□ 文 邓毅琳
当今社会,互联网的快速发展,为人们的生活带来了诸多的便利,网络在不知不觉中进入了每个人的生活中,人们可利用互联网进行购物、交流、娱乐等。但随之而来的网络安全问题对于所有网络而言都是一个极大的威胁,而在这之中国家间的网络信息安全更是成为网络安全的重中之重。现在,国家间的网络攻击形式主要为高级持续性威胁,我们大多统称为APT(Advanced Persistent Threat)。
APT这个词汇最早起源于2005年,2005年英国和美国的CERT组织发布了关于有针对性的社交工程电子邮件,放弃特洛伊木马以泄露敏感信息的第一个警告,尽管没有使用“APT”这个名字。但“先进的持续威胁”一词被广泛引用,2006年的美国空军Greg Rattray上校经常被引用为创造该术语的个人。
在计算机安全领域以及越来越多的媒体中,APT这个术语几乎总是用来指向针对政府,公司和政治活动家的黑客攻击的高级持续模式,而且也延伸到涉及到群体这些攻击背后。作为一个术语,高级持续威胁(APT)可以被转移焦点到攻击出现次数。PC World报告称,从2016年到2017年,特别针对高级别目标的网络攻击增加了81%。
APT攻击主要存在以下几个特点,潜伏性,持续性,特定性。
图1 APT攻击的各个阶段
1.2.1 潜伏性
APT作为针对政府以及国家的高级持续性攻击,APT会在用户环境中存在一年以上或更久,在这一年的时间中,攻击者会通过各种手段收集被攻击者的信息,或者控制攻击者主机,同时攻击者会使用被攻击者的跳板去攻击处于同一内网的其他主机,已达到入侵的目的。
1.2.2 持续性
由于APT攻击具有持续性甚至长达数年的特征。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。
1.2.3 特定性
由于APT主要针对特定政府,攻击者会通过对某一个人进行有针对性的调查,我们一般将其称为社会工程学。通过对指定目标进行社会工程学,攻击者使用更有针对性的方式进行攻击,如:伪造银行对被攻击者投递邮件,以此达到他们的恶意目的。
ATP的主要攻击方式分为三个阶段如下图1所示,我们在这里将其称为第一阶段、第二阶段以及第三阶段。
在APT攻击的第一阶段中,攻击者主要在对受害人进行社会工程学,通过互联网上发布的各种信息,以及关注受害人的微博等方式,对受害人的心理,作息以及日常活动进行全方位的了解,以便进行下一步攻击。
在APT攻击的第二阶段中,攻击者在基于前文所述的社会工程学的基础上对被害人进行攻击。攻击方式主要是鱼叉式攻击邮件。攻击者通过伪造政府,常用网站,对被害人进行鱼叉式攻击邮件的投递。其中邮件中可能包含有云链接、恶意链接、恶意附件等内容,一旦受害人点击下载链接或者附件,就会掉入到攻击者所设的陷阱当中,被攻击者攻击成功。
在第三阶段中,攻击者会隐藏在受害人的主机中,并且会通过受害人的主机对同内网的主机进行攻击,以便窃取到更多的信息。
近些年来由于APT的高针对性,我们对其进行有效的防护,现有的防御方法基本如下
我们可以通过入侵检测技术来进行对APT的有效防御。入侵检测系统能够为在一定安全维护策略条件之下运行的监听设备监测计算机通信网络的运行以及传输状态,并有效预警安全威胁。入侵检测系统和防火墙技术的不同之处在于,入侵检测系统等同于大楼监测系统,防火墙则等同于大门防盗锁。入侵检测系统通过对网络运行情况的合理检测及时查找安全隐患问题,旨在充分确保计算机网络安全性,此系统重点关注流量必经之地。由此可见,充分结合入侵检测系统实际环境,根据其工作目标及具体使用手段,在这里我们通常将入侵检测系统部署在邮件服务器外部,通过对邮件进行有效的过滤来保护我们的内网。同时我们可以在我们的内网部署监听设施,对内网中的每个计算机进行监听,对他们的日常行为进行建模以及数据挖掘,以防止APT攻击中第三阶段的攻击。
随着计算机的逐渐普及,人们需要从根本上认识到网络安全的重要性,并积极开展各项通信网络安全教育工作,加强计算机通信网络技术领域的交流,在掌握计算机通信网络安全技术的同时,要从根本上保证计算机通信网络安全在高层次上的主动性。另外,计算机管理人员作为计算机网络通信安全管理的主要因素,要具备一定的安全意识,采取相应的网络手段,避免出现信息丢失与盗取现象。
总之,随着时代的发展,互联网已经在世界之中起到了举足轻重的作用。而国家之间的网络安全在这个信息化的时代中格外重要,因此我们必须高度关注国家间的网络安全。否则将会带来难以弥补的损失。为此,我们必须努力强化专业计算机人员素养水平,构建完善管理机制,选用有效措施进行安全维护,从根本角度出发,保证国家间网络的安全以及稳定。■