淺析防范APT攻擊的網(wǎng)絡(luò)安全體系

【摘 要】近些年高級(jí)持續(xù)性威脅已經(jīng)成為威脅企業(yè)數(shù)據(jù)信息安全的主要網(wǎng)絡(luò)攻擊形式之一，這種類型的網(wǎng)絡(luò)攻擊具有針對(duì)性、隱藏性、持續(xù)性與易變性等特點(diǎn)，其能夠直達(dá)企業(yè)內(nèi)部的核心數(shù)據(jù)信息。傳統(tǒng)模式的“網(wǎng)關(guān)+服務(wù)器+PC終端”的三層安全防范體系比較分散，不能有效地防止這種類型的攻擊。本文提出了一種改進(jìn)型的分層集中式網(wǎng)絡(luò)安全體系，通過集中分析與掌握控制的方法，促使企業(yè)內(nèi)部的安全防護(hù)部件形成一個(gè)有機(jī)的整體，可以有效地防范APT的網(wǎng)絡(luò)攻擊。

【關(guān)鍵詞】高級(jí)持續(xù)性威脅 網(wǎng)絡(luò)安全 體系

一、引言

隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，網(wǎng)絡(luò)威脅每天層出不窮，各種攻擊隨時(shí)都有可能發(fā)生。APT是近年來威脅企業(yè)數(shù)據(jù)安全的主要威脅之一。與分散、單個(gè)的網(wǎng)絡(luò)攻擊不同，這是一種針對(duì)特定組織所做的復(fù)雜且多方位的攻擊。這種行為通常需要經(jīng)過長期的策劃，具有高度的隱蔽性與持續(xù)性，目的直達(dá)企業(yè)核心數(shù)據(jù)。那些擁有大量機(jī)密或金融資產(chǎn)的單位特別容易成為攻擊對(duì)象，這對(duì)企業(yè)信息安全構(gòu)成了極大的威脅。在傳統(tǒng)的三層網(wǎng)絡(luò)防護(hù)體系下，IT安全管理人員只是把其當(dāng)作簡單的網(wǎng)絡(luò)攻擊或者病毒攻擊進(jìn)行處理，使得大部分時(shí)間耗費(fèi)在終端查毒與殺毒的環(huán)節(jié)中，當(dāng)一批病毒處理完成后，IT安全管理人員無法準(zhǔn)確定位病毒的來源，并且下一次出現(xiàn)的地方也無法預(yù)測(cè)，不能通過系統(tǒng)的監(jiān)控作用避免APT攻擊。針對(duì)傳統(tǒng)企業(yè)級(jí)網(wǎng)絡(luò)安全體系的弱點(diǎn)，提出了一種有效防范APT攻擊的分層集中式網(wǎng)絡(luò)安全體系，通過集中分析與管控的方法來有效防范APT攻擊[1]。

二、APT攻擊的特點(diǎn)

APT攻擊的特點(diǎn)主要表現(xiàn)在針對(duì)性、隱藏性、持續(xù)性與易變性四個(gè)方面[2]。首先，APT是在某個(gè)系統(tǒng)下具有計(jì)劃性的攻擊類型，這是需要經(jīng)過細(xì)心的策劃過程才能完成，體現(xiàn)出較強(qiáng)的目的性，所以攻擊的方式、種類、內(nèi)容會(huì)發(fā)生變化。一個(gè)企業(yè)在其它地方所獲取到的病毒庫或者所謂的經(jīng)驗(yàn)可能對(duì)本地情況是無效的。其次，由于APT攻擊具有較強(qiáng)的針對(duì)性，為了不輕易被對(duì)方發(fā)現(xiàn)，需要保持較高的隱蔽性。一方面，其可以通過多形、加密等形式使自己較難被偵查；另一方面，對(duì)于企業(yè)的IT人員來說這只是將其視為簡單的病毒入侵或者單個(gè)的網(wǎng)絡(luò)威脅進(jìn)行處理，不能通過系統(tǒng)的方法達(dá)到防范目的。再次，APT攻擊體現(xiàn)出持續(xù)性的特點(diǎn)，攻擊時(shí)間可以持續(xù)幾個(gè)月甚至高達(dá)一年以上。在這階段攻擊者可以不斷收集各方面信息，為發(fā)起攻擊做好充足的準(zhǔn)備，或者采用持續(xù)攻擊的方式，發(fā)現(xiàn)企業(yè)內(nèi)部安全的漏洞，從而獲得可靠的情報(bào)。最后，因?yàn)锳PT攻擊具有針對(duì)性與持續(xù)性的特點(diǎn)，其攻擊者根據(jù)收集到的數(shù)據(jù)信息隨時(shí)會(huì)改變攻擊方式，如果一條路徑被切斷了，應(yīng)當(dāng)充分考慮選擇其它方式的路徑，具有多變性的特點(diǎn)。

三、防范APT攻擊的網(wǎng)絡(luò)安全體系

（一）快速有效的威脅檢測(cè)技術(shù)。這個(gè)模塊提供一個(gè)統(tǒng)一形式的接口，在原本的三層防護(hù)體系下各個(gè)位置的安全防護(hù)模塊可以將有關(guān)的日志信息進(jìn)行上傳處理，對(duì)設(shè)定在各個(gè)不同網(wǎng)絡(luò)位置的安全防護(hù)模塊所產(chǎn)生日志分析的實(shí)際基礎(chǔ)上，根據(jù)系統(tǒng)經(jīng)驗(yàn)或者自定義形式規(guī)則，能夠主動(dòng)地發(fā)現(xiàn)有可能出現(xiàn)的安全威脅。

（二）基于沙盒的虛擬分析技術(shù)。原本的三層安全防護(hù)體系對(duì)于部分附件/可執(zhí)行文件容易產(chǎn)生影響，然而缺乏一個(gè)準(zhǔn)確有效的可行性分析過程，傳統(tǒng)方法一般是將這類型文件進(jìn)行隔離或者直接忽略處理。假如某個(gè)文件屬于正常形式的文件，對(duì)其進(jìn)行隔離處理后，用戶需要進(jìn)行操作才可以獲取這項(xiàng)文件；假如某個(gè)文件屬于惡性文件，忽略處理的話，則會(huì)對(duì)用戶的系統(tǒng)產(chǎn)生較大影響。所以盡管是隔離或者忽略的方式，都容易會(huì)對(duì)用戶產(chǎn)生一定的困擾。同時(shí)用戶一般不具備足夠的理論知識(shí)分析文件是否屬于惡性類型。使用基于沙盒的虛擬分析技術(shù)能夠?yàn)橛脩艚鉀Q這種問題，將這種文件放置在沙盒中操作處理，觀察對(duì)系統(tǒng)的各種更改是否屬于有害的方式，假如是無害的則忽略處理，假如是有害的則應(yīng)當(dāng)攔截這類型文件。沙盒是一個(gè)封閉模式的模擬環(huán)境，同時(shí)使用虛擬化的技術(shù)，對(duì)網(wǎng)絡(luò)的總體安全環(huán)境不會(huì)產(chǎn)生太大的影響[3]。

（三）統(tǒng)一可靠的威脅名單。依據(jù)威脅檢測(cè)技術(shù)與虛擬分析技術(shù)的作用效果，能夠生成一個(gè)存在可疑性威脅的名單，以便于能夠及時(shí)反饋到在各個(gè)不同網(wǎng)絡(luò)位置的安全防護(hù)部分，通過這些網(wǎng)絡(luò)安全系統(tǒng)可以更好地進(jìn)行安全防護(hù)。

（四）生成有效的本地病毒庫有利于防范高級(jí)持續(xù)性威脅與針對(duì)性攻擊，一般情況下APT與Targeted Attacks是傳統(tǒng)模式的全局病毒庫所無法處理的，由于這種類型攻擊在其它方面是不會(huì)發(fā)生的，不能形成有效的病毒庫。子系統(tǒng)根據(jù)相關(guān)的威脅分析與虛擬分析的實(shí)際結(jié)果能夠提供一個(gè)本地生成病毒庫的具體功能，從而使得安全威脅在網(wǎng)絡(luò)體系中能夠進(jìn)一步得到擴(kuò)散。

（五）清晰完整的報(bào)表系統(tǒng)。這個(gè)集中分析與控制系統(tǒng)根據(jù)各種不同的目的，提供相應(yīng)的報(bào)表給有關(guān)IT信息安全管理人員進(jìn)行查詢操作，比如攔截計(jì)算機(jī)病毒數(shù)量、本地病毒庫的更新狀態(tài)、發(fā)現(xiàn)潛在威脅、病毒來源等方面。一個(gè)清晰完整的報(bào)表系統(tǒng)，可以省去過去階段IT信息安全管理人員在各個(gè)系統(tǒng)上進(jìn)行報(bào)表查詢功能，然后可以支持人工整合的處理功能，在很大程度降低日常的管理開銷狀況[4]。

四、結(jié)束語

現(xiàn)階段這種分層集中式的網(wǎng)絡(luò)安全體系已經(jīng)開始在部分企業(yè)級(jí)別的防病毒產(chǎn)品中發(fā)揮作用，同時(shí)逐漸應(yīng)用在政府、銀行、大型國企等容易受到APT攻擊威脅的各種機(jī)關(guān)部門。通過應(yīng)用防APT攻擊的網(wǎng)絡(luò)安全體系，可以削弱APT攻擊的有效性，有利于提升企業(yè)信息安全的防護(hù)能力，從而降低信息暴露與被盜取的風(fēng)險(xiǎn)因素。

參考文獻(xiàn)：

[1]江原.APT攻擊的那些事[J].信息安全與通信保密，2011（11）：22-23.

[2]杜躍進(jìn).APT應(yīng)對(duì)面臨的挑戰(zhàn)——關(guān)于APT的一些問題[J].信息安全與通信保密，2012（7）：13-14.

[3]劉婷婷.APT攻擊悄然來襲 企業(yè)信息面臨“精準(zhǔn)打擊”[J].信息安全與通信保密，2012（3）：39-40.

[4]張帥.對(duì)APT攻擊的檢測(cè)與防御[J].信息安全與技術(shù)，2011（9）：125-127.

作者簡介：

沈念潔，女，1983.10——，籍貫：湖南省湘西永順縣，學(xué)歷： 本科，研究方向：計(jì)算機(jī)網(wǎng)絡(luò)安全。