想了解APT與加密勒索軟件?目前全球APT攻擊趨勢如何?針對APT攻擊�,企業(yè)應(yīng)如何防護?針對最普通的APT攻擊方式加密勒索軟件�����,現(xiàn)今有何對策?帶著這些疑問���,51CTO記者采訪到APT攻擊方面的安全專家�,來自亞信安全的APT治理戰(zhàn)略及網(wǎng)關(guān)產(chǎn)品線總監(jiān)白日和產(chǎn)品管理部總監(jiān)徐江明�。
APT攻擊成頭號網(wǎng)絡(luò)安全殺手自2010年開始,APT攻擊就已經(jīng)成為取代傳統(tǒng)黑客攻擊的一種非常重要的攻擊手段��,而且呈現(xiàn)出愈演愈烈的形勢�����。
白日認為�����,目前���,在攻擊形態(tài)上���,其主要呈現(xiàn)為一個非常簡易的、最普通的APT攻擊方式——惡意加密勒索軟件。
在攻擊目標(biāo)上�,其已經(jīng)不僅僅鐘情于傳統(tǒng)的大型企業(yè),越來越多的中小企業(yè)成為攻擊對象�,而且無論是金融還是電信,能源�、政府等多個行業(yè)都成為眾矢之的。
如今�����,APT攻擊頻率越來越高��,影響越來越大�。
APT攻擊已成為國與國之間的第四戰(zhàn)場��,成為國與國之間���,領(lǐng)導(dǎo)人之間會晤的重要話題���。
總之,透過近些年的安全事件�,我們會發(fā)現(xiàn):APT攻擊越來越頻繁,已經(jīng)逐漸成為企業(yè)頭號網(wǎng)絡(luò)安全殺手�����。
最普通、最簡易的APT攻擊方式——惡意加密勒索軟件上面我們說到��,現(xiàn)在APT攻擊的形態(tài)主要體現(xiàn)為惡意加密勒索軟件��。
那么�,勒索軟件的發(fā)展現(xiàn)狀如何呢?不幸中招了該怎么辦呢?除了交付贖金還有其他辦法么?◆現(xiàn)在勒索軟件的發(fā)展現(xiàn)狀如何呢?早在2005年勒索軟件就已經(jīng)出現(xiàn),最初僅僅是通過鎖定電腦屏幕作為勒索手段��。
直至2013年��,加密型的勒索軟件出現(xiàn)�����,通過網(wǎng)頁惡意廣告�����、電子郵件附件等方式入侵電腦����,利用加密秘鑰來惡意加密文件。
而且根據(jù)加密方式的不同���,勒索軟件也不同����,如:CryptoWall、CryptoL0cker��、CTB Locker和CERBER等等���。
以加密型勒索軟件CERBER為例�,不僅有語言選擇和語音等新功能�,更限制中招用戶僅能通過比特幣支付贖金。
勒索軟件發(fā)展至今天����,已經(jīng)讓很多企業(yè)產(chǎn)生了不同程度的損失。
據(jù)一項勒索軟件調(diào)查報告顯示���,2015年,全球勒索軟件數(shù)量上升35%�,其中,43%的勒索軟件攻擊目標(biāo)為企業(yè)����。
預(yù)計未來針對企業(yè)進行攻擊的勒索軟件比例將不斷上升�,企業(yè)將會成為勒索軟件攻擊的主要目標(biāo)���。
◆不幸被加密勒索軟件攻擊該怎么辦?無論是個人還是企業(yè)���,如不幸中招。
在沒有備份的情況下只有交付贖金���,或者拒交贖金放棄信息��。
除此以外��,別無他法��。
因為對于已知的加密算法�����,技術(shù)人員可以通過逆向分析的方法解密����,但是勒索軟件的加密算法多數(shù)都是未知的�����,無法做到逆向。
◆遭遇勒索軟件基本無解�,這該如何是好?因為中招后基本無解,所以一切只能從源頭做好防范���。
就企業(yè)而言��,大部分加密勒索軟件攻擊屬于淡定型惡意攻擊����,它會用到高級定制化的附件或者VR����,因其不具有普遍性,所以通過傳統(tǒng)的安全軟件無法識別���。
攻擊者只要對加密勒索軟件的代碼進行修改�����,就可以穿過防火墻,直接到達桌面終端��,而桌面終端的殺毒軟件無法對其進行查殺���,因為沒有通過特殊碼進行匹配�����,所以點擊就中毒了����。
此時,只能依靠下一代威脅偵測來解決����,例如亞信安全提供了一套針對加密勒索軟件的解決方案,該方案提供防釣魚郵件的行為匹配�,行為識別,具有最新的未知威脅的監(jiān)控能力���。
對于企業(yè)的安全防護來說�����,白日建議企業(yè)應(yīng)從以下兩方面做起:一方面��,提高員工的安全意識���,這樣至少可以解決60%的問題���。
特別是長期戰(zhàn)斗在一線的工作人員,在上網(wǎng)的時候要提升自身的安全意識����,不要打開不明郵件,以防被釣魚����。
另外,在瀏覽網(wǎng)站時��,不要輕易打開惡意鏈接�。
總之要學(xué)會自我教育,自我防范意識��。
另一方面�,通過安全技術(shù)和安全產(chǎn)品及解決方案來對企業(yè)安全防護進行補充。
這樣雙管齊下����,通過個人安全意識和主動防御相結(jié)合的方式可以解決80%以上的惡意勒索軟件的攻擊,把勒索軟件帶來的危害降到最低�����。
◆特別提醒:感染勒索軟件的電腦及時斷網(wǎng)假如網(wǎng)絡(luò)中有一臺電腦不幸遭遇勒索軟件攻擊�,請及時斷網(wǎng)。
為啥要這么做?因為現(xiàn)在加密勒索軟件攻擊通過外圍進行信息搜集����,單點突破并對個體進行襲擊,對目標(biāo)企業(yè)核心資產(chǎn)進行全盤加索要贖金這三步后���,已經(jīng)進入到企業(yè)網(wǎng)絡(luò)內(nèi)部��。
這時候有些典型的APT類似于炒股短線,快進快出�,索要到贖金就罷了��。
但是真正的APT攻擊或者黑客組織可能不會就此罷休����,真正的APT攻擊可能目標(biāo)不僅僅是你的電腦,他可能從你的電腦橫向移動到企業(yè)中的其他終端或者服務(wù)器上����,或者鎖定整個企業(yè)的設(shè)備從而進行勒索,或者潛伏下來�,長期獲取公司數(shù)字資產(chǎn),盜取信息,對企業(yè)形成長期持久性的危害����。
我們知道,一個APT攻擊的周期短則半年�,長則十多年都有。
因此����,假如一個員工遭遇勒索軟件攻擊,很有可能攻擊會通過員工的桌面然后跳轉(zhuǎn)到其他員工的桌面或者企業(yè)的服務(wù)器上���,針對企業(yè)實施勒索或者長期潛伏搜集信息����。
白日向記者表示���,這種橫向移動是現(xiàn)在的企業(yè)用戶難以防范的���。
因為傳統(tǒng)安全防護理念認為所有威脅都來自于外部,沒有發(fā)現(xiàn)內(nèi)部是最大的安全源����。
現(xiàn)在企業(yè)用的還是傳統(tǒng)的防御體系和防御架構(gòu),企業(yè)的安全投資大多是在邊界、服務(wù)器和終端上�����,沒有基于內(nèi)網(wǎng)的一體化安全防護��。
防護邊界的設(shè)備無法檢測到橫向移動�����,只有通過內(nèi)網(wǎng)檢測設(shè)備才能清楚攻擊是否從一臺內(nèi)網(wǎng)PC轉(zhuǎn)向另一臺內(nèi)網(wǎng)PC����。
因此�,企業(yè)需要通過一定的技術(shù)方法和產(chǎn)品幫助管理人員找到由內(nèi)到內(nèi)的攻擊方式。
考慮到此�����,亞信安全的APT解決方案實現(xiàn)了能夠?qū)ν饩W(wǎng)邊界���、終端和服務(wù)器����,以及內(nèi)網(wǎng)進行安全防護的產(chǎn)品平臺。
企業(yè)如何及時防范APT攻擊?白日表示���,APT攻擊主要六個步驟���,分別是:情報收集、單點突破��、命令與控制(C&C 通信)�����、橫向移動�、資產(chǎn)/資料發(fā)掘、資料竊取�。
因此,APT攻擊的防護也應(yīng)從這六個階段出發(fā)����。
第一,加強員工安全意識培訓(xùn)以及內(nèi)網(wǎng)安全�,減少系統(tǒng)、服務(wù)器��、終端的漏洞以及因人而帶來的漏洞��。
從而讓攻擊者找不到漏洞,收集不到信息而無從下手����。
第二,防范單點突破�,例如社交釣魚郵件類社會工程學(xué)攻擊。
可以利用亞信安全深度威脅郵件網(wǎng)關(guān)(DDEI)進行防護�����。
第三��,完成單點突破后�,攻擊者就需要對被控制的設(shè)備下達指令�����,或者從外界獲取更多的攻擊工具�����,以進行下一階段的攻擊����。
所以����,這時要做的就是應(yīng)用亞信安全深度威脅終端取證及行為分析系統(tǒng)(DDES)等產(chǎn)品對內(nèi)網(wǎng)的服務(wù)器�����、終端等設(shè)備違規(guī)外聯(lián)進行阻止�。
第四,針對橫向移動��。
如上所述���,企業(yè)應(yīng)注重內(nèi)網(wǎng)安全防護��,借助亞信安全深度威脅終端取證及行為分析系統(tǒng)(DDES)及時發(fā)現(xiàn)有風(fēng)險的設(shè)備�����,及時阻止入侵行為�����。
第五�����,對企業(yè)核心信息資產(chǎn)進行加密�,或者DRP,或者使用APT防追蹤的策略����,從而防止黑客找到這些核心信息資產(chǎn)。
第六���,加強內(nèi)網(wǎng)安全防護�����,通過DRP技術(shù)�,違規(guī)外聯(lián)檢測等技術(shù)阻止攻擊者將企業(yè)的核心信息資產(chǎn)或者是重要數(shù)據(jù)打包帶走�。
遭遇APT攻擊后需做好調(diào)查取證工作此外�,針對APT攻擊,企業(yè)在部署APT防護解決方案的同時����,還要做好APT攻擊后的調(diào)查取證準(zhǔn)備,通過攻擊回溯將企業(yè)損失將至最低���。
對此�,徐江明表示,針對APT攻擊的調(diào)查取證并不是一件簡單的事情�����,在APT攻擊調(diào)查取證方面企業(yè)面臨很大挑戰(zhàn)��。
其一���,企業(yè)布防的安全設(shè)備每天會產(chǎn)生大量的安全日志��,面對大量的安全事件���,在人力資源有限的情況下處理事件的先后就成了問題。
其二�,企業(yè)有沒有能力分析判斷流量或者文件對自己是否有害。
其三�����,企業(yè)是否能夠建立知識庫����,避免被同一攻擊弄的焦頭爛額。
為了解決調(diào)查取證難題����,亞信安全最新發(fā)布了CTIC平臺(高級威脅調(diào)查取證中心)��,該中心可以針對高級威脅的專有日志進行分析����,日志收集專而精�����,日志分析�����、規(guī)則編寫更精準(zhǔn)���。
目前CTIC中心提供的服務(wù)內(nèi)容主要基于日志倉庫(亞信安全所有安全產(chǎn)品日志��、Windows、Linux等系統(tǒng)日志)�����,其設(shè)計目標(biāo)保本地化2000家企業(yè)客戶日志數(shù)量長達3年�。
