APT攻击原理及防护技术研究
2019-04-18◆张敬
◆张 敬
(内蒙古军区数据信息室 内蒙古 010000)
0 引言
APT是高级持续性的威胁攻击,在攻击之前会对攻击的对象以及业务流程等信息进行有效的收集,通过对其存在的漏洞进行有针对性地进行攻击,所以这种攻击的力度比较大,在攻击过程中也难以发现。很多公司都受到过 APT威胁,使其项目受到了很大的影响,通过控制重要的信息系统并将重要的信息进行窃取,并对存留的数据进行删除后撤退,使得后续难以找到攻击源。目前,很多企业已经将网络安全危机进行控制,通过新一代的防御系统来对其进行持续的反应。应用数据安全防御功能来进行对抗,虽然不可能完全消除损失,但可以通过相应检测方法和防护措施来尽量避免造成的损失。
1 APT 攻击形式
1.1 Advanced(高级)
首先是要寻找具有价值的数据,攻击者会根据目标公司进行长期的分析,这种攻击是难以发现的。通过较长时间的研究,可以更加迅速地击溃受攻击者的防火墙。通过可利用的工具来进行攻击,使其自定义的漏洞进行相应的操作。一般 APT攻击通过使攻击目标妥协,对其数据进行截取。对照以前所公布的漏洞来进行一个安全性的检查,如果其中还有出现的问题那么会根据这个问题进行有针对性的攻击。如果目标是良好的、没有漏洞的,那么也可以使用一些之前未公开的攻击点来进行访问,从而找到更高价值的数据。
1.2 Persistent(持续)
找到了攻击对象就要建立一个有针对性、高级的攻击环境,一般攻击者会运用多种技术来提升自己的准入权限,通过对漏洞以及其他防火墙等来建立自己永久的隐身环境,让被攻击者很难察觉自己的存在。一旦 APT建立了存在点,那么也很难通过简单的方式来进行检查,更难以去去除。这种强大的能量让APT在长期的威胁下受到很多公司的重视,他们通过最大限度地将信息进行截取与盗用来使自己的利益最大化,将自己处于隐身环境进行扩大来提升 APT攻击的有效性。攻击的目的是让自己可持续地进行访问,对新环境和潜在价值的数据进行有效的提取,让攻击的效果得到提升。
1.3 Threat(威胁)
一般 APT攻击的过程中选择的目标都是特定的,会根据之前所收集的信息来进行分析,其目的侧重于获得资金、技术和一些商业机密,这样能够在各个方面都获得相应的优势。APT能够有效地运用综合能力和创新能力,使在攻击过程中使用更多新型的病毒,使被攻击者不发觉。APT攻击的原理比其他传统的攻击方式更为复杂,在发动攻击之前,其高级性已显现,通过信息的收集对攻击对象的业务流程和目标进行集中的分析,主动挖掘被攻击对象中可能存在的漏洞,通过组建网络并进行有针对性的攻击。在当前的网络空间中,很多信息都会暴露在网络中,攻击者可以利用很少的信息来对特定目标进行 APT攻击,但是在我们的周围对认知程度却很低,很多用户和企业对 APT的威胁力以及效果了解非常少,很多电子邮件和社交网站都已经打破了传统黑客攻击的模式,使用了更加强大的病毒以及链接来发动APT攻击。作为一个企业,需要有效地对APT攻击进行防护,采取更加安全的防护设备来保护自己的数据和网络安全。如图1为谷歌受APT攻击事件过程。
图1 谷歌受APT攻击事件过程
2 APT 攻击检测
2.1 规划和信息收集
APT攻击一般是针对公司或者技术为一种方式来获得初始的访问空间,它们会直接获得目标和情报,通过相应的定位来通过APT进行相关的搜索,以此获取相关信息,进而进行攻击。
2.2 攻击与妥协
APT可以应用多种方法来发动攻击,通过电子邮件相关链接以及社交媒体等都能应用一个恶意链接或者是相关附件作为一个出发点,通过被攻击人的点击来损害对方的防御系统。这些恶意电子邮件通过第一阶段的信息收集,能够实现个性化和目标化的攻击,在打开电子邮件和附件的过程中提高攻击效率,实现攻击目的。
2.3 建立基地并控制
通过自动的、全方位对系统和网络信息收集来建立相关的基地,对控制系统进行全方位的控制。应用一个信息渠道,能够将被攻击者所需要的信息进行提供,还能通过相应的软件以及代码等进行变异方式的攻击,使被攻击者杀毒防护的效能丧失,这种逃避被称为变形,这样也使得检测和消除的难度大大增加。
2.4 保持持久性
在当前阶段,可以由多个攻击点对被攻击者进行攻击,通过服务器植入相应的病毒,使其攻击能力得以提升,同时对方难以检测到被攻击点。相关系统检测难度增强,从此可以长期地窃取数据,通过 APT的攻击步骤可以看出其攻击方式是多元化的,所以要想对其进行有效的防控,也需要对当前的防护技术进行提升,对网络防护边界进行加强,可以有效地提升对攻击的防护能力。
2.5 盗取数据
随着 APT攻击范围的不断扩大,其攻击已经从最初的主机网络延伸到其他系统中。在延伸过程中,对信息的收集以及分析能够传回攻击者的服务器中,攻击者收集到这些信息是悄无声息的,应用这种隐蔽的方式进行攻击,能够让隐藏数据得以显现。通过请求加密能够让更复杂的攻击来将被攻击者的隐藏信息窃取,对于多种类型文件都能够进行盗取,从而进行有效的信息回传。
3 APT 的攻击防范
针对目前 APT攻击的形式和原理,我们了解到要对攻击进行防护需要系统完善的工程,这类威胁的防范需要一个庞大的监测及预防控制,才能让企业和个人实现安全的网络防护。通过建立大型的数据库,可以对相应的数据进行分析、加密,使用特定的地址核对相应的浏览记录来对数据库的数据进行更新,在这个过程中可能对其中存在的安全风险和恶意软件等进行屏蔽和识别,使得App攻击目标被发掘出来。同时任何人和组织都可能是APT攻击的目标,所以我们必须要考虑综合的信息,不仅对自己的信息进行保护,还要对客户的数据以及相关行业的数据进行防护。对于有针对性的攻击目标来说,需要在加强周围的环境的同时,通过识别的安全弱点来加强客户或者业务范围内的保护。如图2为APT防御类型。
图2 APT防御类型
通过对目前的防御体系进行分析,我们对于 APT的认知还属于初级阶段。APT攻击模式处于不断变化过程中,要想有效地对其防御也需要对企业员工进行安全教育。要提升员工的信息安全意识,对于来源不当的邮件以及链接不能点击,同时也要重视对目前网络规则的完善,对各个事件之间的关联进行分析,阻止APT的攻击,使用大数据以及云计算记录可以建立相关的防护平台,将所遇到的攻击模型进行关联,在互联网共享实施网络安全以及数据安全,通过相关人员的有效连接能够实现可持续性的防护,对APT攻击进行防范。如图3为警报系统。
图3 警报系统
4 结束语
综上所述,目前攻击防范工作是一项长期而艰难的工作,对APT攻击的原理进行分析,则需要我们具备进一步的发现问题并解决问题的能力。对目前攻击难题进行有针对性的处理,以互联网为基础,在社交工程和物理访问的技术手段不断更新的过程中,需要我们对防范策略进行创新,应用更加规范的管理方式,来有效的对抗APT攻击,让我们的数据和信息得以有效保护。