论文部分内容阅读
APT(Advanced persistent threat,高级持续威胁)是安全领域的一个名词。从本质上来说,APT攻击涉及数据安全领域的多方面技术,其对企业的危害非常之大。
我们不妨看看如下这个例子。早在2008年年底的时候,曾有一组黑客成功地闯入了支付处理巨头Heartland的网络系统。最终,黑客成功偷走了100多万张信用卡和借记卡的消费数据。Heartland首席技术官Kris Herrin表示,这一入侵并不是短期行为。在入侵前,黑客花费了很长时间来收集Heartland的网络、系统、企业架构和员工资料。
这一案例清楚地表明了当前企业面临的新威胁,同时也为“高级持续威胁”这一名词中的“持续”二字做了注释。Herrin表示,企业安全环境如今已经发生了巨大的变化。安全负责人不仅需要对企业的系统和网络负责任,同时还要学会理解“持续威胁”的含义。
黑客
是如何偷走数据的
根据Herrin的调查和表述,我们重现一下事情的经过。
APT攻击的先决条件是对被入侵企业的调查。这组来自乌克兰的黑客花费了大约6个月的时间来对Heartland进行研究,包括员工职责、系统架构、网络布局以及安全防范措施等等。实际上,他们所搜集的情报从企业内部网络到外部交易网络无所不包。与此同时,黑客也利用了一些社会工程学的内容。他们首先通过SQL注入获取权限,然后,他们利用社会工程和数据收集来进一步获取信息,比如,了解哪些开发人员有权限访问代码和系统。
2007年12月,Heartland的IT系统首次遭到入侵。实际上,这一次入侵在常规检测时已经被Heartland的安全人员所发现,并且漏洞也被及时地修补上。但是,这次安全事件并没有得到Heartland安全人员的足够重视,而且他们怎么也没有想到,整个入侵过程会持续那么长的时间。此后黑客们花了很多时间来避免入侵被检测到,而且他们也在寻找新的途径来获得数据。
2008年年中,黑客终于侵入了Heartland的支付系统,这一支付系统连接着数百家与Heartland拥有合作关系的企业。一旦黑客发现某家企业的销售支付系统存在漏洞,其就会截取该系统的信用卡数据。这些被截获的信用卡数据,很有可能被黑客出售,或者用来产生一些未经授权的交易。这无疑是对个人信息和财产的一种破坏。而黑客收集到特定的数据后,不留痕迹地从Heartland的系统中“全身而退”。
“针对知识产权和专利的APT攻击也非常可怕。”Herrin表示说,这类黑客会准备很长一段时间,以窃取知识产权或者经济信息。
如何防范APT攻击
Herrin实际上并不喜欢APT这种安全术语分类:“我认为这个词忽略了重点,同时也被用烂了。针对Heartland的安全事件并非是我们通常意义上所理解的那类APT攻击。APT这个词的重点,并不是想去反映黑客攻击时间的长短,而是要强调,长期持续性的攻击已经成为了当前安全领域的重要特征。”
Heartland的例子从侧面反映了“高级持续威胁”这一名词中的“高级”并不仅仅是描述黑客技术的优劣,其实际上是在宏观地看待攻击事件的整体,包括资源、时间和精力等等黑客的投入,而他们的目的只是想要去访问企业的数据。黑客们不会浅尝辄止,更不会半途而废。黑客们愿意花费数个月甚至整年的时间来调查网络架构,做数据挖掘,研究员工数据库,找到合适的人来“钓鱼”。而这,就是如今安全领域的现实。
“所以,对我来说,APT的意思是指某些黑客花费很多时间和精力,来寻找企业IT系统的弱点。一旦得手,他们就会植入后门程序,并用多种方式得到企业的数据。”Herrin说。
那么,企业和组织应该如何去应对APT攻击呢?
Herrin给出的建议是,“大胆假设”。也就是说,企业和组织不妨在进行安全演练时,假设IT系统已经受到了损害。这样一来,用户就可以全盘考虑入侵后所需要采取的各项措施。这其中包括利用电子密钥、加密或其他数据认证技术来对敏感数据进行保护。同时,对于企业和组织来说,这些方法也可以防护其他威胁,而不仅仅是APT攻击。比如,如今IT正在走向消费化,越来越多的人开始将自己的智能手机、平板电脑接入企业内部网络,将个人数据迁移到云计算环境,IT环境面临的挑战越来越复杂,为此需利用数据认证技术。
集中有效资源,确保有价值的数据能够被安全地处理,这是企业和组织安全标准的重要目标。当然,这也同时意味着,企业和用户需要定期舍弃掉那些过于陈旧的数据,同时尽量减少需要处理的数据类型。“传统意义上的那些防病毒软件、身份和访问管理等,都是企业安全的最低标准。这些内容企业必须要做,但是还远远不够。”Herrin表示。
我们不妨看看如下这个例子。早在2008年年底的时候,曾有一组黑客成功地闯入了支付处理巨头Heartland的网络系统。最终,黑客成功偷走了100多万张信用卡和借记卡的消费数据。Heartland首席技术官Kris Herrin表示,这一入侵并不是短期行为。在入侵前,黑客花费了很长时间来收集Heartland的网络、系统、企业架构和员工资料。
这一案例清楚地表明了当前企业面临的新威胁,同时也为“高级持续威胁”这一名词中的“持续”二字做了注释。Herrin表示,企业安全环境如今已经发生了巨大的变化。安全负责人不仅需要对企业的系统和网络负责任,同时还要学会理解“持续威胁”的含义。
黑客
是如何偷走数据的
根据Herrin的调查和表述,我们重现一下事情的经过。
APT攻击的先决条件是对被入侵企业的调查。这组来自乌克兰的黑客花费了大约6个月的时间来对Heartland进行研究,包括员工职责、系统架构、网络布局以及安全防范措施等等。实际上,他们所搜集的情报从企业内部网络到外部交易网络无所不包。与此同时,黑客也利用了一些社会工程学的内容。他们首先通过SQL注入获取权限,然后,他们利用社会工程和数据收集来进一步获取信息,比如,了解哪些开发人员有权限访问代码和系统。
2007年12月,Heartland的IT系统首次遭到入侵。实际上,这一次入侵在常规检测时已经被Heartland的安全人员所发现,并且漏洞也被及时地修补上。但是,这次安全事件并没有得到Heartland安全人员的足够重视,而且他们怎么也没有想到,整个入侵过程会持续那么长的时间。此后黑客们花了很多时间来避免入侵被检测到,而且他们也在寻找新的途径来获得数据。
2008年年中,黑客终于侵入了Heartland的支付系统,这一支付系统连接着数百家与Heartland拥有合作关系的企业。一旦黑客发现某家企业的销售支付系统存在漏洞,其就会截取该系统的信用卡数据。这些被截获的信用卡数据,很有可能被黑客出售,或者用来产生一些未经授权的交易。这无疑是对个人信息和财产的一种破坏。而黑客收集到特定的数据后,不留痕迹地从Heartland的系统中“全身而退”。
“针对知识产权和专利的APT攻击也非常可怕。”Herrin表示说,这类黑客会准备很长一段时间,以窃取知识产权或者经济信息。
如何防范APT攻击
Herrin实际上并不喜欢APT这种安全术语分类:“我认为这个词忽略了重点,同时也被用烂了。针对Heartland的安全事件并非是我们通常意义上所理解的那类APT攻击。APT这个词的重点,并不是想去反映黑客攻击时间的长短,而是要强调,长期持续性的攻击已经成为了当前安全领域的重要特征。”
Heartland的例子从侧面反映了“高级持续威胁”这一名词中的“高级”并不仅仅是描述黑客技术的优劣,其实际上是在宏观地看待攻击事件的整体,包括资源、时间和精力等等黑客的投入,而他们的目的只是想要去访问企业的数据。黑客们不会浅尝辄止,更不会半途而废。黑客们愿意花费数个月甚至整年的时间来调查网络架构,做数据挖掘,研究员工数据库,找到合适的人来“钓鱼”。而这,就是如今安全领域的现实。
“所以,对我来说,APT的意思是指某些黑客花费很多时间和精力,来寻找企业IT系统的弱点。一旦得手,他们就会植入后门程序,并用多种方式得到企业的数据。”Herrin说。
那么,企业和组织应该如何去应对APT攻击呢?
Herrin给出的建议是,“大胆假设”。也就是说,企业和组织不妨在进行安全演练时,假设IT系统已经受到了损害。这样一来,用户就可以全盘考虑入侵后所需要采取的各项措施。这其中包括利用电子密钥、加密或其他数据认证技术来对敏感数据进行保护。同时,对于企业和组织来说,这些方法也可以防护其他威胁,而不仅仅是APT攻击。比如,如今IT正在走向消费化,越来越多的人开始将自己的智能手机、平板电脑接入企业内部网络,将个人数据迁移到云计算环境,IT环境面临的挑战越来越复杂,为此需利用数据认证技术。
集中有效资源,确保有价值的数据能够被安全地处理,这是企业和组织安全标准的重要目标。当然,这也同时意味着,企业和用户需要定期舍弃掉那些过于陈旧的数据,同时尽量减少需要处理的数据类型。“传统意义上的那些防病毒软件、身份和访问管理等,都是企业安全的最低标准。这些内容企业必须要做,但是还远远不够。”Herrin表示。