鱷魚還是木頭?亞信安全提醒:APT攻擊防范要當心“水坑”
責編:mhshi |2016-03-03 15:52:19就像是“鱷魚還是木頭”的寓言一樣,大多數APT攻擊并不會直接暴露真實面目,而是會很好的在用戶經常訪問的可信網站上或是分支機構中偽裝起來,等待粗心的企業用戶,這類的攻擊也被叫做 “水坑攻擊”(Water hole attack)。為了防范此類攻擊,亞信安全建議用戶改變“單點作戰”的傳統做法,更加重視威脅情報共享和定制化解決方案。
瞄準企業網絡弱點 “水坑攻擊”讓人防不勝防
水坑攻擊是APT攻擊的一種常用手段,黑客通過分析被攻擊者的網絡活動規律,尋找被攻擊者經常訪問的網站弱點,入侵這些防御措施相對薄弱的服務器并植入惡意程序,當用戶訪問了這些網站,就會遭受感染。就像是鱷魚捕食的慣用伎倆一樣,捕食者埋伏在水里,等待角馬喝水時發動攻擊。
狡猾的黑客會繞過層層設防的主要入口,選擇企業的合作伙伴,或者是分支機構,在必經之路上設置一個“水坑(陷阱)”,這讓普通用戶甚至是管理員都很難防范。這其中的典型案例就是美國連鎖超市TARGET的信息泄露事件。
在TARGET的泄露事件中,黑客通過研究其供應鏈的各個環節,選定了TARGET 的一家第三方供應商為跳板,使用社交工程釣魚郵件竊取了該供應商的用戶憑證,從而獲得進入TARGET 網絡系統的權限。隨后,黑客通過在POS 系統中植入軟件,感染了所有刷卡機,截取了刷卡機上的信用卡信息,最后成功入侵數據中心,竊走了所有的用戶信息。
單點防御產品無力鑒別APT風險
針對“水坑攻擊”日漸猖獗的情況,亞信安全APT安全專家白日表示:”隨著互聯網+在各行各業的加速融合,許多企業網絡的邊界已經模糊化,黑客利用“水坑攻擊”手段,以中小企業或合作伙伴為跳板,最終對大型企業發動APT攻擊,增加了核心數據的保全難度。這種攻擊方式超越了單點防護產品的功能范疇,用戶需要在偵測能力上部署更先進、更全面的防護手段。”
“水坑攻擊”和“路過式下載攻擊”有著很大區別,后者屬于一般性攻擊,很容易被發現,而利用“水坑”發動的APT攻擊則更加隱蔽。攻擊者還會利用網絡釣魚電子郵件、包含惡意代碼的下載包、零日漏洞來發動攻擊,而傳統的防火墻、入侵檢測、安全網關、殺毒軟件和反垃圾郵件系統等主要是采用特征碼匹配檢測技術對網絡邊界和主機邊界進行已知威脅檢測,它們均缺乏對未知攻擊的檢測能力和對流量的深度分析能力。
有別于傳統設備的“單兵作戰”,亞信安全提供了深度威脅發現設備(TDA)、深度威脅安全網關(DE)、深度威脅郵件網關(DDEI)、深度威脅分析設備(DDAN)、深度威脅終端取證及行為分析系統(DDES )等產品構成的深度威脅發現平臺(Deep Discovery,DD),該平臺可以與亞信安全其它的網關、虛擬化、服務器以及終端安全防護產品整合。另外,亞信安全還與趨勢科技全球15 個惡意軟件實驗室、云安全智能保護網絡(Smart Protection Network)共享威脅信息 ,形成全覆蓋的偵測平臺。不論是傳統安全威脅,還是“水坑攻擊”都能從這里偵測并得到分析,同時還能清晰的描述攻擊路徑、定位到終端或個人,最終形成威脅的預警信息。
針對“水坑攻擊”重點對象,白日還表示:中小企業本身防護意識和能力比較薄弱,被攻擊的成功率也就很高,黑客往往會選擇這些對象進行“挖坑”。另外,國內大部分的企業對APT攻擊都停留在簡單認知的層面,只有很少的一部分用戶非常了解APT攻擊的危害。因此,威脅情報共享和定制化解決方案對于防止和識別針對性攻擊而言越來越重要,亞信安全將全力協助企業用戶遠離此類風險。