2、震网攻击
遭受震网病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分地利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此为第一道攻击跳板,进一步感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心地逐步扩散,利用多种漏洞,包括当时的一个0day漏洞,一点一点的进行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙地控制了攻击范围,攻击十分精准。
从以上两个典型的APT攻击案例中可以看出,对于APT攻击,现代安全防御手段统统失效,零日漏洞和加密通信躲过了以特征匹配为手段的主流网络安全产品,长期的持续性攻击让基于时间点的检测技术难以奏效;以内部机器为跳板,绕过边界防御,利用内部可信的安全策略。APT使用的这些方法绕过了传统安全方案,并长时间地潜伏在系统中。
大数据分析有效防御APT攻击
企业的计算机网络系统产生大量日志数据,包括上述核电站计算机系统,只是与公网物理隔离,内部依然是一个庞大的网络。大数据可以针对所有的系统运行记录进行分析,可以弥补时间点检测技术的不足,发现网络攻击的蛛丝马迹。在这个基础上,结合传统的检测技术,可以组成基于记忆的检测系统,这是由国内安全厂商启明星辰提出的思路。
RSA曾提出过三种方法应对APT攻击:一是利用虚拟化带来的预防机制;二是一旦出现任何攻击,可将对服务器进行重置;三是使用虚拟监控,利用虚拟化平台搜集数据,并进行分析。事实上,通过预防机制应对APT,只能对已知威胁有效;发现攻击对服务器重置属于补救措施,亡羊补牢只是为了降低损失;利用虚拟化平台收集数据并分析,是基于大数据技术的方法,也是应对APT攻击的关键。
应用大数据分析,需要强大的数据采集平台,以及强大的数据分析处理能力。最理想的情况是建立全球化的数据分析引擎,在全球范围内进行相关数据的关联性分析。这样就能克服信息分布孤岛带来的调查取证难的问题,更容易发现攻击。针对具体的网络、系统和应用的运行数据采集分析,捕获、挖掘、修复漏洞;对全球已经发生以及正在发生的网络攻击行为进行记录,并将这些海量的数据经过多维度的整合分析,自动生成漏洞库、黑客们行为特征等数据库。对于具体的网络系统,全球化的安全监测,运用大数据技术,可以提前发现攻击,提前阻止。
