IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

趋势科技提醒企业采取长期而有效的威胁管理

2012年02月02日
中国IT运维网/四方

  全球服务器安全、虚拟化及云计算安全领导厂商趋势科技提醒广大企业用户,近期针对频发的黑客利用复杂精准的方式对特定对象发动高级持续性威胁(Advanced Persistent Threat,APT)攻击,企业应采取长期而有效的威胁管理以应对从而避免成为APT攻击的受害者。
  众所周知,黑客发动APT的目的是为了窃取机密情报,虽然此种威胁形式已谈不上是一种创新之举,但在APT威胁悄然来袭的今天,一些企业数据泄露的信息开始频频涌现,安全隐患堪忧。那么,企业如何才能清楚的认识到这些长期的、有计划、有组织的“网络间谍”行为,同时动用自己的安全防御手段,做到有的放矢呢?


黑客利用APT对目标进行着长期的、有计划、有组织的“网络间谍”行为

企业机密正成为APT攻击的首选目标
  美国著名军事预测学家詹姆斯•亚当斯在《下一场战争》中预言:“在未来的战争中,计算机本身就是武器,前线无处不在,夺取作战空间控制权的不是炮弹和子弹,而是计算机网络里流动的比特和字节。”
  其实这场战争早已开始,早在1998年,就有苏联黑客针对美国官方等单位发动攻击。而根据美国政府发布的数据显示,仅2008年这种有组织的黑客攻击行为就造成美国3980亿美元的经济损失。而这种损失还在加剧,这份报告还指出了,时至今日,只有百分之十三的企业拥有应对攻击的能力。
  在信息安全领域,APT已成为人尽皆知的“时髦术语”,越来越多的企业开始对其高度关注,甚至一些大型企业已经成为APT攻击的“俘虏”。2010年影响范围最广的莫过于Google Aurora(极光)攻击,业界对此进行了深入的报道。其过程主要由于Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件,导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取的严重后果。其次,还有2011年2月出现针对全球主要能源公司的“夜龙攻击”。还有,国际著名的安全公司RSA的SecurlD令牌技术文件外泄事件,这导致了全球上千万的SecurID的使用者都感到极大的恐慌。我们可以确定,未来还将会有更多重大安全事件……
  现在,几乎所有的“定点”攻击行为都与商业利益有着联系。据新加坡《联合早报》之前的报道,马来西亚财政部、国会等51个政府网站陆续遭黑客攻击,同时这名黑客在网上宣称,他们取得沙巴旅游局网站逾3000名用户的资料。趋势科技近期也发现了一个正在进行中的APT攻击,并将其称之为“LURID”。该攻击已经成功入侵了位于61个不同国家和地区的1465台电脑。趋势科技已经从中确定了47个受害者,包括外交单位、政府部门,甚至与太空工程有关的政府机构和公司,以及研究机构。
  以往黑客受雇某些极端政治团体,使用这样的APT手法,主要是针对国家层级的对象。但从过去一年半以来,从数起类似的安全事件中,却可以发现,包含Yahoo!、Google、RSA、Comodo等大型企业或网络安全公司,以往我们认为不是黑客采用APT手法攻击的对象,也都陆续成为受害对象。这也充分证明了,企业已经是继政府之外,黑客采用APT手法的主要攻击对象。

“低调且持续性”是APT攻击最大的威胁
  趋势科技集合全球几百名工程师一起,通过跟踪不同种类APT攻击行为的过程,得出了一个“令人担忧”的结论。首先,众多企业机构惨遭“不测”的一个主要原因在于它们没有发现真正的漏洞所在并加以修复。其次,由于APT攻击具有持续性,甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及在渗透到网络内部后长期蛰伏,他们不断收集各种信息,直到收集到重要情报。更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和企业进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。
  趋势科技中国区资深产品经理林义轩表示:“以往这类攻击手法都针对政府和某些政治狂热份子为主,后来这种攻击被黑客广泛使用在一些大型企业的核心资料窃取上。这种APT的攻击手法,因为是隐匿自己,针对特定对象,长期、有计划性和组织性的窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是借助“被控主机”当成跳板,持续的搜索,直到能彻底掌握所针对的目标人、事、物。“
  那么,这种间谍行为的潜伏期有多长呢?
  针对“LURID”,趋势科技指出,“LURID Downloader”通常也被称为“Enfal”,这是一个众所皆知的、长期存在的恶意软件家族。这只恶意软件,早在2006年就曾经被用在目标攻击中。到了2008年,一系列的记录显示了使用这种恶意软件的攻击目标包括政府机构,非政府组织( NGO),还有国防部承包商和美国政府雇员。在2009年和2010年,多伦多大学的研究人员和趋势科技安全威胁研究员Nart Villeneuve共同发表了有关两个间谍网络的报告,被人称为“GhostNet”和“Shadow-In-The-Cloud”,网络中包括了Enfal木马链接的恶意软件和外界控制代码。同时,根据“维基解密”的信息和一系列被称为“Byzantine Hades”的连续攻击行为发现,这系列连续攻击,自2002年以来就一直在发生。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

ARM架构能否撼动x86的地位成为处理器主流?
ARM架构能否撼动x86的地位成为处理器主流?2012年10月29日,AMD宣布除了原有的x86处理器之外,该公司将设计面向多个市场的64...
第三季度服务器市场盘点:思科和戴尔是赢家
第三季度服务器市场盘点:思科和戴尔是赢家根据Gartner和IDC的数据显示,在第三季度服务器市场中,戴尔营收和出货量双双上涨...

本类热点