APT攻防之十大要點(diǎn)

叢 海

內(nèi)蒙古自治區(qū)新聞出版廣播影視科研所 內(nèi)蒙古 呼和浩特市010050

APT高級(jí)持續(xù)性威脅的攻擊具有極強(qiáng)的針對(duì)性，目標(biāo)攻擊觸發(fā)之前通常會(huì)收集大量關(guān)于用戶和目標(biāo)系統(tǒng)使用情況的精確信息，信息情報(bào)收集的過(guò)程更是社會(huì)學(xué)、工程學(xué)、藝術(shù)學(xué)的完美展示；這種攻擊行為具備長(zhǎng)期性，會(huì)長(zhǎng)期潛伏在企事業(yè)單位等內(nèi)外網(wǎng)絡(luò)中，具有極強(qiáng)的隱蔽能力；并具備很高的技術(shù)含量，采用各種組合的高級(jí)攻擊手段和技術(shù)，使得檢測(cè)APT攻擊是件非常困難的事情。對(duì)于APT攻擊我們需要高度重視，任何疏忽大意都可能為信息系統(tǒng)帶來(lái)災(zāi)難性的破壞。

由于APT攻擊所帶來(lái)的巨大損失，很多安全公司紛紛推出自己的APT解決方案，連全球第一家信息技術(shù)研究和分析公司（Gartner Group公司）也從3個(gè)維度5個(gè)方面對(duì)APT防御方案進(jìn)行分類，包括從終端、網(wǎng)絡(luò)和載荷進(jìn)行描述。業(yè)界的APT解決方案也多會(huì)落入這些分類中，每種解決方案的效果也是眾說(shuō)紛紜，各表一家。對(duì)于復(fù)雜的APT攻擊，如何防御是安全界面臨的一個(gè)需要解決的問(wèn)題。在確定如何防護(hù)APT攻擊前，有必要深刻理解APT攻防的一系列的問(wèn)題，基于對(duì)APT攻擊的理解，筆者提煉其中的十個(gè)重點(diǎn)問(wèn)題，并就這些問(wèn)題提出一些應(yīng)對(duì)措施，期望對(duì)APT攻防給出一個(gè)整體態(tài)勢(shì)的認(rèn)知。

1 企業(yè)“被入侵”不可避免

互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)信息系統(tǒng)“被入侵”是100%不可避免的，只是時(shí)間早晚的問(wèn)題，“被入侵”是指黑客通過(guò)各種途徑潛伏進(jìn)入到企業(yè)。APT攻擊入侵之所以不可避免，除APT所用的超能武器外，還有重要的外在原因。其一是“對(duì)手不對(duì)稱”的對(duì)抗，APT入侵初期只是為了控制一個(gè)跳板，因此入侵的攻防實(shí)際是一個(gè)超級(jí)黑客組織和一個(gè)安全意識(shí)不佳的普通員工之間的對(duì)抗，一個(gè)稍顯專業(yè)的釣魚(yú)網(wǎng)站就讓員工淪陷而成為跳板，所以企業(yè)被入侵也就是自然而然的事情。另外一個(gè)原因是個(gè)人設(shè)備（BYOD）的普及、物聯(lián)網(wǎng)（IOT）的發(fā)展以及供應(yīng)鏈（合作伙伴）的接入，企業(yè)的終端控制權(quán)將逐漸喪失，大量屬于企業(yè)和非屬于企業(yè)的移動(dòng)設(shè)備隨時(shí)隨地的接入網(wǎng)絡(luò)，控制權(quán)的消失，標(biāo)志安全控制權(quán)的消失，跳板的可選擇性也越來(lái)越大。總而言之，企業(yè)被入侵是不可避免的事情，入侵后的內(nèi)網(wǎng)檢測(cè)則必定會(huì)成為攻防戰(zhàn)役的主戰(zhàn)場(chǎng)。

APT攻擊活動(dòng)隱藏在網(wǎng)絡(luò)正常的行為中，要想從中找出蛛絲馬跡遠(yuǎn)非尋常方法可以達(dá)到。網(wǎng)絡(luò)速度越來(lái)越快，也意味抓包處理和轉(zhuǎn)發(fā)速度越來(lái)越快，網(wǎng)絡(luò)中的事件發(fā)送速率隨之激增，需要分析的數(shù)據(jù)也急劇上升。我們可以充分利用大數(shù)據(jù)，通過(guò)CIS網(wǎng)絡(luò)安全智能系統(tǒng)安全分析平臺(tái)和大數(shù)據(jù)基礎(chǔ)平臺(tái)，對(duì)海量信息進(jìn)行高效挖掘和處理。CIS從時(shí)間和空間兩個(gè)維度上擴(kuò)大了流量收集范圍，通過(guò)采集全網(wǎng)的流量、日志、文件等數(shù)據(jù)，尤其是關(guān)鍵路徑的流量，以及終端的各種流量等，以這些實(shí)時(shí)和離線的流量形成檢測(cè)APT攻擊的數(shù)據(jù)基礎(chǔ)。在CIS大數(shù)據(jù)平臺(tái)中，內(nèi)置有豐富的異常檢測(cè)模型，可以從海量的數(shù)據(jù)中找到APT攻擊的蛛絲馬跡。

2 傳統(tǒng)安全防御力不足

APT攻擊所采用攻擊工具多是采用了逃避技術(shù)或者零日漏洞，零日漏洞是指負(fù)責(zé)應(yīng)用程序的程序員或供應(yīng)商所未知的軟件缺陷。這些工具在被發(fā)現(xiàn)之前并無(wú)相應(yīng)的簽名對(duì)應(yīng)，而傳統(tǒng)基于簽名的安全防御是依靠對(duì)漏洞和攻擊工具的理解，并在此基礎(chǔ)上進(jìn)行簽名設(shè)計(jì)，只有匹配簽名的攻擊，才能被識(shí)別。此種模式下，簽名的質(zhì)量與范疇直接影響了防御體系的有效性，過(guò)度依賴于簽名的傳統(tǒng)防御系統(tǒng)，在面對(duì)變化多端的高級(jí)威脅時(shí)，由于缺乏對(duì)未知威脅的檢測(cè)能力，往往導(dǎo)致防御能力力不從心，其滯后性完全無(wú)法應(yīng)對(duì)APT攻擊中采用的各種高級(jí)逃逸技術(shù)以及零日攻擊。

實(shí)現(xiàn)對(duì)未知威脅有效的檢測(cè)，是防御APT攻擊的基礎(chǔ)。我們可以利用APT解決方案中的沙箱功能，沙箱可以在虛擬環(huán)境中對(duì)各種未知的惡意軟件進(jìn)行有效的識(shí)別，通過(guò)靜態(tài)動(dòng)態(tài)等技術(shù)手段，充分識(shí)別惡意軟件的各種行為，在此技術(shù)上可以有效的甄別未知的惡意軟件。再通過(guò)大數(shù)據(jù)安全分析平臺(tái)的大量實(shí)時(shí)和歷史數(shù)據(jù)與多種異常模型，發(fā)現(xiàn)網(wǎng)絡(luò)中各種微小的行為異常和內(nèi)容異常，通過(guò)這些異常進(jìn)行攻擊鏈關(guān)聯(lián)分析，可以深度挖掘APT攻擊行為。在形成該APT攻擊的各種威脅信息后，會(huì)將信息下發(fā)給部署在企業(yè)網(wǎng)絡(luò)安全的設(shè)備中，由這些設(shè)備根據(jù)威脅信息完成對(duì)APT攻擊點(diǎn)的徹底防御和清除。通過(guò)利用基于情境感知的安全設(shè)備，包括NGIPS、NGFW、VNGFW以及各種終端安全設(shè)備，從而快速有效的實(shí)現(xiàn)對(duì)APT各個(gè)攻擊點(diǎn)的清除。

3 網(wǎng)絡(luò)Web誘惑暗藏威脅

讓全球震驚的APT攻擊事件中，起因都是那些毫不起眼的一個(gè)個(gè)鏈接，一個(gè)個(gè)看似平常的鏈接背后，可能就隱藏著潛在的威脅。在基于WEB流量承載惡意代碼的攻擊形式中，目前最大的風(fēng)險(xiǎn)在于精確釣魚(yú)網(wǎng)站攻擊和水坑攻擊，水坑攻擊指黑客組織通過(guò)分析被攻擊者使用的網(wǎng)絡(luò)的活動(dòng)規(guī)律，尋找被攻擊者經(jīng)常訪問(wèn)的網(wǎng)站弱點(diǎn)，先攻下該網(wǎng)站并植入攻擊代碼，等待被攻擊者來(lái)訪時(shí)實(shí)施精準(zhǔn)攻擊。定制化的精準(zhǔn)釣魚(yú)就是在前期精確的用戶信息收集基礎(chǔ)上，實(shí)施的一種釣魚(yú)攻擊，比普遍撒網(wǎng)式的釣魚(yú)更聚焦、更定制化。通過(guò)發(fā)送鏈接給用戶，只有在被攻擊者名單中的人才能看到這個(gè)釣魚(yú)網(wǎng)頁(yè)。

有些企業(yè)客戶的互聯(lián)網(wǎng)出口基于WEB的流量可以高達(dá)95%以上。通過(guò)對(duì)其實(shí)現(xiàn)WEB流量的監(jiān)測(cè)，尤其是對(duì)其中的零日漏洞的惡意代碼的檢測(cè)，是防護(hù)APT攻擊的一個(gè)關(guān)鍵點(diǎn)。使用重量級(jí)沙箱是目前可以檢測(cè)WEB流量中零日攻擊的，在檢測(cè)WEB流量時(shí)，先采用靜態(tài)檢測(cè)模式，通過(guò)指令流檢測(cè)和信息熵檢測(cè)模式，實(shí)現(xiàn)對(duì)惡意代碼的檢測(cè)。對(duì)于未能檢測(cè)到惡意代碼的網(wǎng)頁(yè)，通過(guò)提取調(diào)用的系統(tǒng)API方法、屬性、函數(shù)名稱、插件列表、DOM節(jié)點(diǎn)列表等信息多重判斷頁(yè)面的惡意與否，對(duì)于可疑的頁(yè)面，則將頁(yè)面送到WEB重量級(jí)沙箱中進(jìn)行檢測(cè)。重量級(jí)沙箱系統(tǒng)是針對(duì)可疑頁(yè)面檢測(cè)定制的檢測(cè)環(huán)境，通過(guò)監(jiān)視頁(yè)面在WEB重量級(jí)沙箱內(nèi)運(yùn)行的整個(gè)過(guò)程，獲取到可疑頁(yè)面運(yùn)行過(guò)程中對(duì)操作系統(tǒng)的所有行為，最后將這些行為送到惡意行為識(shí)別模塊進(jìn)行識(shí)別。

4 利用惡意軟件攻城拔寨

隨著安全技術(shù)的發(fā)展，產(chǎn)品安全的防護(hù)能力有了很大的提升，而惡意軟件也主動(dòng)適應(yīng)變化，除利用零日漏洞外，還發(fā)生很多讓人詫異的進(jìn)化。第一個(gè)進(jìn)化是偽裝性，惡意軟件采用各種逃逸技術(shù)躲避安全檢測(cè)，目前發(fā)展到有500多種逃逸技術(shù)，平均每個(gè)高級(jí)惡意軟件采用10種以上的逃逸技術(shù)，足以逃避基于特征為基礎(chǔ)的安全檢測(cè)；第二個(gè)變化是惡意軟件不以文件形式存在，所有組件只存儲(chǔ)在注冊(cè)表里，通過(guò)系統(tǒng)合法的進(jìn)程讀取并運(yùn)行注冊(cè)表中存儲(chǔ)的惡意代碼，惡意進(jìn)程只存在于系統(tǒng)內(nèi)存中，傳統(tǒng)的掃描和殺毒根本就無(wú)法檢測(cè)和清除，越來(lái)越多的惡意軟件采取這種無(wú)文件的手法，而且不僅僅使用Windows注冊(cè)表來(lái)隱藏惡意軟件，他們還使用其它更復(fù)雜的技術(shù)來(lái)隱藏組件，無(wú)需在文件系統(tǒng)中留下痕跡。

基于對(duì)未來(lái)網(wǎng)絡(luò)安全形式的發(fā)展，在應(yīng)對(duì)未知惡意軟件的檢測(cè)上要不斷拓展采取新的思路，未知惡意軟件之所以是未知，原因是沒(méi)有可以匹配的特征碼信息，特征雖然“未知”，但是卻有“已知”特性，那就是行為的“已知”，任何軟件要達(dá)到自己破壞或竊取的目的，必然會(huì)有一系列的行為發(fā)生，而這些行為都具備相似性，通過(guò)行為檢測(cè)惡意軟件，尤其是未知的高級(jí)惡意軟件，利用沙箱通過(guò)多重的方式對(duì)軟件進(jìn)行檢測(cè)，最后基于行為判斷，實(shí)現(xiàn)對(duì)未知惡意軟件的判定，由于沙箱可以支持多種軟件類型的虛擬環(huán)境，通過(guò)這種方式可以有效的保護(hù)企業(yè)免遭惡意軟件的攻擊，成為企業(yè)防護(hù)APT攻擊的保護(hù)傘。

5 網(wǎng)絡(luò)辦公文檔防不勝防

圖1 2016年APT攻擊惡意文件附件類型

惡意軟件給企業(yè)安全帶來(lái)的危害難以估量，類型也是各式各樣，惡意軟件離其實(shí)我們并不遙遠(yuǎn)，在惡意軟件的類型上，更多的是我們每天看到的辦公文檔，這些再正常不過(guò)的文件，都可以成為這些高級(jí)惡意軟件的載體。有多少人能想到，我們每天處理的.DOC文檔竟然含有惡意代碼，讓人防不勝防。（如圖1所示）

通過(guò)利用沙箱在虛擬環(huán)境中對(duì)這些文件進(jìn)行的靜態(tài)檢測(cè)和虛擬執(zhí)行，實(shí)現(xiàn)對(duì)辦公文檔中惡意代碼的檢測(cè)，實(shí)現(xiàn)對(duì)辦公文檔類型的全部覆蓋，同時(shí)可以根據(jù)用戶的實(shí)際環(huán)境，構(gòu)建完全匹配用戶辦公環(huán)境的虛擬環(huán)境，真正有效的保證了對(duì)企業(yè)造成威脅的各種文檔的過(guò)濾，保護(hù)企業(yè)的網(wǎng)絡(luò)環(huán)境安全。

6 遠(yuǎn)程控制也可運(yùn)籌帷幄

在APT攻擊中，黑客可以通過(guò)C2通 道（communication &control通道）隨心所欲的控制各種惡意軟件。通過(guò)C2通道傳輸控制命令以及反饋信息，可以遠(yuǎn)程操控軟件完成入侵和破壞過(guò)程。為了保證C2通道能保持暢通，APT攻擊采用幾種新的技術(shù)，包括采用動(dòng)態(tài)算法隨機(jī)生成域名，借用第三方域名等。動(dòng)態(tài)域名生成算法是每天生成一些隨機(jī)字符串域名，然后選其中的一些注冊(cè)當(dāng)作C2服務(wù)器域名。定制惡意軟件也按照同樣的算法嘗試生成這些隨機(jī)域名，碰撞得到當(dāng)天可用的C2域名。采用域名生成算法（DGA）隨機(jī)生成域名，傳統(tǒng)的方式完全無(wú)法檢測(cè)該種類型的C2通道。第三方域名進(jìn)行通信，則是通過(guò)選擇可以寫(xiě)入并修改內(nèi)容的各種公開(kāi)網(wǎng)站，如各種論壇網(wǎng)站等。黑客提前在網(wǎng)站上發(fā)布內(nèi)容，并在其中插入控制命令信息，之后定制的惡意后門(mén)，就會(huì)解析到該第三方網(wǎng)站去獲取其中的控制命令，同時(shí)后門(mén)也可以模擬編輯此前黑客發(fā)布的內(nèi)容，寫(xiě)入執(zhí)行結(jié)果的數(shù)據(jù)。

一旦C2服務(wù)器的位置暴露，控制通道很容易被切斷，而且幕后惡意操作的黑手也會(huì)很容易被發(fā)現(xiàn)，因此所有的攻擊組織才會(huì)努力地去隱藏C2服務(wù)器位置。傳統(tǒng)的方法無(wú)法檢測(cè)與攔截C2通道，通過(guò)利用沙箱和大數(shù)據(jù)安全分析系統(tǒng)可以實(shí)現(xiàn)對(duì)各種偽裝的C2通道進(jìn)行檢測(cè)。如大數(shù)據(jù)安全分析系統(tǒng)，通過(guò)對(duì)DGA生成域名進(jìn)行海量的分析，在多種特征的基礎(chǔ)上生成DGA識(shí)別模型，所有的DNS解析流量中的域名通過(guò)DGA模型的識(shí)別，能快速準(zhǔn)確DGA鎖定隨機(jī)域名。以系統(tǒng)中強(qiáng)大的自學(xué)習(xí)的流量行為模型自動(dòng)識(shí)別所有關(guān)鍵設(shè)備的流量行為，對(duì)異常域名進(jìn)行解析，并對(duì)類似心跳線的連接等流量行為進(jìn)行異常告警，通過(guò)其他深度關(guān)聯(lián)分析同樣能準(zhǔn)確識(shí)別其他隱藏技術(shù)下的C2通道，只有有效檢測(cè)和攔截C2通道，才能真正控制APT入侵，保證企業(yè)的網(wǎng)絡(luò)信息安全。

7 企業(yè)內(nèi)網(wǎng)滲透悄無(wú)聲息

攻擊者在占據(jù)跳板立足之后，為讓自己可以在環(huán)境中長(zhǎng)期駐留而不被檢測(cè)到，會(huì)繼續(xù)以秘密方式存在，也會(huì)在內(nèi)網(wǎng)中快速移動(dòng)。這些往往伴隨著與偵察、掃描、滲透其它計(jì)算機(jī)等有關(guān)的活動(dòng)（即木馬行為）。攻擊者首先從受到入侵的跳板電腦或用戶那里獲得訪問(wèn)權(quán)限，然后對(duì)其執(zhí)行特權(quán)提升，進(jìn)而訪問(wèn)關(guān)鍵的重要目標(biāo)。例如攻擊者為獲取管理員權(quán)限，通常會(huì)跟蹤AD之類目錄服務(wù)或administrator權(quán)限的賬號(hào)，使用一定的技巧和工具，將攻擊者權(quán)限提升。這個(gè)過(guò)程一旦成功，攻擊者可以隨意訪問(wèn)更敏感的內(nèi)網(wǎng)服務(wù)器，從而加快敏感數(shù)據(jù)的發(fā)掘和泄露。由于最終數(shù)據(jù)竊取利用了合法的管理賬號(hào)，這使得數(shù)據(jù)竊取檢測(cè)變得更加困難。

APT攻擊在任何階段有活動(dòng)，則都會(huì)產(chǎn)生一定的流量，這些流量所隱藏的行為就是APT攻擊活動(dòng)的真實(shí)反映。通過(guò)網(wǎng)絡(luò)安全設(shè)備中的流探針、沙箱、終端探針和日志采集器等功能收集完整性數(shù)據(jù)收集分析。流探針通過(guò)鏡像全流量，尤其是關(guān)鍵路徑流量進(jìn)行分析，提取有價(jià)值的元數(shù)據(jù)信息，當(dāng)數(shù)據(jù)包載荷為文件時(shí)，則將文件傳遞給沙箱進(jìn)行檢測(cè)，由沙箱提起文件的元數(shù)據(jù)信息，終端探針則采集關(guān)鍵終端的各種行為，而日志采集器則采集關(guān)鍵設(shè)備和應(yīng)用系統(tǒng)的日志。通過(guò)探針把企業(yè)網(wǎng)絡(luò)中不同時(shí)間、不同位置的關(guān)鍵信息都完全采集到CIS大數(shù)據(jù)平臺(tái)中，保證了整個(gè)檢測(cè)的完整性。通過(guò)對(duì)全網(wǎng)的流量信息，尤其是關(guān)鍵路徑的流量信息進(jìn)行異常的檢測(cè)分析，由此構(gòu)筑了檢測(cè)APT的基礎(chǔ)。

8 利用異常發(fā)現(xiàn)抽絲剝繭

APT攻擊具備超強(qiáng)的隱蔽性，以便逃逸各種安全檢測(cè)，例如在網(wǎng)絡(luò)中，黑客很少會(huì)創(chuàng)建賬號(hào)，所有的活動(dòng)會(huì)參考正常的行為以避免被檢測(cè)或者暴露，黑客在利用正常用戶的思考模式行動(dòng)。而從內(nèi)容而言，黑客也會(huì)盡量偽裝，如采用DGA域名，從傳統(tǒng)眼光看這些域名完全沒(méi)有任何問(wèn)題。按照傳統(tǒng)的安全設(shè)備檢測(cè)能力，也許能檢測(cè)到一些輕微的異常，由于這些安全設(shè)備之間并無(wú)關(guān)聯(lián)，因此這些異常也都是離散的狀態(tài)，很難檢測(cè)到APT在內(nèi)網(wǎng)中的一些活動(dòng)。

如果通過(guò)CIS大數(shù)據(jù)平臺(tái)能同時(shí)存儲(chǔ)大量的歷史流量元數(shù)據(jù)信息，有效的利用大數(shù)據(jù)平臺(tái)在空間和時(shí)間維度的擴(kuò)容能力，在海量信息的基礎(chǔ)上，充分利用機(jī)器學(xué)習(xí)的能力，生成各種關(guān)于異常信息的檢測(cè)模型，包括WEB異常模型、MAIL異常模型、域名異常模型等，實(shí)現(xiàn)對(duì)APT攻擊的異常行為和內(nèi)容進(jìn)行檢測(cè)，在細(xì)微之處發(fā)現(xiàn)異常，這些異常行為覆蓋了APT攻擊的各個(gè)階段，任何一個(gè)階段的異常檢測(cè)都可以作為一個(gè)攻擊的線索，由點(diǎn)連線，由線連面，找到真正的攻擊行為，最后完整的畫(huà)出APT攻擊的輪廓。CIS通過(guò)對(duì)APT攻擊的有效分析和判斷，進(jìn)而快速的將攻擊威脅信息同時(shí)上傳到云端安全智能中心，以及下傳到部署在企業(yè)各地的安全設(shè)備中，從而為有效攔截APT攻擊確定了基石。

9 立體協(xié)作對(duì)抗無(wú)隙配合

在強(qiáng)大利益驅(qū)動(dòng)下，潛伏在網(wǎng)絡(luò)中的黑客充分利用多種合作模式，不論是在單個(gè)APT攻擊中的攻擊工具組合，還是黑客組織之間的合作都達(dá)到至高的境界，如有人在挖掘用戶信息，有人在挖掘系統(tǒng)漏洞，有人在制造工具等，這樣的配合能讓最新的技術(shù)或者漏洞迅速轉(zhuǎn)變?yōu)楹诳褪稚螦PT攻擊的戰(zhàn)斗力，這些快速成型和變化的戰(zhàn)斗力讓還在單兵作戰(zhàn)的安全設(shè)備或者廠商無(wú)能為力，只有形成強(qiáng)大的產(chǎn)品組合，共享情報(bào)才能有效實(shí)現(xiàn)防護(hù)APT攻擊。

網(wǎng)絡(luò)安全防護(hù)也應(yīng)適時(shí)變化構(gòu)建APT立體協(xié)作防御體系，建立CIS大數(shù)據(jù)安全分析是當(dāng)之無(wú)愧的核心節(jié)點(diǎn)，通過(guò)對(duì)APT攻擊的有效分析和判斷，為有效攔截APT攻擊確定了基石。基于云端的威脅情報(bào)系統(tǒng)，一方面通過(guò)CIS的檢測(cè)可以分享在APT檢測(cè)上的威脅情報(bào)，同時(shí)也會(huì)吸收全球優(yōu)秀廠商關(guān)于APT的情報(bào)信息，為CIS大數(shù)據(jù)平臺(tái)提供更快捷有效的信息情報(bào)，從而更有效、快速、準(zhǔn)確的判斷APT攻擊。沙箱是另外一個(gè)非常重要的節(jié)點(diǎn)，各種隱藏在常見(jiàn)的如word、excel、PDF等辦公軟件中的惡意軟件，要想進(jìn)入企業(yè)，第一關(guān)便是要經(jīng)過(guò)沙箱的檢測(cè)，構(gòu)筑了APT防御的第一道防線。最后通過(guò)基于情境感知的安全設(shè)備，包括NGIPS、NGFW、VNGFW以及各種終端安全設(shè)備，在同步APT攻擊的各種威脅情報(bào)后，會(huì)將情報(bào)下發(fā)給部署在企業(yè)網(wǎng)絡(luò)的安全設(shè)備中，由這些設(shè)備根據(jù)威脅情報(bào)完成對(duì)APT攻擊點(diǎn)的徹底防御和清除。

10 知己知彼方能事半功倍

APT組織采用的攻擊方式、惡意軟件都依賴于對(duì)用戶的了解，所有的攻擊步驟都是定制的。例如通過(guò)搜集組織員工的信息，深入了解他們的社會(huì)關(guān)系、個(gè)人愛(ài)好、終端的安全防護(hù)等情況，繼而定制一些攻擊手段來(lái)控制該員工電腦，以此為跳板從而順利進(jìn)入企業(yè)單位組 織 網(wǎng) 絡(luò)。而Verizon發(fā) 布《2013年數(shù)據(jù)破壞調(diào)查報(bào)告》，明確提出了應(yīng)對(duì)APT的最高原則——知己、更要知彼，強(qiáng)調(diào)真正的主動(dòng)有效的安全預(yù)防體系是“料敵先機(jī)”。

近年來(lái)安全防御體系也在不斷的進(jìn)化過(guò)程中，這種變化其實(shí)也是在“知己”方面投入更多的力量。例如NGFWNGIPS等安全產(chǎn)品著力發(fā)展情境感知的能力，這些感知能力包括資產(chǎn)、位置、拓?fù)洹?yīng)用、身份、內(nèi)容等信息感知識(shí)別能力。這種基于漏洞簽名的被動(dòng)防御體系的優(yōu)化，可以提高檢測(cè)精準(zhǔn)度，有效減少誤報(bào)。

所謂“知彼”就是要有效識(shí)別攻擊對(duì)手、工具及相關(guān)技術(shù)原理等信息，可以利用這些數(shù)據(jù)來(lái)發(fā)現(xiàn)惡意活動(dòng)，甚至可以定位到具體的組織或個(gè)人。使用業(yè)界主流安全廠商設(shè)備，通過(guò)實(shí)時(shí)更新病毒庫(kù)等措施，一方面堅(jiān)持加強(qiáng)“知己”的修煉，繼續(xù)優(yōu)化提升防火墻等安全產(chǎn)品的感知能力和防御精準(zhǔn)度；另一方面也積極探索“知彼”領(lǐng)域的探索，實(shí)現(xiàn)積極主動(dòng)防御模式的創(chuàng)新。利用先進(jìn)的沙箱、大數(shù)據(jù)分析平臺(tái)、云清洗解決方案等系列化的安全產(chǎn)品與解決方案。在大數(shù)據(jù)平臺(tái)大量攻擊樣本和各種威脅信息的基礎(chǔ)上，深入分析各種攻擊行為和攻擊手法，通過(guò)專家分析和機(jī)器自學(xué)習(xí)，建立了豐富的異常檢測(cè)模型，可以有效識(shí)別APT攻擊鏈上各個(gè)環(huán)節(jié)的異常行為，同時(shí)通過(guò)對(duì)環(huán)境的深入認(rèn)識(shí)，包括識(shí)別環(huán)境中的價(jià)值資產(chǎn)、用戶等內(nèi)部信息，通過(guò)最后的多維威脅分析，有效的識(shí)別各種高級(jí)威脅，同時(shí)還可以生成相關(guān)的威脅信息并共享給NGFW、NGIPS等傳統(tǒng)安全設(shè)備，真正構(gòu)筑了全網(wǎng)“知己知彼”的全網(wǎng)反饋式主動(dòng)防御體系。

結(jié)束語(yǔ)

沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全，網(wǎng)絡(luò)安全是國(guó)家安全的重要一環(huán)。在近年來(lái)網(wǎng)絡(luò)空間已知發(fā)生的APT攻防對(duì)抗中，因?yàn)榛A(chǔ)軟硬件、人員、信息等不可控因素而引發(fā)的攻防移位、功虧一簣的案例也多不勝數(shù)，所以在網(wǎng)絡(luò)空間安全保衛(wèi)戰(zhàn)中，基礎(chǔ)安全尤為重要。通過(guò)文中歸納的APT攻防重點(diǎn)問(wèn)題的闡述，網(wǎng)絡(luò)管理員在日常網(wǎng)絡(luò)安全維護(hù)管理工作中更應(yīng)該注重細(xì)節(jié)管理，大力加強(qiáng)對(duì)APT攻防的重視和對(duì)軟硬件應(yīng)用數(shù)據(jù)的細(xì)節(jié)分析。正所謂細(xì)節(jié)決定成敗，通過(guò)使用大數(shù)據(jù)信息分析結(jié)論，在眾多網(wǎng)絡(luò)安全設(shè)備中提取到的統(tǒng)計(jì)信息，可以更快捷、更準(zhǔn)確的從海量數(shù)據(jù)中精準(zhǔn)定位并避免APT攻擊，另外，網(wǎng)絡(luò)安全不能只做一味防御，要換位思考，主動(dòng)出擊。在今后網(wǎng)絡(luò)安全維護(hù)管理工作中，從科技創(chuàng)新入手，多元化思考安全防護(hù)，加強(qiáng)我國(guó)網(wǎng)絡(luò)安全，努力把我國(guó)建設(shè)成為網(wǎng)絡(luò)強(qiáng)國(guó)。