对付APT攻击, 必须侦测看不见的东西
如果你还没有尝试过“APT攻击游戏”,记得去试试。不过,看过几段文章之后,你会得出以下结论:那些想进行“高级持续性威胁”(Advanced Persistent Threat,以下简称APT攻击)的人不会照着预期的规则走,想赢得这场“游戏”,你必须要能够侦测某些你原本看不见的东西。
首先,如同游戏中所描述,攻击者类型是不可预测的,如果他们可以被预测,那我们完全就可以投资我们所需要的安全防御,然而,侦察、规划、遁形和保持不被侦测是现代攻击者的攻击手法。你的潜在敌人了解你的企业、网络、防御措施、员工、供应链以及任何与你有互动关系的组织,如此透彻的了解就是为了更好地躲避你的防御措施,获得你的数据并从中获利。最近出现在新闻上的资料外泄事件就是这类无法预测行为的攻击,其规模和范围都非常大且更加严重。在很多情况下,回报要远远地大于风险,侦测的机会就更渺小了。
3D眼镜作用在于任何人只要戴上了这对“红、蓝”镜片,马上就能注意到更加深入和全面的视角,平面的东西突然变得立体;二维事物变得可以互动。想这一点,我认为最好侦测和应对攻击的办法就类似3D眼镜,这代表你要有能力去看到原本看不见的东西,要能够深入了解与信息互动,否则你会错失掉信息,这么做的目的是要能侦测到隐藏的攻击者,那么,怎样可以做到?
现在就是值得信赖的动作运动探测器出现的时候,请原谅我先跳到不同却有相关的情境。很多人都会在家中安装家庭安全系统,大多数的家庭安全系统都能够监控到你家的进、出口点,然而,即使有了家庭安全系统,你也会安装运动探测器在家里。如果所有家庭周边都被监视了,为什么还要浪费时间去监视家里面?
原因很简单:只依赖周边探测器去监视家里是否被入侵并不管用,只是虚假的安全感。多层次防御被用来探测可疑和恶意的行为,这是大家都认为理所当然的做法。
有鉴于此,你若要探测和应对APT攻击仅仅监控进出你网络的流量就可以吗?只去监控你的网页和电子邮件流量有意义吗?攻击者不会遵守这规则也不会那么简单的。
APT攻击游戏的情节是通过现实攻击的情形来设定,为了解决问题,你需要的是一套正确的3D眼镜和运动探测器,让你可以监控任何发生在网络内看不见的破坏性活动。
为了说明这一点,我将场景再转到现实,每天有多少笔记本电脑、智能型手机、iPad或其他设备进出你公司的大门?有些设备是否有可能已经受到攻击,而将攻击者带到了你的大门呢?而且,你是否可以肯定地说每个正在访问你的网络的承包商、员工、供货商、客户或其他个人及组织都是用合法账号并且使用安全的设备?这两个问题应该可以让你了解到仅仅监控周边及几个进入点,只是避免攻击的第一步。
希望本文有助于说明检测的优点,最起码任何恶意的活动都能够被察觉。你需要全方位地监控所以网络流量通过所有网络端口,利用定制化沙盒技术来检视超过一百种的协议和应用程序。因为不幸的是,任何未被检测的事物都会被无情且坚持的敌人利用。