企业威胁防护从每一个防护弱点开始

　　针对“LURID”，趋势科技指出，“LURID Downloader”通常也被称为“Enfal”，这是一个众所皆知的、长期存在的恶意软件家族。这只恶意软件，早在2006年就曾经被用在目标攻击中。到了2008年，一系列的记录显示了使用这种恶意软件的攻击目标包括政府机构，非政府组织（ NGO），还有国防部承包商和美国政府雇员。在2009年和2010年，多伦多大学的研究人员和趋势科技安全威胁研究员Nart Villeneuve共同发表了有关两个间谍网络的报告，被人称为“GhostNet”和“Shadow-In-The-Cloud”，网络中包括了Enfal木马链接的恶意软件和外界控制代码。同时，根据“维基解密”的信息和一系列被称为“Byzantine Hades”的连续攻击行为发现，这系列连续攻击，自2002年以来就一直在发生。

　　长期而有效的威胁管理将有效避免成为APT攻击的受害者

　　面对黑客使用APT网络间谍的攻击手法，趋势科技中国台湾技术总监戴燊认为，这并没有单一的解决之道，因为黑客为达目的、不择手段的攻击方式，企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。

　　首先，防病毒软件还是基本防御之道。黑客使用这些针对式的恶意软件，一般商用防病毒软件无法侦测，戴燊建议，政府或企业环境内应首先部署各种过滤设备，并针对可疑的恶意软件样本先进行第一轮的过滤后，再送到后端自动化分析机制。如果要判断该恶意软件是否是有针对性的，则需要与防毒厂商充分达成默契，这样就能让防毒厂商针对该攻击，制作出定制化的病毒特征给该单位。

　　第二，除了防病毒软件的防御层面外，进行企业环境的威胁发现，则是预防APT的有效之道。要预防黑客发动APT攻击，得先改变对威胁环境的认知，进行各种高级监测威胁，以降低灾害。这包括，企业内部的威胁发现机制是否足够，以及是否有能力可以对网络中的封包或Session进行攻击特征的分析。

　　第三，就是针对APT攻击的“持续性”建立长期的分析能力。除了日报、周报、月报外，更重要的是要看出长期的趋势变化，时间更长的季度报甚至是年报所呈现出来的攻击趋势，其实更重要。因为面对黑客发动的APT攻击，企业最忌讳当成单一事件，所以IT工程师们应对于每个月安全事件进行检查，并确定是否每个月都重复发生，观察是否有持续性。

　　第四，由于APT攻击类型很多，也很难检测，很多企业仍然仅依赖于以预防为主的工具，例如防毒代码技术和传统的网络层防火墙。高级持续攻击者更倾向于0day漏洞，或者利用目标公司基础设施存在的漏洞问题。因此，抵御APT攻击者的理想防御方法是结合最新的云安全技术，对网络和系统达到实时监测和统一管理。但是现在市面上很多工具都是针对不同的基础设施，纵观所有事件和日志往往是需要手动来操作。这就给了攻击者更多时间和机会来深入受害者组织，因此，将安全基础设施利用云安全架构中的统一管理模式，将这些报表和日志联合起来，才能有效地识别出漏洞和攻击的存在。

　　第五，也是我们反复提到的信息安全教育，因为这将是严防APT攻击最后的防线。从Google到RSA，这些单位受到攻击的关键因素都与普通员工遭遇社交工程的恶意邮件有关。从RSA受攻击的事件可以发现，黑客刚一开始，就是针对某些特定员工发送的钓鱼邮件，就是该起RSA遭到黑客使用APT手法进行攻击的所有源头。在今年稍早，美国有另外一家信息安全顾问公司HBGary也面临类似的攻击方式，那就是黑客假冒CEO发信给IT部门同事，由于“天时地利人和”的条件配合下，IT人员对于黑客冒名发送的这封信件完全不曾怀疑，IT人员直接将该公司IT系统Administrator的账号、密码给被黑客冒名的CEO发送回去。因此，HBGary内部的IT系统防护也在一夜之间溃堤。

　　最后，如果已经清除了内部的恶意代码，员工和管理层还应该预料到APT攻击者们迟早还会卷土重来，然后重新建立他们的据点，这也就让企业所面临的威胁环境变得越来越具有挑战性。不过，当我们清楚的认识到，这些对于信息系统进行攻击方法的正在变化，我们就有决心有毅力，并有效的能够遏制住APT攻击。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!