APT攻擊作為一種復(fù)雜且多方位的攻擊�,對于企業(yè)的安全保障構(gòu)成了極大的風(fēng)險(xiǎn)�����。盡管很多全球化企業(yè)在安全控管上都投入了龐大的資源����,但是APT攻擊仍然滲透進(jìn)這些企業(yè),并使韓國金融企業(yè)�、Adobe等遭遇了重大損失。這些事件都向我們警示了APT攻擊的復(fù)雜性與巨大破壞性���,并敦促我們盡快采取相應(yīng)防范措施����。
APT攻擊使企業(yè)面臨巨大風(fēng)險(xiǎn)
APT攻擊可能發(fā)生在任何一家公司�,其中最大的一個(gè)原因就是為了竊取公司的機(jī)密信息。知識產(chǎn)權(quán)��、金融資料���、員工和客戶的個(gè)人信息�、財(cái)務(wù)信息等很多機(jī)密信息都具有很高的價(jià)值。一旦黑客通過APT攻擊獲取這些機(jī)密信息�,將有可能給目標(biāo)企業(yè)造成巨大的損失。但同時(shí)��,竊取機(jī)密信息并非APT攻擊的唯一原因�,破壞系統(tǒng)、監(jiān)視等都有可能成為黑客攻擊者的原因�。因此,不管企業(yè)有無敏感信息����,都時(shí)刻都暴露在APT攻擊的風(fēng)險(xiǎn)之下。
攻擊者可能會(huì)利用某個(gè)組織的網(wǎng)絡(luò)基礎(chǔ)設(shè)施來發(fā)動(dòng)對其它組織的攻擊��。在某些案例中����,攻擊者會(huì)利用受害者的電子郵件賬號來增加他們魚叉式網(wǎng)絡(luò)釣魚攻擊郵件的可信度。在類似的攻擊事件中����,為了實(shí)現(xiàn)對大型組織網(wǎng)絡(luò)的攻擊,黑客可能會(huì)從連接到該組織網(wǎng)絡(luò)的小企業(yè)入手����,然后以其作為跳板發(fā)動(dòng)攻擊。對攻擊者來說�,通過小企業(yè)的網(wǎng)絡(luò)會(huì)更加容易也更為隱蔽,而且不會(huì)在大型組織的網(wǎng)絡(luò)內(nèi)留下痕跡����。
此外,一家公司也可能單純的被當(dāng)成跳板���,用來掩蓋攻擊者和目標(biāo)之間的攻擊路徑����。
在韓國近期遭受的大規(guī)模APT攻擊中�,黑客就假冒銀行的電子郵件賬號發(fā)送主題為“三月份信用卡交易明細(xì)”的釣魚郵件,該郵件包含了名為“您的賬戶交易歷史”的惡意.rar文件�,它會(huì)連接數(shù)個(gè)惡意IP地址并下載9個(gè)文件,企業(yè)內(nèi)部的中央更新管理服務(wù)器也會(huì)因?yàn)樵馐苋肭侄恢踩霅阂獬绦颉?/p>
面對APT攻擊可以做什么
不管企業(yè)的防御措施有多么完善��,只要一個(gè)設(shè)定錯(cuò)誤或某個(gè)用戶打開惡意文件或訪問惡意網(wǎng)站�����,就可能會(huì)讓公司受到影響��。因此�,企業(yè)所要做的不僅是在攻擊發(fā)生后迅速的采取修補(bǔ)措施���,還應(yīng)該及時(shí)的對整個(gè)IT架構(gòu)的數(shù)據(jù)動(dòng)態(tài)進(jìn)行檢測,一旦攻擊者進(jìn)入公司網(wǎng)絡(luò)�����,受攻擊的目標(biāo)必須要能盡快的加以偵測和控制�����。在這時(shí)間點(diǎn)�����,可以進(jìn)行完整的調(diào)查來看看攻擊者去過哪些地方和造成哪些損害���。
在韓國此次遭受的APT攻擊中�����,就有部署了趨勢科技TDA的韓國用戶成功的抵擋了此次攻擊�。趨勢科技TDA具備完善的啟發(fā)式偵測能力與沙盒分析提示���,當(dāng)惡意程序在網(wǎng)絡(luò)中傳播感染其它用戶時(shí)�����,它們就會(huì)被打上標(biāo)記��,其中就包括向外界傳送信息或從惡意的來源接收命令的隱藏型惡意軟件�。當(dāng)TDA偵測出此次攻擊相關(guān)的郵件中的惡意附件后�����,企業(yè)就有充足的時(shí)間來定制防御策略(Custom Defense Strategy)以抵御攻擊�。
對威脅進(jìn)行偵測和控制的過程可能非常耗時(shí),但是企業(yè)可以先專注在兩個(gè)方面來將損害降到最低程度��,同時(shí)也讓事件調(diào)查可以盡可能的快速和成功�����。第一��,企業(yè)要執(zhí)行適當(dāng)?shù)募o(jì)錄政策���,將網(wǎng)絡(luò)分割�����,并通過趨勢科技TDA等威脅發(fā)現(xiàn)設(shè)備來加強(qiáng)安全威脅檢測和對關(guān)鍵資料的保護(hù)����。第二,企業(yè)要有已經(jīng)受過訓(xùn)練和運(yùn)作正常的威脅情報(bào)小組和事件調(diào)查小組��。
為了幫助改善安全狀態(tài)����,滲透測試對公司來說也會(huì)很有幫助,從測試結(jié)果里可以了解很多安全隱患��。如果可以的話����,也要進(jìn)行社交工程和實(shí)體安全測試。一旦完成���,滲透測試可以用來作為事件調(diào)查小組的訓(xùn)練工具�����,并將所發(fā)現(xiàn)的信息提供給公司��,有助于企業(yè)了解整體的安全性問題����。
安全是一項(xiàng)投資,但由于APT攻擊可能對企業(yè)造成的巨大損害���,這種投資是值得的�。企業(yè)需要隨時(shí)關(guān)注APT攻擊的防御措施�,并且了解更多關(guān)于如何盡量減少成為APT攻擊受害者風(fēng)險(xiǎn)的詳細(xì)信息����,以保證企業(yè)的安全性。
