作者简介:
夏正伟,男,武汉大学信息中心副主任,Coremail管理员社区特邀大咖
高级持续性威胁(APT)攻击可以分解为三个关键词:一是高级,即隐蔽性强,可绕过常规的防御体系;二是持续,会不断尝试,长期潜伏,直到实现其目的;三是威胁,一旦得逞可能造成极大的危害。与传统的网络攻击相比,APT攻击行为的窃取数据、破坏系统等动机更加明确,通常具有明确的目标,其可能潜伏或持续很长的时间,更为隐蔽难以发现。APT攻击通常综合使用多种攻击手段,但钓鱼邮件是APT攻击最常见的前期入侵手段之一。
2013年,美国第二大连锁超市塔吉特的空调供应商(HAVAC)4名员工收到钓鱼邮件,其中一人点开了附件中的Excel文件,成为了遭受攻击的第一跳板。后续黑客利用0day漏洞使受害主机下载恶意软件,又在公司内网传播先后感染了WEB服务器和其他业务服务器。通过权限提升最后入侵了核心服务器,并感染了POS刷卡终端。潜伏在POS系统中长达2个月,期间盗取了4千万条银行卡信息,并在黑市进行大量交易。事件造成塔吉特6100万美元额外支出,导致当年净利润下滑46%,董事长、CEO因此事辞职。
防范APT攻击需要从多方面的策略和措施着手,在事前要提前布防,随时监测恶意代码、攻击手段、攻击行为,提前做好防御方案;在事中要快速定位。迅速查找攻击源、攻击点、感染源和态势,根据威胁发展态势发现防御弱点及时补防;在事后要及时处置。分析攻击行为、攻击目标、造成危害,及时进行针对性的查杀隔离。
对钓鱼邮件发起APT攻击的前期入侵,需要防范邮件投递过程中的密码捕获、勒索病毒、特种木马等威胁,可以采取以下几个方面的应对措施:
一、加强用户安全培训
定期进行网络安全意识培训,使用户了解APT攻击、钓鱼邮件的常见特征、危害和应对方法。开展钓鱼邮件攻击的模拟演练,让用户在实际场景中提高防范意识与应对能力。提醒用户及时安装操作系统、应用程序和防病毒软件的补丁和更新,以修复已知的安全漏洞。
二、提升系统防御能力
综合采用机器学习、信誉检测、病毒检测、泛化检测等手段,提升邮件系统的防御能力。部署安全电子邮件网关,实时扫描和分析进出邮件,对其中垃圾和恶意邮件进行有效的检测和拦截。配置SPF、DKIM和DMARC等协议,检查邮件发送源的合法性、可信性。定期对邮件系统进行安全审计,加强日志监控,及时发现异常迹象。
三、升级访问控制策略
传统的网络访问控制一般采取用户名密码来控制用户的访问权限,一旦在钓鱼邮件构造的虚假登录页面输入用户名密码,攻击者即可非常容易的利用这些信息来取得其他业务的访问权限。升级网络访问的控制策略,可以有效抵御相关风险。可以采取的措施有实施严格的密码策略,限制对内部重要资源的访问权限等。尤其是重要敏感的业务系统,可以采取双因素或多因素认证的方式。
四、充分共享威胁情报
充分共享网络攻击威胁情报是提高网络安全防御能力的重要手段,要加强与相关厂商、组织的沟通协作,及时分享威胁情报和最佳实践,根据共享情报采取行动,及时修复漏洞、升级防护措施,共同应对APT攻击的威胁。