防APT攻击必须体系化

程彦博

APT（高级持续性安全威胁）已经离我们越来越近。

2014年初，FireEye发布的2013年高级威胁研究报告显示，在FireEye分析的39504次网络安全事件中，与APT攻击相联系的威胁占到4192次，平均每天11次。

如今，各个信息安全厂商和咨询分析机构都在不同的时间点表示，APT攻击将呈现出爆发趋势。一方面，APT攻击始终呈现出非常高的国别属性，当网络空间成为国家空间的一部分，各个国家为了政治、经济上的利益，网络战争始终没有停止。在世界各国都在积极准备网络战争的攻击和防护时，我国的核心机构和组织、政府部门、能源金融等领域均面临着严峻的网络战争威胁。另一方面，这个曾经非常“高大上”、被利用于政治、大型集团型组织之间相互对抗的攻击同时也开始侵入“寻常百姓家”。这是因为，这些相当于“寻常百姓”的中小企业同样具备一些高价值的资料和商业秘密，同时它们出于成本的考虑，信息安全防护工作往往不那么严密，甚至有很多纰漏。

“2013年，安恒信息成为承担全国政府网站的安全大检查工作的单位之一。在全国政府网站安全大检查之后，我们做了一些数据统计并发现，全国省部级政府网站中，存在比较严重安全问题的网站占据了一定的比例。”近日，在杭州安恒信息技术有限公司（下文简称安恒信息）举办的发布会上，安恒信息副总裁刘志乐如此介绍。

这样的形势，事实上让一些政府机构和企业暴露在APT攻击的威胁之下，如何防范日益严重的APT攻击成为它们迫切需要解决的问题。而安恒信息发布的APT攻击（网络战）预警平台，正是为了迎合中国政府和企业的安全需求，帮助它们实现在APT攻击下的预警与防护。

虽然APT在信息安全领域并不是一个崭新的词汇，但是如今不同的人对APT仍然存在不同的理解，对APT的防护也有不同的方式。“APT攻击的威胁已经不单单是一个病毒，它经常伴有恶意程序、黑客攻击，以及垃圾邮件等多种威胁。”安恒信息总裁范渊介绍，“通过对APT攻击进行大量分析，我们会发现绝大多数大攻击通过3条路径对目标发起攻击：一是通过发送带恶意附件的邮件，利用恶意附件在员工电脑中植入后门，再通过员工电脑进行进一步渗透；二是直接攻击Web服务器，由于Web服务器经常存在严重的安全漏洞，所以黑客经常对Web服务器进行攻击，然后再利用Web服务器为跳板，对内部网络发起攻击；三是使用欺骗或流量截获的方式直接对员工服务器发起攻击，利用员工电脑对内部网络发起攻击。”

“目前针对APT攻击，不同厂商的理解殊途同归，比如针对零日（0day）攻击的分析，基于Web、文件和邮件的攻击检测和流量分析来发现攻击行为。”范渊表示。

在范渊看来，APT攻击检测设备的一个主要能力就是能够检测到零日攻击。静态检测无法检测到深度多攻击行为，而动态检测由于存在大量环境组合无法穷举，无法触发所有的行为。所以，在对APT攻击的检测上，不应该使用任何单一的方法。

“对APT攻击的防御是体系化的，它所涉及的层面十分广泛。”范渊告诉记者，“在APT攻击中，由于黑客可能尝试多种路径进行攻击，所以无法使用一种方法就有效地检测出APT攻击。我们需要多种检测手段结合，并进行综合分析才能更有效地发现APT攻击。比较常用的检测步骤是：首先针对Web、邮件、传输的文件进行攻击检测，然后综合这些攻击的数据分离可疑文件、攻击流量，再对Web行为模型进行建模和统计分析并对文件进行静态分析和动态运行分析，最终综合各种攻击路径上的告警情况进行综合分析，从而发现APT攻击。”

据了解，安恒信息研究院与国内的许多知名互联网企业和国外的合作伙伴建立了完善的提醒和通知机制，不断挖掘和研究零日漏洞，在互动中加强经验的积累。这也为安恒信息APT攻击（网络战）预警平台的预警和防护能力提供了保证。endprint