APT攻擊其實每天都在發(fā)生，我們的網(wǎng)絡(luò)資源、機密數(shù)據(jù)其實都在源源不斷的泄露出去而沒有察覺，現(xiàn)在新的信息安全的理念是“以“假定已陷入危險”的方式考慮信息安全問題”，信息安全策略成功的定義已經(jīng)不是將入侵者擋在門外，而是盡管攻擊者有時已經(jīng)進入網(wǎng)絡(luò)，但是能夠盡快發(fā)現(xiàn)并將影響最小化“。如何發(fā)現(xiàn)攻擊者的蛛絲馬跡？也許要采取同以往完全不同的思路來考慮這個問題。

北京時間6月4日消息，一個自稱"SwaggSec"的黑客組織聲稱，這個團體已經(jīng)攻入華納兄弟和中國電信的網(wǎng)絡(luò)，發(fā)布了據(jù)稱是被其攻破后所獲取的文件和登陸證書。這個名為SwaggSec(又稱“Swagg Security”)近日通過Twitter消息宣稱其黑入了上述兩家公司的網(wǎng)絡(luò)，并在代碼分享網(wǎng)站Pastebin上發(fā)布了一份聲明，同時提供了通往BT網(wǎng)站海盜灣(Pirate Bay)的被盜文件的鏈接。

今年2月，據(jù)搜狐IT報道，"SwaggSec"黑客組織在Twitter上宣稱利用漏洞攻破了全球最大電子配件制造商富士康的內(nèi)部網(wǎng)絡(luò)，獲取了包括微軟、蘋果在內(nèi)的大量富士康客戶的郵箱和密碼信息。SwaggSec聲稱，他們抓住了一個富士康員工IE瀏覽器上未修復(fù)的漏洞，輕易繞過防火墻并以管理員身份入侵內(nèi)網(wǎng)，他們在文檔中公布了大量富士康內(nèi)部資料，包括可以登錄多個內(nèi)網(wǎng)服務(wù)器的用戶名密碼以及部分財務(wù)信息，這些服務(wù)器目前已經(jīng)被緊急關(guān)停。被SwaggSec入侵的還包括一個富士康的郵箱服務(wù)器，這令黑客成功獲得了富士康所有用戶的郵箱密碼，其中還包括CEO郭臺銘。

據(jù)天融信安全研究中心分析，從上述簡短介紹來看，包括富士康公司在內(nèi)的幾家公司其實是遭到了APT攻擊。所謂APT攻擊，就是“高級可持續(xù)性攻擊”，或叫“針對特定目標(biāo)的攻擊”。它結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊、社會工程學(xué)方法等多種攻擊的高端攻擊模式，它不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開始找薄弱點，APT往往利用組織內(nèi)部的人員作為攻擊跳板。一步一步的獲取那些網(wǎng)絡(luò)、安全管理人員的進入組織內(nèi)部的高級權(quán)限，然后滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報。

具體到富士康那個案例，那個遭到攻擊的富士康員工或者就是一個安全管理員，具備了訪問多個內(nèi)部服務(wù)器的權(quán)限。當(dāng)他的電腦被入侵以后，實際上已經(jīng)成為了穿上網(wǎng)絡(luò)安全管理員馬甲的黑客控制的僵尸機。由于在一般企業(yè)中網(wǎng)絡(luò)管理員的權(quán)限過高，沒有監(jiān)督機制，一旦被入侵，這些電腦就可以被黑客利用，在內(nèi)網(wǎng)中長驅(qū)直入，沒有任何監(jiān)督可言。導(dǎo)致這次富士康大量服務(wù)器數(shù)據(jù)大量被竊取。

盡管富士康公司對網(wǎng)絡(luò)安全已經(jīng)十分重視，部署了相對完備的縱深安全防御體系，可能既包括針對某個安全威脅的安全設(shè)備，如防火墻、IDP、防病毒也包括了將各種單一安全設(shè)備串聯(lián)起來的管理平臺如SOC，而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個階段，但是依舊對這次攻擊無能為力。因為即使這些安全體系十分全面，但是忽略了一個至關(guān)重要的因素，那就是網(wǎng)絡(luò)安全管理員本身沒有被納入監(jiān)控體系中，這個體系出現(xiàn)了一個漏洞。

攻擊者經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，郵件內(nèi)容分析也難以奏效。像這次攻擊就采用了一個IE0day 漏洞。而企業(yè)和組織目前的安全防御/檢測設(shè)備無法識別這些0day漏洞攻擊；其次，在攻擊者控制受害機器的過程中，往往使用SSL鏈接，導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測系統(tǒng)無法分析傳輸?shù)膬?nèi)容，同時也缺乏對于可疑連接的分析能力；另外，攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時候，一定會向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒有明顯的指紋特征。這導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)都失效了；最后，這類攻擊的持續(xù)時間一般都在幾個星期甚至幾個月，通常的SIEM或日志分析產(chǎn)品無法關(guān)聯(lián)時間跨度如此大的安全事件；

為了確保對網(wǎng)絡(luò)內(nèi)部出現(xiàn)的異常行為及時檢測，必須要對網(wǎng)絡(luò)內(nèi)部所有節(jié)點的訪問行為做持續(xù)監(jiān)控，這就包括對于每一個需要關(guān)注的資產(chǎn)對象，需要按照一定的時間步長進行以下持續(xù)的統(tǒng)計：

◇作為源地址訪問的所有目的地址列表（FanOut）；

◇ 作為源地址的所有的目的端口（協(xié)議）列表

◇ 作為目的地址所有源地址列表（FanIn）

◇ 作為目的地址所有源端口列表

◇ 傳送的數(shù)據(jù)大小變化情況

◇ 相互通信列表（a 與b 的交集）

將上面的統(tǒng)計結(jié)果按照資產(chǎn)排序，找出不同的TOPN，將本期的TOPN與前一期的TOPN紀錄比較發(fā)現(xiàn)變化。

通過這個過程，一臺機器的網(wǎng)絡(luò)行為模型就基本建立，這樣就可以回答用戶關(guān)心的如下問題：

◇ 某一天訪問了哪些地址，與每天訪問的地址列表中的地址（白名單）相似度多少，這些不同的地址是否屬于惡意地址（黑名單）？，這些地址是否屬于整個內(nèi)部大的白名單？是否確定需要更新名單（黑白）？傳送的文件數(shù)量是否超出閾值？

◇ 通過整理內(nèi)部所有機器的訪問目的地址列表，找出交集，形成了內(nèi)部大的目的地址白名單。

◇ 這是該用戶應(yīng)該出現(xiàn)的行為嗎？是否被控制了？穿了馬甲？最近的訪問行為目的是否出現(xiàn)了嚴重的異化？比如網(wǎng)絡(luò)管理員的電腦出現(xiàn)了大量的外連上傳行為，其目的是以前從未訪問過的境外地址，而這些地址現(xiàn)在經(jīng)常出現(xiàn)在訪問目的地址的TOPN。

根據(jù)APT的攻擊特點，從管理范圍來看，必須是全員都被納入到行為監(jiān)控的范圍里。這里沒有特權(quán)，沒有例外，因為企業(yè)里面的每一個人從高層領(lǐng)導(dǎo)、董秘、網(wǎng)絡(luò)管理員，到基層員工，都有可能成為APT的攻擊目標(biāo)。

但是從一般企業(yè)的實際情況來看，要實現(xiàn)全員監(jiān)控幾乎是不可能的。任誰也不愿將自己的網(wǎng)絡(luò)行蹤公布出來讓其他人平頭論足，但這也是要做APT跟蹤和防護的一個必經(jīng)之路，可能只有像富士康這樣已經(jīng)遭遇了大面積數(shù)據(jù)泄露的企業(yè)才能痛下決心，從董事長帶頭做起，真正認識到信息安全對企業(yè)的極端重要性，最終走上全員監(jiān)控，徹底審計的道路，讓披著馬甲的黑客不再有藏身之處。只有這樣，才可以考慮后面如何實現(xiàn)的策略和技術(shù)手段。

標(biāo)簽： ssl 安全 代碼 防火墻 服務(wù)器 漏洞 權(quán)限 通信 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)絡(luò)安全管理 信息安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。