寓言家伊索曾告诉我们,APT应该这么防
每一个企业级的人 都置顶了 中国软件网
中国软件网 为你带来最新鲜的行业干货
本文作者:渣渣小编
微信号:weikaiyuan1991
联系邮箱:wky@soft6.com
伊索,这位深受中外小朋友们喜爱的寓言家,笔下的很多故事中蕴含的哲理,现在依然很适用。这里,我们就要讲一讲《披着羊皮的狼》这个故事。
在一个宁静的庄园住着一位牧羊人,他经常到庄园附近的草地上放羊。
有一匹饥饿的狼关注这群羊很久了,它想尽办法想要从中捞上一笔。于是,一个伪装入侵的计划在狼的脑海里诞生了。
在今天的网络安全界,我们通常面临着类似的入侵手段:APT。
第一步:选定目标
狼之所以选定这个羊群作为攻击目标主要有两个原因:
第一,目标极具入侵价值:羊多而且肥美,为狼 提供足够的食物;
第二,目标防护体系薄弱:在放羊期间,羊群没有牧羊犬看守,牧羊人难以照顾周全。
第二步:伪装入侵
狼有两种入侵选择,第一种是直接冲上去抓羊。当然采取方法需要面对的是牧羊人手中的武器,成功率较低,而且即便成功,下一次牧羊人肯定会提高防范,狼就很难再次得手了。
于是,狼选择了第二种方法:找了一张羊皮披在自己自己的身上,让自己看起来和普通的羊一样。
也就是说,狼从已知威胁变成了未知威胁,可以长期潜伏在羊群中,伺机下口。
第三步:潜伏待机,攫取目标价值
成功混入羊群的狼,同羊群一起被牧羊人关进了高高筑起栅栏的羊圈。狼获得了和羊群同样的权限,可以不受怀疑的和羊待在一起,出入羊圈。
那么,这匹狼需要做的就是:等待太阳下山,趁着夜黑风高,对羊群下手。
终于,天色黑了下来,狼凶相毕露,吃掉了一只肥美的羊羔。
一连数天,狼重复着同样的动作,趁机扩大入侵价值,这匹狼很满足,仿佛已经走向狼生巅峰。
第四步:发现异常,内部查杀
时间一天天在过去,牧羊人终于发现了羊群的异常:羊的数量在减少。于是牧羊人心想:白天我都在看着,晚上羊圈的门都锁着,羊圈的栅栏又这么高,食肉动物怎么可能趁机过来吃羊呢?
直到牧羊人发现了有一只羊总喜欢往高大的羊身旁挤,并且那只羊的粪便和其他羊不一样,还有没消化掉的骨头。
于是,牧羊人心中有了计较。
APT隐藏的再深,也会漏出破绽,它的行为总是和合法程序是不一样的,并且多多少少会留下一些痕迹。牧羊人就是利用了行为识别手段配合日志审计(审查粪便也就是入侵行为留下的痕迹),发现了非法程序。
第五步:清除APT
在某一个晚上,牧羊人拿着刀来到了这只“羊”的身边……
于是这匹狼的入侵生涯结束了。
回顾整个故事,我们可以发现以下几个现象:
一、APT的整个入侵过程如下
第二,防火墙、IDS/IPS(高高筑起的栅栏、以羊外表为规则的判定)等单向的防御手段难以抵挡高级威胁的入侵。
第三,日志审计、行为识别对于APT治理非常重要。
第四,很多机构对于APT的入侵后知后觉,出现重大损失后才意识到严重性。
这个故事中的牧羊人能够做到亡羊补牢,将损失控制在了一定的范围内,仍然是一次相对较为成功的案例。然而现实中,相当一部分企业大有掩耳盗铃的做法,即使安全厂商拿着证据告知其已被入侵,却仍然不承认也不愿意和他人共享黑客的攻击方式,从而助长了黑客的嚣张气焰。
思考一:高高筑起的栅栏为什么没有挡住狼的入侵?有什么改进措施么?
笔者:在万物互联时代,边界防御的模型已经难以适应网络安全的需要。在放羊的过程中,羊群失去了栅栏的保护,但是却要面临更复杂的威胁。现在,各种各样的智能设备都可以接入企业内网,网络边界已经被无限放大了。改进的手段可以在羊圈的入口部署能够深度识别羊和狼的设备,也就是加入深度包检测、可视化等检测手段。用网络安全圈比较流行的话来说,就是下一代安全架构。
思考二:倘若牧羊人利用数只牧羊犬放羊,那么狼的入侵还会那么容易么?
笔者:如果放在网络安全防御的模型中,牧羊犬就是一种检测手段,用于检测未知威胁。在这个故事中,即便是狼披着羊皮,牧羊犬也可以利用灵敏的嗅觉,轻易分辨出来。
互动:在这个故事中,还有什么方式可以降低狼入侵的可能性?欢迎读者在公众号留言告诉我们。
联想:以下这些初创安全厂商可是防御未知威胁的好手(只列举部分厂商)。
自适应安全:
青藤云安全
威胁情报:
微步在线
数据安全&大数据风控:志翔科技
更多阅读:
本文由中国软件网(www.soft6.com)原创发布,未经许可,禁止转载。
报名请点击“阅读原文”