APT(高級(jí)持續(xù)威脅)在過去的2年多時(shí)間中����,正逐漸成為威脅企業(yè)安全的主流攻擊方式����。它的每一次出現(xiàn),都會(huì)震動(dòng)安全產(chǎn)業(yè)的神經(jīng)�����;它的每一次出現(xiàn),精細(xì)化程度和復(fù)雜程度都會(huì)引發(fā)企業(yè)對(duì)現(xiàn)有安全策略和架構(gòu)的思考�;它的每一次出現(xiàn),目標(biāo)靶單上的主角都會(huì)讓人們大吃一驚���,這份靶單上除了國(guó)家�����、組織機(jī)構(gòu)����、知名企業(yè)等外�����,甚至安全廠商也在劫難逃�。據(jù)了解,在2011年美國(guó)本土有超過70次在APT范疇的大型安全攻擊���。
企業(yè)的高價(jià)值資產(chǎn)����、關(guān)鍵數(shù)據(jù)成為APT攻擊者不斷追尋的獵物,它們包括:知識(shí)產(chǎn)權(quán)����、高的訪問權(quán)限、私有數(shù)據(jù)和系統(tǒng)��。美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院對(duì)APT給出了詳細(xì)定義:精通復(fù)雜技術(shù)的攻擊者利用多種攻擊向量(如:網(wǎng)絡(luò)����,物理和欺詐)借助豐富資源創(chuàng)建機(jī)會(huì)實(shí)現(xiàn)自己目的?���!边@些目的通常包括對(duì)目標(biāo)企業(yè)的信息技術(shù)架構(gòu)進(jìn)行篡改從而盜取數(shù)據(jù)(如將數(shù)據(jù)從內(nèi)網(wǎng)輸送到外網(wǎng)),執(zhí)行或阻止一項(xiàng)任務(wù)�����,程序���;又或者是潛入對(duì)方架構(gòu)中伺機(jī)進(jìn)行偷取數(shù)據(jù)。APT威脅:1.會(huì)長(zhǎng)時(shí)間重復(fù)這種操作����;2.會(huì)適應(yīng)防御者從而產(chǎn)生抵抗能力�;3.會(huì)維持在所需的互動(dòng)水平以執(zhí)行偷取信息的操作��。
誘發(fā)APT逐漸成為針對(duì)企業(yè)的主流安全威脅的因素有很多�����,比如競(jìng)爭(zhēng)加劇的全球經(jīng)濟(jì)環(huán)境�,金融市場(chǎng)的衰退,企業(yè)現(xiàn)有IT系統(tǒng)和安全架構(gòu)的弊端�����。而對(duì)于大多數(shù)企業(yè)而言�����,不得不通過全新的思路和找尋更加有效的方法來應(yīng)對(duì)APT攻擊威脅���。
近日RSA通過網(wǎng)絡(luò)會(huì)議的形式舉辦了“領(lǐng)先一步應(yīng)對(duì)危機(jī)四伏的高級(jí)網(wǎng)絡(luò)威脅”研討會(huì)����,RSA資深技術(shù)顧問華丹在線分享了RSA如何幫助企業(yè)應(yīng)對(duì)APT攻擊的思路和方法��。
知彼——解析APT典型流程
華丹首先分享了一個(gè)典型的APT攻擊流程,這個(gè)流程你可能似曾相識(shí)�����,因?yàn)橛械牟襟E也適用于其他安全威脅流程�����,比如木馬制造��,惡意分發(fā)��,僵尸機(jī)的控制等���。
如圖所示�����,這是一個(gè)典型的APT惡意軟件分發(fā)流程���,需要五個(gè)步驟:黑客制造木馬并通過0-day漏洞隨機(jī)的控制僵尸機(jī)��,通過目前主流的社交網(wǎng)絡(luò)��、IM工具等放出消息售賣其木馬和僵尸資源�,位于黑客產(chǎn)業(yè)鏈的第三方惡意軟件資源得到消息后�,會(huì)提供各種形式的惡意軟件�����,并委托其將惡意軟件放到分發(fā)更新服務(wù)器��,被隨機(jī)控制的僵尸機(jī)會(huì)通過分發(fā)服務(wù)器下載第三方惡意軟件并釋放惡意軟件���,僵尸機(jī)上的有價(jià)值信息會(huì)被竊取��,同時(shí)這臺(tái)機(jī)器會(huì)成為跳板���,以幫助惡意軟件潛入進(jìn)更有價(jià)值的企業(yè)關(guān)鍵服務(wù)器。
華丹表示�����,“不管是APT���,還是惡意軟件分發(fā)都越來越產(chǎn)業(yè)化����,分工更加精細(xì),而且目標(biāo)也更加明確�����,就是企業(yè)的關(guān)鍵數(shù)據(jù)和信息的重要節(jié)點(diǎn)�。對(duì)于企業(yè)而言,目前的安全架構(gòu)正在失效���,因?yàn)樵诤芏痰臅r(shí)間��,數(shù)據(jù)和信息就泄露了���,而且攻擊者全身而退,留給企業(yè)的可能是無跡可尋����,或者花費(fèi)很長(zhǎng)的時(shí)間來調(diào)查數(shù)據(jù)和信息的泄露原因?�!?/p>
對(duì)于APT攻擊����,企業(yè)所面臨的挑戰(zhàn)主要是APT攻擊不易察覺,因?yàn)樗膼阂獬绦蚧貓?bào)有別于傳統(tǒng)的攻擊方式���;此外�����,由于不明顯的攻擊和立即損害���,會(huì)讓企業(yè)低估APT攻擊所帶來的損失,后知后覺和數(shù)據(jù)泄露�����,讓企業(yè)糾結(jié)于是否企業(yè)內(nèi)部出現(xiàn)人為的泄露���。
知己——應(yīng)對(duì)APT先過自己這關(guān)
對(duì)于企業(yè)而言��,面對(duì)APT攻擊的挑戰(zhàn)���,他們都可能會(huì)關(guān)注這些問題。比如面對(duì)APT�,企業(yè)是否有智能的收集和分析能力?安全控管是否能找對(duì)方向���?攻擊者是否獲得了管理的權(quán)限和賬戶���?企業(yè)中有多少用戶的電腦已經(jīng)成為犧牲品�?企業(yè)管理者是否會(huì)加大投資來應(yīng)對(duì)APT攻擊����?是否能與同行交流到更多的經(jīng)驗(yàn)?等等問題�。
RSA有自己的見解。華丹指出�����,“企業(yè)應(yīng)對(duì)復(fù)雜的APT攻擊����,第一具備全面的可視性,即企業(yè)是怎樣的一個(gè)狀態(tài)���,有哪些風(fēng)險(xiǎn)�,有哪些資產(chǎn)是要保護(hù)的���;第二需要靈活的分析���,一旦遭遇APT攻擊��,需要有工具或平臺(tái)能夠幫助企業(yè)快速定位和分析攻擊者是通過什么途徑侵入企業(yè)�����?竊取了什么?第三企業(yè)治理與合規(guī)����,企業(yè)需要在IT層面和業(yè)務(wù)層面有清晰的規(guī)范,比如資產(chǎn)狀況�,設(shè)備管理情況等;第四智能的實(shí)時(shí)顯示�,企業(yè)需要第一時(shí)間確定身份目標(biāo)、攻擊和事件����,是來自有目的的攻擊,還是禍起蕭墻�?
有了這四方面,就足夠了嗎�?答案顯然不是。華丹強(qiáng)調(diào)��,“應(yīng)對(duì)APT最困難的不是在技術(shù)層面��,很多時(shí)候是在前期。企業(yè)應(yīng)對(duì)APT����,首先要看企業(yè)對(duì)APT或網(wǎng)絡(luò)威脅的重視程度和理解程度。最常見的情況是���,企業(yè)IT安全部門認(rèn)為防御APT很重要�,但企業(yè)領(lǐng)導(dǎo)不這么認(rèn)為�����,那么問題就產(chǎn)生了����;此外從技術(shù)角度,應(yīng)對(duì)APT攻擊時(shí)���,企業(yè)在前期的選型和邏輯設(shè)計(jì)���,選擇APT攻擊的解決方案時(shí)要評(píng)估、測(cè)試解決方案是否能夠真正有效地實(shí)現(xiàn)防御���、消除�、以及事后調(diào)查。所以首先要看企業(yè)目前IT的成熟度�,應(yīng)對(duì)APT是否有決心;此外�����,在前期架構(gòu)設(shè)計(jì)上是否有一套解決方案能夠真正化解威脅���。在整體框架確定后,才要考慮技術(shù)和與現(xiàn)有安全系統(tǒng)的融合�����?!?/p>
顯然應(yīng)對(duì)APT是技術(shù)問題,但更是考驗(yàn)企業(yè)IT信息化進(jìn)程����、宏觀安全策略和心理博弈的綜合能力評(píng)估問題,所以我才在這一小節(jié)的開始部分����,與企業(yè)一起提出了這些問題。那么你有這樣問過自己?jiǎn)幔?/p>
SMC海量數(shù)據(jù)分析為基 架構(gòu)與協(xié)同取勝
RSA安全管理中心SMC是一套整體的解決方案�����,應(yīng)對(duì)APT時(shí)它工作的一部分。SMC強(qiáng)調(diào)事前�����、事中��、事后的管理���。事前�����,梳理企業(yè)IT治理情況����,定義優(yōu)先權(quán)���;事中���,進(jìn)行分析、定位、實(shí)時(shí)記錄的可視化過程��;事后��,如果發(fā)生安全情況�,在最短時(shí)間找到APT攻擊者,給出處理建議��。要實(shí)現(xiàn)事前���、事中�����、事后的完美結(jié)合,需要一個(gè)整體的框架和不同工具的有效協(xié)同�����。
華丹表示�����,“SMC框架以海量數(shù)據(jù)分析為基礎(chǔ)���,企業(yè)IT治理和可視化流程都基于這一前提�����,對(duì)數(shù)據(jù)進(jìn)行分析�����,進(jìn)行實(shí)時(shí)的報(bào)表��、事件調(diào)查�、惡意軟件分析、虛擬化和數(shù)據(jù)防泄露等����。在數(shù)據(jù)分析的基礎(chǔ)上進(jìn)行APT的治理和合規(guī)事件的管理?���!?/p>
如圖RSA SMC系統(tǒng)框架,中間是SMC架構(gòu)的云端�,管理數(shù)據(jù)信息的分析和APT治理。左邊進(jìn)行日志和信息收集����,右邊進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的收集,以及其他的和外部信息分析等。
這個(gè)框架依靠RSA Archer�、RSA NetWitness、RSA enVision和RSA DLP協(xié)同支撐����。RSA Archer是企業(yè)IT治理和合規(guī)治理的產(chǎn)品,包括策略��、風(fēng)險(xiǎn)和合規(guī)定義和管理�,它能夠把我們所有的企業(yè)資產(chǎn),包括APT等一些信息�,還有一些監(jiān)測(cè)到的信息全部匯總,整理到統(tǒng)一的平臺(tái)之上��,給出具有業(yè)務(wù)層面參考的價(jià)值�����,一些操作的智能和綜合的管理����;RSA NetWitness可以到內(nèi)部的層面���,分析具體安全威脅�����,并重建攻擊路徑和攻擊源頭����,模擬威脅思路和路徑等;RSA enVision是專門來做收集和管理的���,包括應(yīng)用系統(tǒng)�����、安全系統(tǒng)��、數(shù)據(jù)庫(kù)等等�����,將所有的數(shù)據(jù)進(jìn)行收集�,并且實(shí)時(shí)的產(chǎn)生關(guān)聯(lián)�;RSA DLP是發(fā)現(xiàn)和定義敏感數(shù)據(jù),并且執(zhí)行數(shù)據(jù)策略����。
華丹指出�,“管理由RSA Archer完成�����,如企業(yè)資產(chǎn)定義和管理�����,RSA enVision負(fù)責(zé)設(shè)備日志信息手機(jī)����,如設(shè)備狀況和狀態(tài),敏感事件發(fā)生時(shí)���,enVision可以直接進(jìn)行處理�����,RSA NetWitness�����,完成對(duì)數(shù)據(jù)和應(yīng)用的信息收集,DLP執(zhí)行數(shù)據(jù)防丟失策略����。協(xié)同構(gòu)成針對(duì)企業(yè)內(nèi)部資產(chǎn)�����、能力資源管理系統(tǒng)���,ERP等完整的安全管理系統(tǒng)架構(gòu)?�!?/p>
最后����,華丹告訴ZDNet,“對(duì)于不同的客戶�,不同的企業(yè)規(guī)模,不同的企業(yè)IT成熟度����,不同的需求,SMC可根據(jù)用戶的需求量體裁衣�。4個(gè)產(chǎn)品不一定全部都要用,甚至可以只用一個(gè)����。在RSA Archer中有9個(gè)模塊���,包括事件管理、企業(yè)管理����、策略管理等,企業(yè)也可根據(jù)業(yè)務(wù)發(fā)展選擇����。4個(gè)解決方案的選擇,沒有先后次序����。”
