APT防御之用沙盒斬斷APT的“生命鏈條”
責編:admin |2014-07-15 14:46:59今天,APT(高級持續性威脅)攻擊已經不再是新鮮話題,但卻仍是令整個安全業界頭疼的問題。作為將眾多滲透技術整合在一起實現的隱秘性攻擊手法——APT攻擊憑借特征未知、隱蔽性強,持續時間長等特性,令傳統的安全防護解決方案幾乎全部失效。那么誰又能有效阻擊APT攻擊呢?目前來看,沙盒(模擬一個虛擬用戶環境)無疑是最有效的方法之一,因為其斬斷了APT攻擊的“生命鏈條”。
為何說沙盒可以斬斷APT攻擊的“生命鏈條”?在解答這一問題之前,我們先來看一個典型的APT攻擊過程,大約分為五步:
第一步,攻擊者會盜用一個企業的供應商或者合作伙伴的賬號,從而達到訪問企業內網的目的;
第二步,攻擊者利用自制的攻擊工具(利用已知的和0day等未知的安全漏洞),在企業的某一臺服務器或PC上種下木馬病毒;
第三步,該木馬會在企業網絡中不斷滲透,尋找企業關鍵的數據庫,盜取包括企業核心數據,員工ID、信用卡密碼、手機號等重要信息;
第四步,通過FTP、郵件、甚至是更加隱秘的方式,不斷地把這些數據發送給攻擊者;
第五步,整個攻擊過程大約持續數個月,甚至是半年/一年。
這五步相互關聯,也就形成了APT攻擊的“生命鏈條”。而其中最關鍵的當屬第二步,即攻擊者利用0day等未知漏洞攻陷企業服務器或PC,該攻擊方式隱蔽性強,傳統的入侵防御系統、防病毒系統、以及web應用防火墻等均無法感知;而當攻擊者完成“突破”之后,還要經歷滲透(包括提權與遷移),竊聽,偷數據等過程,即APT攻擊需要一定的持續時間。由此不難看出,如果能夠打破APT攻擊隱蔽性和持續性這兩個特性,也就能斬斷其“生命鏈條”,即可有效阻止APT攻擊,而沙盒就具備這樣的能力。
沙盒,即為一些不可靠的程序提供試驗而不影響系統運行的環境,有時也被稱作沙箱。
對于基于0day的APT攻擊,傳統的基于簽名的檢測方式確實難以識別,而通過沙盒所打造的虛擬運行環境,我們即可通過其“行為”來判斷一個文件、一個訪問等是惡意的還是善意的,從而有效阻止APT攻擊。舉例來說,當一個文件在虛擬的沙箱中運行時,如果我們發現其修改了注冊表、刪除了文件,或是自身創造出了新的文件,亦或是試圖訪問惡意網站,并下載一些病毒和木馬等等,那么即可確定這個文件是惡意的,即使我們現在沒有其特征碼,也可以防御它。與此同時,我們還可提取其“特征碼”,在第一時間封堵這一未知(0day)威脅。
此外,沙盒還可快速發現網絡中的安全隱患,比如有一臺服務器/PC中了木馬,其可快速找到這臺設備,并且處理它(或隔離它),從而打斷APT攻擊的持續性。
通過上述介紹我們不難看出,沙盒的確是目前阻擊APT攻擊的最有效方法之一,其通過“行為”識別,打破其隱蔽特性;通過快速發現安全隱患(將其隔離,修補漏洞),打破其持續特性,從而斬斷了APT攻擊的“生命鏈條”,讓企業的信息安全更有保證!