APT——Advanced Persistent Threat,高级持续性威胁。

是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。

高级持续性威胁包含三个要素,高级、长期、威胁。
高级 – 强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。
长期 – 暗指某个外部力量会持续监控特定目标,并从其获取数据。
威胁 – 指人为参与策划的攻击,如政府,通常具备持久而有效地针对特定主体的能力及意图。

APT的标准定义如下:
目标 – 威胁的最终目标,即你的对手
时间 – 调查、入侵所花的时间
资源 – 所涉及的知识面及工具(技能和方法也有所影响)
风险承受能力 – 威胁能在多大程度上不被发觉
技能与方法 – 所使用的工具及技术
行动 – 威胁中采取的具体行动
攻击源头 – 攻击来源的数量
牵涉数量 – 牵涉到多少内部或外部系统,多少人的系统具有不同重要性
信息来源 – 是否能通过收集在线信息识别出某个威胁

APT的生命周期如下:
因一个目标开始盯上特定组织团体
试图入侵到其环境中(如发送钓鱼邮件)
利用入侵的系统来访问目标网络
部署实现攻击目标所用的相关工具
隐藏踪迹以便将来访问

来自我国的某APT发起过程:
初始入侵 – 使用社会工程学、钓鱼式攻击、零日攻击,通过邮件进行。在受害者常去的网站上植入恶意软件(挂马)也是一种常用的方法。
站稳脚跟 – 在受害者的网络中植入远程访问工具,打开网络后门,实现隐蔽访问。
提升特权 – 通过利用漏洞及破解密码,获取受害者电脑的管理员特权,并可能试图获取Windows域管理员特权。
内部勘查 – 收集周遭设施、安全信任关系、域结构的信息。
横向发展 – 将控制权扩展到其他工作站、服务器及设施,收集数据。
保持现状 – 确保继续掌控之前获取到的访问权限和凭据。
任务完成 – 从受害者的网络中传出窃取到的数据。

APT的特点:
高度目的性 – 攻击者为实现一种或多种目的进行的攻击。
高度先进性 – 攻击者采用新技术、新方法、新漏洞进行的攻击。
高度隐蔽性 – 攻击者入侵过程高度隐蔽,往往不易被察觉。
高度持续性 – 攻击者权限维持的方法多样,可进行多次持续攻击。
高度自动化 – 攻击者工具自动化,自动执行特定目的,自动化利用、自动回传信息等。
高度扩散性 – 攻击者可迅速感染企业内部主机系统,扩散性极强。
高度规模性 – 攻击者有可能采用规模性的攻击,攻击破坏企业网络、窃取企业内部数据等。这种行为的出现,也就暴露了攻击者此次的攻击,但不排除声东击西。
高度危害性 – 攻击者一旦发动入侵,将严重威胁企业数据安全,破坏企业内部网络,造成企业办公停摆等严重威胁。

APT的一些盲区:
很多企业对于APT的概念理解的并不深入,APT这个术语在过去几年已被广泛使用,甚至滥用。 对于APT,不能盲目的认为是或者不是,有或者没有遭受攻击,建议根据APT的标准定义来评判。
以往经验,APT只针对大型企业和民族国家,但是由于技术的快速更新,APT已经被广泛使用,因此以下几种情况,我们都应该重视APT存在的可能。
1. 如果数据对我们或者企业有价值,那么也可能对另一家公司有价值,例如竞争对手。
2. 在处理任何类型的个人身份数据时,我们需要清楚法律规定,这些是否是未经授权的,在这个环节上可能出什么问题。
3. 大型企业和政府机构经常使用多样化的供应链,这些供应链往往是小企业,供应商也是APT的攻击对象。
4. 经验表明,APT攻击已经覆盖到了无组织的目标。
5. 总统大选,明星绯闻等,可以撼动政治、权利、金钱的目标,都可能遭受APT攻击。
由于APT的多样性、复杂性,传统防御是无法防御APT的,目前市面上卖的防护服务,也不可能彻底抵挡APT攻击。特别是传统的诸如防病毒系统之类的安全解决方案,对于企业而言,早就已经过时了。
1. 没有一个解决方案可以保护您免受APT的伤害。
2. 最佳做法总是有很多层次的保护,以提高防御能力应对一些不同的威胁。
3. Web漏洞,网络钓鱼邮件和远程访问木马程序都是常用的工具APTs。
4. 传统的安全系统是您的工具箱的重要组成部分攻击的初始阶段,并阻止其进入下一个阶段。
5. 基于大数据分析的APT防护,在最近几年已经被提上议程。

APT企业防护:
如图,这是典型的企业防护措施。

1. 网络设备和服务

  • 合理配置边防设备,例如防火墙。具备基本的出入过滤功能,条件允许的实况下使用屏蔽子网结构。防火墙策略按照默认拒绝。如果愿意安装入侵检测系统更好。
  • 使用有相关安全技术的路由器,例如很多新的路由器有一定的抗ARP攻击的能力。
  • 善于使用代理服务器(例如反向代理)、web网关(例如一些检测xss的软件)
  • 内部的办公工作,设置只有内网用户可以进行。有子公司的情况下,使用VPN技术。
  • 邮件系统要具有防假冒邮件、防垃圾邮件的基本能力。
  • 全网内的终端机器,至少使用可靠可更新的安全反病毒软件。
  • 不必要的情况下,企业内部不要配置公共Wifi。如果需要,限制公共Wifi的权限,使用有效密码,至少使用WPA2的安全设置,条件允许可以隐藏SSID。
  • 企业内部的通讯使用加密,对抗监听和中间人。
  • 配置防火墙隔离对外不必要的端口,建立出站网络端口限制。
  • 建立主机、设备网络行为日志审计系统,专人查看审计日志行为。

    • 2. 安全管理

  • 企业建立安全策略,分配职责,雇佣背景清晰的安全工作人员。
  • 企业制度允许的情况下,合理运用强制休假、岗位轮换的方法。
  • 企业有一定权限的管理人员(例如人事部门),要合理分权,最小权限,不能。
  • 集中某一些人都有最高的权限,特别领导同志要主动放弃最高权限。
  • 入职和离职的时候要仔细检查,例如离职时要有人监督他收拾东西离开,避免最后一刻留下后门,还要及时清除他的账户。使用证书的企业,还要停止他的证书。
  • 要建立日志审核的制度,有专门的人员审核边防设备记录的重要信息。
  • 企业架设合理的打卡、门禁制度,作为确定用户的上下班时间,在其不在职时间的奇怪访问,很可能是攻击。
  • 员工定期清理自己的桌面(不是电脑桌面),目的是确保秘密的文件没有被随意放置。
  • 员工系统使用强密码,使用要求密码的电脑屏保。
  • 员工使用的电子设备有基本的防盗能力,至少有锁屏图案,最好有远程数据抹除,如果有全设备加密更好。
  • 及时更新公司的操作系统到稳定的安全版本,这样可以有效对抗新攻击。特别是web服务器。
  • 设立一定的监督记录,例如员工不要使用电驴这些可能泄漏敏感信息的内容。
  • 雇佣有资质的单位,对员工进行安全培训,使员工明白基本的安全知识。
  • 定期整理网络威胁情报进行邮件通报。

    • 3. 物理安全

  • 建筑要有一定的防盗设计,例如人造天花板的设计、重要的门有B型以上的锁。
  • 高度机密的环境下,可以使用电磁屏蔽的技术,一般用于机房。
  • 雇佣必要的保安人员,设置摄像头。

    • 4. WEB安全

  • 企业的WEB服务器很可能受到攻击,应该配置基本的安全防护软件,尽量使用适当硬化的系统(有条件的情况下配置LINUX而不是WINDOWS,并删除不必要的功能和服务)。
  • 企业的WEB应用,如果自身没有安全开发的能力,应该外包给有资质,特别是经济情况正常的企业完成。要避免为了节省费用,使用小家的企业去做。
  • 内网如果有WEB服务(如内部办公,应该和外网适当分离。
  • 隐藏一些可能泄漏服务器软件类型和版本的信息。

    • 5. 长期的安全维护

  • 雇佣有能力的、安全底细清楚的安全人员,或者咨询外面的公司。
  • 定期使用缺陷扫描仪、端口扫描仪等进行检查。
  • 有条件的企业,应该配置蜜罐或者蜜网。
  • 建立安全基准,有助于识别未知的安全攻击。