別讓黑客惦記你的系統(tǒng)

APT（Advanced persistent threat，高級持續(xù)威脅）是安全領域的一個名詞。從本質(zhì)上來說，APT攻擊涉及數(shù)據(jù)安全領域的多方面技術，其對企業(yè)的危害非常之大。

我們不妨看看如下這個例子。早在2008年年底的時候，曾有一組黑客成功地闖入了支付處理巨頭Heartland的網(wǎng)絡系統(tǒng)。最終，黑客成功偷走了100多萬張信用卡和借記卡的消費數(shù)據(jù)。Heartland首席技術官Kris Herrin表示，這一入侵并不是短期行為。在入侵前，黑客花費了很長時間來收集Heartland的網(wǎng)絡、系統(tǒng)、企業(yè)架構和員工資料。

這一案例清楚地表明了當前企業(yè)面臨的新威脅，同時也為“高級持續(xù)威脅”這一名詞中的“持續(xù)”二字做了注釋。Herrin表示，企業(yè)安全環(huán)境如今已經(jīng)發(fā)生了巨大的變化。安全負責人不僅需要對企業(yè)的系統(tǒng)和網(wǎng)絡負責任，同時還要學會理解“持續(xù)威脅”的含義。

黑客

是如何偷走數(shù)據(jù)的

根據(jù)Herrin的調(diào)查和表述，我們重現(xiàn)一下事情的經(jīng)過。

APT攻擊的先決條件是對被入侵企業(yè)的調(diào)查。這組來自烏克蘭的黑客花費了大約6個月的時間來對Heartland進行研究，包括員工職責、系統(tǒng)架構、網(wǎng)絡布局以及安全防范措施等等。實際上，他們所搜集的情報從企業(yè)內(nèi)部網(wǎng)絡到外部交易網(wǎng)絡無所不包。與此同時，黑客也利用了一些社會工程學的內(nèi)容。他們首先通過SQL注入獲取權限，然后，他們利用社會工程和數(shù)據(jù)收集來進一步獲取信息，比如，了解哪些開發(fā)人員有權限訪問代碼和系統(tǒng)。

2007年12月，Heartland的IT系統(tǒng)首次遭到入侵。實際上，這一次入侵在常規(guī)檢測時已經(jīng)被Heartland的安全人員所發(fā)現(xiàn)，并且漏洞也被及時地修補上。但是，這次安全事件并沒有得到Heartland安全人員的足夠重視，而且他們怎么也沒有想到，整個入侵過程會持續(xù)那么長的時間。此后黑客們花了很多時間來避免入侵被檢測到，而且他們也在尋找新的途徑來獲得數(shù)據(jù)。

2008年年中，黑客終于侵入了Heartland的支付系統(tǒng)，這一支付系統(tǒng)連接著數(shù)百家與Heartland擁有合作關系的企業(yè)。一旦黑客發(fā)現(xiàn)某家企業(yè)的銷售支付系統(tǒng)存在漏洞，其就會截取該系統(tǒng)的信用卡數(shù)據(jù)。這些被截獲的信用卡數(shù)據(jù)，很有可能被黑客出售，或者用來產(chǎn)生一些未經(jīng)授權的交易。這無疑是對個人信息和財產(chǎn)的一種破壞。而黑客收集到特定的數(shù)據(jù)后，不留痕跡地從Heartland的系統(tǒng)中“全身而退”。

“針對知識產(chǎn)權和專利的APT攻擊也非常可怕。”Herrin表示說，這類黑客會準備很長一段時間，以竊取知識產(chǎn)權或者經(jīng)濟信息。

如何防范APT攻擊

Herrin實際上并不喜歡APT這種安全術語分類：“我認為這個詞忽略了重點，同時也被用爛了。針對Heartland的安全事件并非是我們通常意義上所理解的那類APT攻擊。APT這個詞的重點，并不是想去反映黑客攻擊時間的長短，而是要強調(diào)，長期持續(xù)性的攻擊已經(jīng)成為了當前安全領域的重要特征。”

Heartland的例子從側面反映了“高級持續(xù)威脅”這一名詞中的“高級”并不僅僅是描述黑客技術的優(yōu)劣，其實際上是在宏觀地看待攻擊事件的整體，包括資源、時間和精力等等黑客的投入，而他們的目的只是想要去訪問企業(yè)的數(shù)據(jù)。黑客們不會淺嘗輒止，更不會半途而廢。黑客們愿意花費數(shù)個月甚至整年的時間來調(diào)查網(wǎng)絡架構，做數(shù)據(jù)挖掘，研究員工數(shù)據(jù)庫，找到合適的人來“釣魚”。而這，就是如今安全領域的現(xiàn)實。

“所以，對我來說，APT的意思是指某些黑客花費很多時間和精力，來尋找企業(yè)IT系統(tǒng)的弱點。一旦得手，他們就會植入后門程序，并用多種方式得到企業(yè)的數(shù)據(jù)。”Herrin說。

那么，企業(yè)和組織應該如何去應對APT攻擊呢？

Herrin給出的建議是，“大膽假設”。也就是說，企業(yè)和組織不妨在進行安全演練時，假設IT系統(tǒng)已經(jīng)受到了損害。這樣一來，用戶就可以全盤考慮入侵后所需要采取的各項措施。這其中包括利用電子密鑰、加密或其他數(shù)據(jù)認證技術來對敏感數(shù)據(jù)進行保護。同時，對于企業(yè)和組織來說，這些方法也可以防護其他威脅，而不僅僅是APT攻擊。比如，如今IT正在走向消費化，越來越多的人開始將自己的智能手機、平板電腦接入企業(yè)內(nèi)部網(wǎng)絡，將個人數(shù)據(jù)遷移到云計算環(huán)境，IT環(huán)境面臨的挑戰(zhàn)越來越復雜，為此需利用數(shù)據(jù)認證技術。

集中有效資源，確保有價值的數(shù)據(jù)能夠被安全地處理，這是企業(yè)和組織安全標準的重要目標。當然，這也同時意味著，企業(yè)和用戶需要定期舍棄掉那些過于陳舊的數(shù)據(jù)，同時盡量減少需要處理的數(shù)據(jù)類型。“傳統(tǒng)意義上的那些防病毒軟件、身份和訪問管理等，都是企業(yè)安全的最低標準。這些內(nèi)容企業(yè)必須要做，但是還遠遠不夠。”Herrin表示。