biāo)企業(yè)造成巨大的損失。但同時(shí)���,竊取機(jī)密信息并非APT攻擊的唯一原因�����,破壞系統(tǒng)����、監(jiān)視等都有可能成為黑客攻擊者的原因。因此�����,不管企業(yè)有無(wú)敏感信息���,都時(shí)刻都暴露在APT攻擊的風(fēng)險(xiǎn)之下�����。
攻擊者可能會(huì)利用某個(gè)組織的網(wǎng)絡(luò)基礎(chǔ)設(shè)施來(lái)發(fā)動(dòng)對(duì)其它組織的攻擊�。在某些案例中����,攻擊者會(huì)利用受害者的電子郵件賬號(hào)來(lái)增加他們魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊郵件的可信度。在類似的攻擊事件中����,為了實(shí)現(xiàn)對(duì)大型組織網(wǎng)絡(luò)的攻擊,黑客可能會(huì)從連接到該組織網(wǎng)絡(luò)的小企業(yè)入手�����,然后以其作為跳板發(fā)動(dòng)攻擊。對(duì)攻擊者來(lái)說(shuō)��,通過(guò)小企業(yè)的網(wǎng)絡(luò)會(huì)更加容易也更為隱蔽��,而且不會(huì)在大型組織的網(wǎng)絡(luò)內(nèi)留下痕跡����。
此外�,一家公司也可能單純的被當(dāng)成跳板,用來(lái)掩蓋攻擊者和目標(biāo)之間的攻擊路徑�����。
在韓國(guó)近期遭受的大規(guī)模APT攻擊中�,黑客就假冒銀行的電子郵件賬號(hào)發(fā)送主題為“三月份信用卡交易明細(xì)”的釣魚(yú)郵件,該郵件包含了名為“您的賬戶交易歷史”的惡意.rar文件���,它會(huì)連接數(shù)個(gè)惡意IP地址并下載9個(gè)文件���,企業(yè)內(nèi)部的中央更新管理服務(wù)器也會(huì)因?yàn)樵馐苋肭侄恢踩霅阂獬绦颉?/p>
面對(duì)APT攻擊可以做什么
不管企業(yè)的防御措施有多么完善,只要一個(gè)設(shè)定錯(cuò)誤或某個(gè)用戶打開(kāi)惡意文件或訪問(wèn)惡意網(wǎng)站�����,就可能會(huì)讓公司受到影響。因此��,企業(yè)所要做的不僅是在攻擊發(fā)生后迅速的采取修補(bǔ)措施�,還應(yīng)該及時(shí)的對(duì)整個(gè)IT架構(gòu)的數(shù)據(jù)動(dòng)態(tài)進(jìn)行檢測(cè),一旦攻擊者進(jìn)入公司網(wǎng)絡(luò)����,受攻擊的目標(biāo)必須要能盡快的加以偵測(cè)和控制。在這時(shí)間點(diǎn)�,可以進(jìn)行完整的調(diào)查來(lái)看看攻擊者去過(guò)哪些地方和造成哪些損害。
在韓國(guó)此次遭受的APT攻擊中�,就有部署了趨勢(shì)科技TDA的韓國(guó)用戶成功的抵擋了此次攻擊。趨勢(shì)科技TDA具備完善的啟發(fā)式偵測(cè)能力與沙盒分析提示�,當(dāng)惡意程序在網(wǎng)絡(luò)中傳播感染其它用戶時(shí),它們就會(huì)被打上標(biāo)記�,其中就包括向外界傳送信息或從惡意的來(lái)源接收命令的隱藏型惡意軟件。當(dāng)TDA偵測(cè)出此次攻擊相關(guān)的郵件中的惡意附件后�,企業(yè)就有充足的時(shí)間來(lái)定制防御策略(Custom Defense Strategy)以抵御攻擊。
對(duì)威脅進(jìn)行偵測(cè)和控制的過(guò)程可能非常耗時(shí)�,但是企業(yè)可以先專注在兩個(gè)方面來(lái)將損害降到最低程度,同時(shí)也讓事件調(diào)查可以盡可能的快速和成功��。第一�,企業(yè)要執(zhí)行適當(dāng)?shù)募o(jì)錄政策�,將網(wǎng)絡(luò)分割���,并通過(guò)趨勢(shì)科技TDA等威脅發(fā)現(xiàn)設(shè)備來(lái)加強(qiáng)安全威脅檢測(cè)和對(duì)關(guān)鍵資料的保護(hù)����。第二�,企業(yè)要有已經(jīng)受過(guò)訓(xùn)練和運(yùn)作正常的威脅情報(bào)小組和事件調(diào)查小組。
為了幫助改善安全狀態(tài)���,滲透測(cè)試對(duì)公司來(lái)說(shuō)也會(huì)很有幫助,從測(cè)試結(jié)果里可以了解很多安全隱患��。如果可以的話����,也要進(jìn)行社交工程和實(shí)體安全測(cè)試。一旦完成���,滲透測(cè)試可以用來(lái)作為事件調(diào)查小組的訓(xùn)練工具��,并將所發(fā)現(xiàn)的信息提供給公司����,有助于企業(yè)了解整體的安全性問(wèn)題。
安全是一項(xiàng)投資��,但由于APT攻擊可能對(duì)企業(yè)造成的巨大損害�,這種投資是值得的。企業(yè)需要隨時(shí)關(guān)注APT攻擊的防御措施�,并且了解更多關(guān)于如何盡量減少成為APT攻擊受害者風(fēng)險(xiǎn)的詳細(xì)信息,以保證企業(yè)的安全性��。
