中国IDC圈11月10日报道:每当人们想到高级持续性威胁(Advanced Persistent Threat,以下简称APT攻击)和针对性攻击/锁定目标攻击(Targeted attack ),都不禁要问:这是谁干的?他们想要什么?虽然这些问题都很有意思,亚信安全认为更重要的是要问:关于攻击者的哪些信息可以更好的帮助企业保护自己?
让我们从网络管理者捍卫自己组织的角度来看这件事情。如果有人想确认谁是攻击自己组织的幕后黑手,第一步或许会用IP地址来尝试锁定攻击者的位置。但是,假如我们锁定了该服务器,有什么理由认为这台服务器不是由于被黑客入侵才发动攻击的?是什么原由让你认为网站负责人会配合你进行调查?
在复杂的攻击中,常常可以看到攻击者从一台被入侵机器连到另一台,你可以尝试尽可能的追查下去,但几乎很难追查到关于攻击者的蛛丝马迹。我们真的没办法取得像情报单位那样多关于攻击者的资料。我们可以使用开放的资料库但有其极限,有时攻击者会犯错,在这时候我们可以讨论他们是谁,他们针对谁等等。但如果你需要防护组织,就不能指望这一点。
了解你要面对什么样的攻击
这不是说你该完全忽略谁在攻击你,而是应该更关注他们会做什么。如果有人用脚本小子(Script Kiddie)取得的工具来攻击你,这可能并非严重的威胁。如果有人用新的漏洞和精心设计的恶意软件来攻击你,那就要注意了。
他们的能力可能也反映了他们的意图。例如,故意破坏(如篡改网站)比较可能是激进黑客主义(Hacktivism)的目标,而非国家级攻击活动。了解你面对什么样的对手可以让你了解他们的动机。但大多数攻击的目标是窃取信息,有时可能是可以马上换钱的金融信息,如支付信息。有时可能是更加敏感的信息,如公司机密。
并非每次入侵都会造成严重的信息外泄事件来占据各大科技新闻网站的头条。它可能是细水长流型:可能会放置后门程序在你网络内部长达数个月,慢慢地在没人注意的情况下流出信息,这是许多攻击者想要的结果,即来自目标源源不绝的信息。而网络存取能力本身也可能成为一种商品,想象一下出现在网络犯罪地下市场的一则广告,“一万美元就可以让你进入A公司的网络”。
防御不良意图
那么,你该如何防护这一切?针对入侵外泄的侦测是目前最重要的。了解你的网络中什么是正常而什么是不正常,让你可以快速找到不正常的地方,也就有是说可能是恶意的活动。你不能再假设外围防御能够阻止一切到达你组织的攻击;相反地,你必须假设某种入侵事件最终将会发生,尽可能的去准备好侦测这样的入侵外泄行为。
想要做到这一点,就必须准备好事件回应计划。特别是针对严重而大规模的入侵外泄行为,重要的是要知道该怎么办,获取必要的工具,有合适的人员并提供相应的训练。这样,当重大事件发生时,人们可以根据经过深思熟虑过的计划来作出回应,而非匆忙而慌张地反应。
简言之:归因很有趣,但从防御的角度来看,动机更加重要。这决定了攻击者一旦进入你的网络内部后会做什么,这也相对地影响了你该如何建立自己的防御能力。因此,组织最好的防御思路莫过于确认攻击者的动机,然后根据此动机判断入侵最有可能发生的节点以及方式,并拟定针对性的入侵防御方案,对目标进行重点防御。
建立APT防御机制的前提是你的组织有监控威胁的充足能力,以发现入侵攻击的发生及演变过程。缺乏这一能力的组织可以通过部署亚信安全深度威胁发现平台(Deep Discovery),通过智能的安全管控确认威胁是否发生、判断攻击的本质、评估威胁的影响和范围,进而构建安全联动的防护体系。
(作者系亚信安全业务发展总监 童宁)