APT攻擊其實(shí)每天都在發(fā)生，我們的網(wǎng)絡(luò)資源、機(jī)密數(shù)據(jù)其實(shí)都在源源不斷的泄露出去而沒有察覺，現(xiàn)在新的信息安全的理念是“以“假定已陷入危險(xiǎn)”的方式考慮信息安全問題”，信息安全策略成功的定義已經(jīng)不是將入侵者擋在門外，而是盡管攻擊者有時(shí)已經(jīng)進(jìn)入網(wǎng)絡(luò)，但是能夠盡快發(fā)現(xiàn)并將影響最小化“。如何發(fā)現(xiàn)攻擊者的蛛絲馬跡？也許要采取同以往完全不同的思路來考慮這個(gè)問題。

北京時(shí)間6月4日消息，一個(gè)自稱"SwaggSec"的黑客組織聲稱，這個(gè)團(tuán)體已經(jīng)攻入華納兄弟和中國電信的網(wǎng)絡(luò)，發(fā)布了據(jù)稱是被其攻破后所獲取的文件和登陸證書。這個(gè)名為SwaggSec(又稱“Swagg Security”)近日通過Twitter消息宣稱其黑入了上述兩家公司的網(wǎng)絡(luò)，并在代碼分享網(wǎng)站Pastebin上發(fā)布了一份聲明，同時(shí)提供了通往BT網(wǎng)站海盜灣(Pirate Bay)的被盜文件的鏈接。

今年2月，據(jù)搜狐IT報(bào)道，"SwaggSec"黑客組織在Twitter上宣稱利用漏洞攻破了全球最大電子配件制造商富士康的內(nèi)部網(wǎng)絡(luò)，獲取了包括微軟、蘋果在內(nèi)的大量富士康客戶的郵箱和密碼信息。SwaggSec聲稱，他們抓住了一個(gè)富士康員工IE瀏覽器上未修復(fù)的漏洞，輕易繞過防火墻并以管理員身份入侵內(nèi)網(wǎng)，他們在文檔中公布了大量富士康內(nèi)部資料，包括可以登錄多個(gè)內(nèi)網(wǎng)服務(wù)器的用戶名密碼以及部分財(cái)務(wù)信息，這些服務(wù)器目前已經(jīng)被緊急關(guān)停。被SwaggSec入侵的還包括一個(gè)富士康的郵箱服務(wù)器，這令黑客成功獲得了富士康所有用戶的郵箱密碼，其中還包括CEO郭臺銘。

據(jù)天融信安全研究中心分析，從上述簡短介紹來看，包括富士康公司在內(nèi)的幾家公司其實(shí)是遭到了APT攻擊。所謂APT攻擊，就是“高級可持續(xù)性攻擊”，或叫“針對特定目標(biāo)的攻擊”。它結(jié)合了包括釣魚攻擊、木馬攻擊、惡意軟件攻擊、社會工程學(xué)方法等多種攻擊的高端攻擊模式，它不再像傳統(tǒng)的攻擊方式找企業(yè)的漏洞，而是從人開始找薄弱點(diǎn)，APT往往利用組織內(nèi)部的人員作為攻擊跳板。一步一步的獲取那些網(wǎng)絡(luò)、安全管理人員的進(jìn)入組織內(nèi)部的高級權(quán)限，然后滲透到網(wǎng)絡(luò)內(nèi)部后長期蟄伏，不斷收集各種信息，直到收集到重要情報(bào)。

具體到富士康那個(gè)案例，那個(gè)遭到攻擊的富士康員工或者就是一個(gè)安全管理員，具備了訪問多個(gè)內(nèi)部服務(wù)器的權(quán)限。當(dāng)他的電腦被入侵以后，實(shí)際上已經(jīng)成為了穿上網(wǎng)絡(luò)安全管理員馬甲的黑客控制的僵尸機(jī)。由于在一般企業(yè)中網(wǎng)絡(luò)管理員的權(quán)限過高，沒有監(jiān)督機(jī)制，一旦被入侵，這些電腦就可以被黑客利用，在內(nèi)網(wǎng)中長驅(qū)直入，沒有任何監(jiān)督可言。導(dǎo)致這次富士康大量服務(wù)器數(shù)據(jù)大量被竊取。

盡管富士康公司對網(wǎng)絡(luò)安全已經(jīng)十分重視，部署了相對完備的縱深安全防御體系，可能既包括針對某個(gè)安全威脅的安全設(shè)備，如防火墻、IDP、防病毒也包括了將各種單一安全設(shè)備串聯(lián)起來的管理平臺如SOC，而防御體系也可能已經(jīng)涵蓋了事前、事中和事后等各個(gè)階段，但是依舊對這次攻擊無能為力。因?yàn)榧词惯@些安全體系十分全面，但是忽略了一個(gè)至關(guān)重要的因素，那就是網(wǎng)絡(luò)安全管理員本身沒有被納入監(jiān)控體系中，這個(gè)體系出現(xiàn)了一個(gè)漏洞。

攻擊者經(jīng)常采用惡意郵件的方式攻擊受害者，并且這些郵件都被包裝成合法的發(fā)件人。而企業(yè)和組織現(xiàn)有的郵件過濾系統(tǒng)大部分就是基于垃圾郵件地址庫的，顯然，這些合法郵件不在其列。再者，郵件附件中隱含的惡意代碼往往都是0day漏洞，郵件內(nèi)容分析也難以奏效。像這次攻擊就采用了一個(gè)IE0day 漏洞。而企業(yè)和組織目前的安全防御/檢測設(shè)備無法識別這些0day漏洞攻擊；其次，在攻擊者控制受害機(jī)器的過程中，往往使用SSL鏈接，導(dǎo)致現(xiàn)有的大部分內(nèi)容檢測系統(tǒng)無法分析傳輸?shù)膬?nèi)容，同時(shí)也缺乏對于可疑連接的分析能力；另外，攻擊者在持續(xù)不斷獲取受害企業(yè)和組織網(wǎng)絡(luò)中的重要數(shù)據(jù)的時(shí)候，一定會向外部傳輸數(shù)據(jù)，這些數(shù)據(jù)往往都是壓縮、加密的，沒有明顯的指紋特征。這導(dǎo)致現(xiàn)有絕大部分基于特征庫匹配的檢測系統(tǒng)都失效了；最后，這類攻擊的持續(xù)時(shí)間一般都在幾個(gè)星期甚至幾個(gè)月，通常的SIEM或日志分析產(chǎn)品無法關(guān)聯(lián)時(shí)間跨度如此大的安全事件；

為了確保對網(wǎng)絡(luò)內(nèi)部出現(xiàn)的異常行為及時(shí)檢測，必須要對網(wǎng)絡(luò)內(nèi)部所有節(jié)點(diǎn)的訪問行為做持續(xù)監(jiān)控，這就包括對于每一個(gè)需要關(guān)注的資產(chǎn)對象，需要按照一定的時(shí)間步長進(jìn)行以下持續(xù)的統(tǒng)計(jì)：

◇作為源地址訪問的所有目的地址列表（FanOut）；

◇ 作為源地址的所有的目的端口（協(xié)議）列表

◇ 作為目的地址所有源地址列表（FanIn）

◇ 作為目的地址所有源端口列表

◇ 傳送的數(shù)據(jù)大小變化情況

◇ 相互通信列表（a 與b 的交集）

將上面的統(tǒng)計(jì)結(jié)果按照資產(chǎn)排序，找出不同的TOPN，將本期的TOPN與前一期的TOPN紀(jì)錄比較發(fā)現(xiàn)變化。

通過這個(gè)過程，一臺機(jī)器的網(wǎng)絡(luò)行為模型就基本建立，這樣就可以回答用戶關(guān)心的如下問題：

◇ 某一天訪問了哪些地址，與每天訪問的地址列表中的地址（白名單）相似度多少，這些不同的地址是否屬于惡意地址（黑名單）？，這些地址是否屬于整個(gè)內(nèi)部大的白名單？是否確定需要更新名單（黑白）？傳送的文件數(shù)量是否超出閾值？

◇ 通過整理內(nèi)部所有機(jī)器的訪問目的地址列表，找出交集，形成了內(nèi)部大的目的地址白名單。

◇ 這是該用戶應(yīng)該出現(xiàn)的行為嗎？是否被控制了？穿了馬甲？最近的訪問行為目的是否出現(xiàn)了嚴(yán)重的異化？比如網(wǎng)絡(luò)管理員的電腦出現(xiàn)了大量的外連上傳行為，其目的是以前從未訪問過的境外地址，而這些地址現(xiàn)在經(jīng)常出現(xiàn)在訪問目的地址的TOPN。

根據(jù)APT的攻擊特點(diǎn)，從管理范圍來看，必須是全員都被納入到行為監(jiān)控的范圍里。這里沒有特權(quán)，沒有例外，因?yàn)槠髽I(yè)里面的每一個(gè)人從高層領(lǐng)導(dǎo)、董秘、網(wǎng)絡(luò)管理員，到基層員工，都有可能成為APT的攻擊目標(biāo)。

但是從一般企業(yè)的實(shí)際情況來看，要實(shí)現(xiàn)全員監(jiān)控幾乎是不可能的。任誰也不愿將自己的網(wǎng)絡(luò)行蹤公布出來讓其他人平頭論足，但這也是要做APT跟蹤和防護(hù)的一個(gè)必經(jīng)之路，可能只有像富士康這樣已經(jīng)遭遇了大面積數(shù)據(jù)泄露的企業(yè)才能痛下決心，從董事長帶頭做起，真正認(rèn)識到信息安全對企業(yè)的極端重要性，最終走上全員監(jiān)控，徹底審計(jì)的道路，讓披著馬甲的黑客不再有藏身之處。只有這樣，才可以考慮后面如何實(shí)現(xiàn)的策略和技術(shù)手段。