什麼是 APT?簡單的說就是針對特定組織所作的複雜且多方位的網路攻擊。
APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。
例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。
企業面對不斷演變的資安威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊(Advanced Persistent Threats, APT),它是針對特定組織所作出複雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防禦更先進的作法,包括即時威脅管理。本綱要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測並遏制APT和其他新威脅的技術。
我們先從實務面來評估APT的性質,大綱如下:
今天APT的性質
不斷變化的資安威脅環境
APT的要素
不斷變化的企業運作,讓問題更加複雜
評估控制和減輕APT風險的可能性
很顯然地,資安威脅環境變得越來越具有挑戰性。對於資訊系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全控管來做應對,包括即時監控和快速遏制措施。
今天的APT
APT是針對一個特定組織所作的複雜且多方位的網路攻擊。不管是就攻擊者所使用的技術還是他們對於目標內部的了解來看,這種攻擊是非常先進的。APT可能會採取多種手段,像是惡意軟體,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。
APT是長期且多階段的攻擊。
APT攻擊的早期階段可能集中在收集關於網路設定和伺服器作業系統的的詳細資訊,接著,精力會放在安裝Rootkit或其他惡意軟體去取得控制權或是跟命令與控制伺服器(C&C Server)建立連線。再下來的攻擊可能集中在複製機密或是敏感數據來竊取知識產權。
重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網路攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。防毒程式可能會阻止APT攻擊所使用的惡意軟體,但並不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防禦層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點?
不斷演變的資安威脅環境
企業和政府面臨著一個不斷演變的資安威脅環境。從一開始為了用來吹噓而去攻擊媒體網站或用阻斷式攻擊(DoS)來切斷流行網站的服務,到現在是為了經濟利益而攻擊。攻擊者能夠透過詐騙或竊取知識產權來直接獲取利益,或是間接地經由破壞競爭對手的服務或進行大規模資料竊取攻擊來入侵客戶的個人金融資訊。而除了動機上的變化,攻擊手段上也有所改變。
應用程式架構的改變和將核心作業去中央化都為攻擊者帶來機會。在過去,銀行行員和自動提款機是銀行帳戶進行交易唯一的途徑,現在你可以用手機做到這一點。也就在不久之前,談論到零售商就會想到有實體店面的店家或商場,現在它會讓人們聯想到可以出售各種東西的網站,從書籍到電器都有。
網頁應用程式提供多種業務相關服務來完成整個工作流程,而且還能串到後勤管理系統,像是庫存管理和應收賬款等。這些都很容易成為弱點掃描,注入攻擊和其他用來找出應用程式結構或潛在漏洞等資訊探測器的目標。
演變中的資安威脅環境裡的另一項因子是會組合多項技術。惡意軟體可以被用來執行特定任務,如側錄鍵盤,或者它可能包含一個通訊模組,可接收命令和控制伺服器(C&C Server)所下達的指令,來讓攻擊者去進行探測,搜尋,並且根據找到的資訊來改變戰術。
我們在APT中所看到的某些技術,在之前的混合式攻擊(在一次單一攻擊中使用多種的惡意軟體)中就已經看過了。我們還看到攻擊會因應使用者對策而改變。當防毒軟體成功的利用病毒碼比對技術來偵測到病毒時,惡意軟體作者會採用加密和多形技術來讓自己的程式得以避免偵測。同樣的,如果一條進入系統的路徑被封鎖了,APT會尋找另一條路徑。APT可變動的性質是資安威脅的共同特點,但有其他特點可以區別APT和其他類型的攻擊。
APT的要素
從最基本面來看,有三項特點讓我們認為這攻擊是APT:
出於經濟利益或競爭優勢
一個長期持續的攻擊
針對一個特定的公司,組織或平台
企業和政府是APT的目標原因很明顯。企業擁有高度價值的金融資產和知識產權。而從有政府組織以來,政府組織就是會面臨外來的攻擊。因此,APT的概念在許多方面都沒有什麼新意。唯一新的是執行這種威脅的方法,已經進入網路和應用程式的領域了。
長期攻擊可能持續幾天,幾週,幾個月,甚至更長的時間。APT攻擊可以從蒐集情報開始,這可能會持續一段時間。它可能包含技術和人員情報蒐集。情報收集工作可以塑造出後期的攻擊,這可能很快速或持續一段時間。例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程式弱點和文件位置的情報收集,但當計畫完成之後,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在伺服器後,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制伺服器(C&C Server)進行審查。
有一些廣為人知的APT攻擊演示了發動APT的手段和動機:
以Zeus僵屍網路/傀儡網路 Botnet當例子,一開始是作為攻擊金融機構的平台,但被改成一個框架(Framework)提供給其他類型的APT。
極光(Aurora)APT攻擊Google和其他科技公司,似乎在試圖取得存取權和可能去修改應用程式碼。請參考:鎖定企業的目標攻擊與最大的弱點(內含Google與 RSA 遭目標攻擊案例)
Stuxnet 是高度針對特定產業的惡意軟體,其中包含一個針對用在工業設備上可編程序控制器(Programmable Logic Controller, PLC)的Rootkit。所以新聞界有人猜測Stuxnet是由一個或多個政府來開發的。
而這些APT可以利用我們提供服務的改變來加以攻擊。
不斷變化的企業運作,使問題更加複雜
使用技術和攻擊動機的改變只是APT成為如此嚴重威脅的部份原因。我們如何去設計系統讓使用者存取商務應用程式也是原因的一部分。
想到去邊界化。過去防火牆會阻止未被明確允許的連線。由於進階應用需要有更靈活的網路連線。外部人員需要訪問內部資源。開發人員開發應用程式去建立通道讓被封鎖的協定藉由被允許通過的協定(也就是HTTP)穿過。現在並不是用單一邊界包圍著所有的網路資產,企業開放存取更多的伺服器而只依賴於基於設備的控管和網路流量監控。
另一個可以被APT所利用的因子是手機和其他無法被管理的設備使用增加。IT部門並不總是能夠要求在防毒軟體或存取控制到位之後,設備才可以使用內部服務。這些設備可以被APT利用來做為攻擊企業或政府網路的一部分。
同樣,增加外部可用的網頁應用程式提供另一種可能的攻擊方法。舉例來說,對於網頁應用程式的注入攻擊可以用來收集資料庫內容或是程式結構相關的情報。
藉由擴大員工訪問重要資訊系統的能力,企業可以讓員工更容易也更有效率的進行必要的工作。但是,這樣也增加了可能的攻擊入口。
技術和組織方面的因素在工作上會導致APT攻擊的可能性。其中許多因素,像是提供員工更多功能和可以從移動設備來存取應用程式都是這麼的有幫助,很難想像要去削減它們。我們可以降低APT的風險,而不必犧牲這些和其他的好處。
從實務面來評估控制APT的可能性
從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。在網路安全的歷史中充滿了新型態攻擊出現以因應新型態控制的例子。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。既然APT已經存在了,有什麼合適的策略可以用來減輕相關的風險呢?
我們應該繼續部署攔截對策。防毒軟體,加密,弱點掃描和上修正程式(Patch)都是很好的做法。但是他們還不夠去應付APT,所以我們應該假設會被攻擊成功。並不是說這些對策有問題;,這觀點只是認定一個事實,就是有決心而且堅持的攻擊者始終會找到一條路擺脫所有的防堵辦法的。
所以在某些點上會被攻擊成功的前提下,我們必須即時的監控網路流量和電腦上的活動。萬一攻擊發生了,能夠儘快偵測到攻擊和遏制它所造成的影響是迫切需要的。遏制方法可以包括隔離被入侵的設備,關閉伺服器和收集資料以作鑑識分析之用。
摘要
APT是一類會對IT和資安專業人員產生特別挑戰的資安威脅。它出於經濟或其他長期收益的動機,利用多種惡意軟體和駭客技術來武裝自己,這些攻擊者願意花時間跟精力去打破組織的防禦能力。過去的許多最佳做法在今天還是必需的,但正如我們將在下一篇文章中所看到的,我們需要在我們的對策組合中加入即時監測和遏制技術。
@原文出處:Beyond the Hype: Advanced Persistent Threats