東巽科技:傳統設備無法防御APT攻擊
責編:mhshi |2016-07-19 10:10:027月14日,在第12屆網絡主管論壇成都站,東巽科技王超發表演講。他表示目前國際上針對政府、金融、能源、企業、軍方等網絡的APT攻擊事件越來越多。在最近備受關注的“南海仲裁”事件中,一個與東南亞和中國南海問題相關的APT攻擊被發現,該APT攻擊以包括美國在內的各國政府和公司為目標。該攻擊利用CVE-2014-4114漏洞,滲透進入未打補丁的Office PowerPoint 2003 和2007,進而發動攻擊。
他認為,網絡空間的對抗已經進入到免殺技術對抗、隱蔽通道對抗、高級隱藏對抗等高階層次的對抗。從防護角度而言,沒有專業的安全團隊,沒有足夠的技術能力儲備,很難甄別出高級網絡攻擊,而這些攻擊往往針對特定群體而定制,非常容易造成重大損失。在13日發生的“臺灣ATM機吐錢事件”,是APT攻擊作案的典型手段。
“APT攻擊是一個綜合概念,它不單指網絡攻擊,它可以包含很多種攻擊形式,比如社會工程學攻擊,甚至在某些特定需要的時候黑客還會親自靠近目標取得信息,像電影里面演的一樣”。王超說,“針對目標,黑客不會放過任何一個可利用的機會,然后對于在暗處的目標來說,任何一個細節的輕視都可能給對方可乘之機”。
還有被眾多用戶依賴的網絡安全設備中并不安全,如防火墻基于IP和端口進行攔截,缺乏對內容的深度分析和威脅檢測;入侵檢測基于攻擊特征檢測,誤報率高、事件太多,容易被偽裝繞過;殺毒軟件基于代碼指紋進行檢測,容易被免殺繞過,很難識別未知惡意代碼,等等。這些設備的劣勢會給黑客帶來機會。
他認為,目前的網絡系統是否正在遭受攻擊,是否已經被攻陷,關鍵資產有沒有被攻擊,核心數據是否被拿走等等,這些問題需要引起網絡運維人員的足夠重視,防患于未然。“如果你還沒認識到網絡早已變得十分脆弱,那么你就已經失敗了。”