別讓黑客惦記你的系統(tǒng)

APT（Advanced persistent threat，高級持續(xù)威脅）是安全領(lǐng)域的一個名詞。從本質(zhì)上來說，APT攻擊涉及數(shù)據(jù)安全領(lǐng)域的多方面技術(shù)，其對企業(yè)的危害非常之大。

我們不妨看看如下這個例子。早在2008年年底的時候，曾有一組黑客成功地闖入了支付處理巨頭Heartland的網(wǎng)絡(luò)系統(tǒng)。最終，黑客成功偷走了100多萬張信用卡和借記卡的消費(fèi)數(shù)據(jù)。Heartland首席技術(shù)官Kris Herrin表示，這一入侵并不是短期行為。在入侵前，黑客花費(fèi)了很長時間來收集Heartland的網(wǎng)絡(luò)、系統(tǒng)、企業(yè)架構(gòu)和員工資料。

這一案例清楚地表明了當(dāng)前企業(yè)面臨的新威脅，同時也為“高級持續(xù)威脅”這一名詞中的“持續(xù)”二字做了注釋。Herrin表示，企業(yè)安全環(huán)境如今已經(jīng)發(fā)生了巨大的變化。安全負(fù)責(zé)人不僅需要對企業(yè)的系統(tǒng)和網(wǎng)絡(luò)負(fù)責(zé)任，同時還要學(xué)會理解“持續(xù)威脅”的含義。

黑客

是如何偷走數(shù)據(jù)的

根據(jù)Herrin的調(diào)查和表述，我們重現(xiàn)一下事情的經(jīng)過。

APT攻擊的先決條件是對被入侵企業(yè)的調(diào)查。這組來自烏克蘭的黑客花費(fèi)了大約6個月的時間來對Heartland進(jìn)行研究，包括員工職責(zé)、系統(tǒng)架構(gòu)、網(wǎng)絡(luò)布局以及安全防范措施等等。實際上，他們所搜集的情報從企業(yè)內(nèi)部網(wǎng)絡(luò)到外部交易網(wǎng)絡(luò)無所不包。與此同時，黑客也利用了一些社會工程學(xué)的內(nèi)容。他們首先通過SQL注入獲取權(quán)限，然后，他們利用社會工程和數(shù)據(jù)收集來進(jìn)一步獲取信息，比如，了解哪些開發(fā)人員有權(quán)限訪問代碼和系統(tǒng)。

2007年12月，Heartland的IT系統(tǒng)首次遭到入侵。實際上，這一次入侵在常規(guī)檢測時已經(jīng)被Heartland的安全人員所發(fā)現(xiàn)，并且漏洞也被及時地修補(bǔ)上。但是，這次安全事件并沒有得到Heartland安全人員的足夠重視，而且他們怎么也沒有想到，整個入侵過程會持續(xù)那么長的時間。此后黑客們花了很多時間來避免入侵被檢測到，而且他們也在尋找新的途徑來獲得數(shù)據(jù)。

2008年年中，黑客終于侵入了Heartland的支付系統(tǒng)，這一支付系統(tǒng)連接著數(shù)百家與Heartland擁有合作關(guān)系的企業(yè)。一旦黑客發(fā)現(xiàn)某家企業(yè)的銷售支付系統(tǒng)存在漏洞，其就會截取該系統(tǒng)的信用卡數(shù)據(jù)。這些被截獲的信用卡數(shù)據(jù)，很有可能被黑客出售，或者用來產(chǎn)生一些未經(jīng)授權(quán)的交易。這無疑是對個人信息和財產(chǎn)的一種破壞。而黑客收集到特定的數(shù)據(jù)后，不留痕跡地從Heartland的系統(tǒng)中“全身而退”。

“針對知識產(chǎn)權(quán)和專利的APT攻擊也非常可怕。”Herrin表示說，這類黑客會準(zhǔn)備很長一段時間，以竊取知識產(chǎn)權(quán)或者經(jīng)濟(jì)信息。

如何防范APT攻擊

Herrin實際上并不喜歡APT這種安全術(shù)語分類：“我認(rèn)為這個詞忽略了重點，同時也被用爛了。針對Heartland的安全事件并非是我們通常意義上所理解的那類APT攻擊。APT這個詞的重點，并不是想去反映黑客攻擊時間的長短，而是要強(qiáng)調(diào)，長期持續(xù)性的攻擊已經(jīng)成為了當(dāng)前安全領(lǐng)域的重要特征。”

Heartland的例子從側(cè)面反映了“高級持續(xù)威脅”這一名詞中的“高級”并不僅僅是描述黑客技術(shù)的優(yōu)劣，其實際上是在宏觀地看待攻擊事件的整體，包括資源、時間和精力等等黑客的投入，而他們的目的只是想要去訪問企業(yè)的數(shù)據(jù)。黑客們不會淺嘗輒止，更不會半途而廢。黑客們愿意花費(fèi)數(shù)個月甚至整年的時間來調(diào)查網(wǎng)絡(luò)架構(gòu)，做數(shù)據(jù)挖掘，研究員工數(shù)據(jù)庫，找到合適的人來“釣魚”。而這，就是如今安全領(lǐng)域的現(xiàn)實。

“所以，對我來說，APT的意思是指某些黑客花費(fèi)很多時間和精力，來尋找企業(yè)IT系統(tǒng)的弱點。一旦得手，他們就會植入后門程序，并用多種方式得到企業(yè)的數(shù)據(jù)。”Herrin說。

那么，企業(yè)和組織應(yīng)該如何去應(yīng)對APT攻擊呢？

Herrin給出的建議是，“大膽假設(shè)”。也就是說，企業(yè)和組織不妨在進(jìn)行安全演練時，假設(shè)IT系統(tǒng)已經(jīng)受到了損害。這樣一來，用戶就可以全盤考慮入侵后所需要采取的各項措施。這其中包括利用電子密鑰、加密或其他數(shù)據(jù)認(rèn)證技術(shù)來對敏感數(shù)據(jù)進(jìn)行保護(hù)。同時，對于企業(yè)和組織來說，這些方法也可以防護(hù)其他威脅，而不僅僅是APT攻擊。比如，如今IT正在走向消費(fèi)化，越來越多的人開始將自己的智能手機(jī)、平板電腦接入企業(yè)內(nèi)部網(wǎng)絡(luò)，將個人數(shù)據(jù)遷移到云計算環(huán)境，IT環(huán)境面臨的挑戰(zhàn)越來越復(fù)雜，為此需利用數(shù)據(jù)認(rèn)證技術(shù)。

集中有效資源，確保有價值的數(shù)據(jù)能夠被安全地處理，這是企業(yè)和組織安全標(biāo)準(zhǔn)的重要目標(biāo)。當(dāng)然，這也同時意味著，企業(yè)和用戶需要定期舍棄掉那些過于陳舊的數(shù)據(jù)，同時盡量減少需要處理的數(shù)據(jù)類型。“傳統(tǒng)意義上的那些防病毒軟件、身份和訪問管理等，都是企業(yè)安全的最低標(biāo)準(zhǔn)。這些內(nèi)容企業(yè)必須要做，但是還遠(yuǎn)遠(yuǎn)不夠。”Herrin表示。