APT攻击的五个迷思与挑战

一般的信息安全解决方案可以防御高级持续性渗透攻击（APT）吗？APT 是通过专门的设计，用于从组织内部搜集特定文件的吗？数据外泄事件是APT 造成的吗？目前的IT团队所面临的挑战是如何保护他们的网络，防范APT – 这种由人发起的侵攻击会积极找寻并攻陷目标。为了帮助企业制订对抗APT 的策略，趋势科技TrendLab 准备了一些数据图表，向你介绍入侵的各个阶段。

通过分析攻击的各阶段，IT 团队可以了解对自己网络发动攻击可能用到的战术和操作。这种分析有助于建立本地威胁智慧– 利用对特定网络所发动攻击的紧密知识和观察，进而发展成为内部威胁数据。这是消除由相同攻击者所发动攻击的关键。我们的研究人员所确认的阶段分别是：情报 收集、进入点、命令与控制通讯、横向扩展、资产/数据发掘，以及数据窃取。

在现实状况下要处理APT各阶段的攻击，这要比一般的网络攻击更困难。例如，在资产发掘阶段，攻击者已经进入到网络内部，并希望找出哪些资产具有价 值，随后才会展开攻击。数据外泄防护（DLP）策略可以防止访问机密数据。然而根据一项调查显示，虽然公司的机密信息占全部数据的三分之二，但是大概只有 一半的信息安全预算花在了保护方面。

找出 APT 的全貌

APT攻击者针对目标公司和资源进行的一种攻击活动，通常会从目标员工的社交工程学攻击开始，并展开一连串的后续攻击。

APT攻击的六个阶段

获取目标IT环境和组织架构的重要信息

情报收集

31% 的雇主会对将公司机密数据发布到社交网络的员工进行惩处。

进入点

利用电子邮件、即时通讯、社交网络，或应用程序弱点，找到进入目标网络的大门。

一项研究指出，87% 的组织中用户会点击社会工程学攻击所提供的，充当诱饵的链接，这些链接都是精心设计并伪装的社会工程学陷阱。

命令与控制通讯

APT 攻击活动首先需要在目标网络中找出保存有敏感信息的重要计算机。

主要的 APT 攻击活动会利用网页通讯协议与命令与控制服务器进行通讯，确认入侵成功的计算机则会和命令与控制服务器保持持续通讯。

横向扩展

在目标网络中找出保存有敏感信息的重要计算机，此处使用的技巧包括传递哈希值，并将攻击者权限提升到与管理者一样，随后攻击这就可以访问目标机器（例如邮件服务器）。

资产/资料发掘

这一步主要是为以后的数据窃取行动确认有价值的数据。

RSA 曾经花了六千六百万美元补救因内部网络数据窃取事件所造成的伤害。

资料窃取

大部分公司的数据中有2/3属于机密信息，但用于保护这些信息的预算只是总预算的一半。

有关APT 攻击的迷思

只有APT会造成数据外泄事件?

数据外泄事件的原因有很多，有些数据外泄事件是因为疏忽或是恶意内贼所造成的。

APT 是单一事件？

APT 应该被视为一连串的攻击活动，而非单一事件。APT 会利用各种方法不停尝试，直到达到目的。

APT 是用来获取预定的数据或信息？

虽然攻击者可能知道他们想窃取哪些信息，他们还是需要先隐藏自己并进行横向扩展，好找出所需的特定文件。

钱是APT 攻击活动背后的唯一动机？

金钱并不是攻击者的唯一目的。当APT 攻击活动针对特定目标时，更多时候是做网络间谍战或破坏活动。

一般的信息安全决方案对于APT 是否还有用？

对抗APT 攻击活动并没有万灵丹，只能通过定制化的侦测机制监控你的网络，这样才能有效地降低风险。
忠告：越是敏感的数据，经手的人越多，外泄的风险就越大。

本文版权为趋势科技所有，转自红黑联盟由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理。