APT 攻击,即进阶持续性渗透攻击(Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方案,因此要侦测它们是一大挑战。正如文章中所强调过的,没有放诸四海皆准的解决方案可以用来对付它;企业需在所需要的地方都放置传感器好加以防护,同时IT 也要有足够的设备来识别网络的异常情况,并采取相应的措施。
然而,要及早发现异常状况,IT 管理者需要知道首先要看到什么。由于攻击通常会设计成只有很少或几乎没有痕迹可循,重要的是要知道哪里可以找到入侵的可能指标。在此,我们将列出IT 管理者所需要密切监视的网络部分以发觉任何入侵的迹象。
攻击者经常会篡改DNS 记录以确保到他们的幕后操纵(简称C&C)联机不会被封锁,IT 管理者可以检查记录中可能被攻击者注入的迹象,如未知网域加入IP 地址、最近注册的未知网域、看起来像是随机字符的网域、以及出现模仿知名网域的域名。
一旦攻击者能够进入网络和建立与其C&C 的通讯,下一步通常是在网络内横向移动。攻击者会去找出ActiveDirectory、邮件或文件服务器,并攻击服务器漏洞来加以存取。然而,因为管理者会修补并防护重要服务器的漏洞,攻击者可能会尝试暴力破解管理者账号。对于IT 管理者来说,登录记录是这一行为最好的参考数据。检查失败的登录尝试,以及在不寻常时间内的成功登录,可以显示攻击者试图在网络内移动。
有时候,安全解决方案会标示看来无害的工具为可疑,而使用者会忽略这警报,因为该档案可能对使用者来说很熟悉或无害。然而,我们在许多案例中发现出现警报意味着网络中有攻击者。攻击者可能使用恶意设计的黑客工具,甚至是来自Sysinternals 套件的合法工具来执行系统或网络检查作业。如果这些非恶意工具并非预安装在用户计算机里的话,有些安全解决方案会标示出来。IT 管理者必须问,为什么使用者会使用这些工具,如果没有充分的理由,IT 管理者可能撞见了攻击者的横向移动。
在系统内发现未知的大文件需要加以检查,里面可能包含从网络中窃取的数据。攻击者通常在将文件取出前会先储存在目标系统内,往往通过“看起来正常" 的文件名和文件类型来加以隐藏。IT 管理者可以通过文件管理程序来检查。
持续地稽查和审核网络监控日志非常重要,因为它可以帮助识别网络中的异常联机。想做到这一点,就需要IT 管理者对于其网络和任何时间内会发生的活动了如指掌。只有通过对网络内"正常“状况的了解,才能够识别出异常。例如,发生在应该是空闲时间内的网络活动就可能是攻击的迹象。
和异常联机有关,IT 管理者还需要检查这些联机所用的协议,特别是那些来自网络内部的联机。攻击者通常会选择使用在网络内被允许的协议,所以检查联机很重要,即便它们使用的是一般的协议。
IT 管理者可以检查邮件日志,看看是否有个别使用者出现奇怪的高峰期。电子邮件活动突然爆大量时就要检查该使用者是否被卷入针对性钓鱼攻击。有时候,如果攻击者研究发现一名员工将去参加某个重要会议,就会在会议前三个月就开始寄送钓鱼邮件。这也是另一种线索。
想必IT 管理者会觉得有一大堆艰苦的事情等着去做,不 能否认,防范APT 针对性网络攻击 的确是项艰巨的任务。但为攻击做好准备的成本和解决一次攻击的成本相比划算得多,所以作为公司防御的第一线,IT 管理者做好万全准备是很重要的。
解决对策
传统的防毒黑名单做法不再足以保护企业网络对付针对性攻击。为了减少此安全威胁所带来的风险,企业需要实现客制化防御,这是种采用进阶威胁侦测技术和共享入侵指标(IoC)情报的安全解决方案,用来侦测、分析和响应标准安全产品所看不见的攻击。