现在智能手机、平板电脑和其他移动设备的快速普及,令它们已经成为恶意软件的新目标。在面向676位科技资讯人士与安全专家的大调查中了解到,移动设备甚至已经成为“高持续性威胁(Advanced Persistent Threat,APT)”的重点攻击目标,并尝试窃取人们的敏感性资料。
APT攻击开始瞄准员工的移动设备
在调查中大约三分之二的受访者表示,当他们在企业内部使用移动终端时都曾受到过恶意软件的攻击,并有40%的受访者指出,他们的移动终端曾沦为专门锁定特定个人,以获取公司资讯访问权等APT之类攻击的入口点。
在一份由资料安全和隐私权策略咨询机构Ponemon Institute推出的,名为《2014年终端风险状况》的调查报告中指出,现在平均63%的企业员工都在工作中使用自带的移动终端设备,其中IT管理人员预测在未来3年内,有必要进行管理的移动终端数量将从平均5000台上升到7000台。
“就在许多IT安全人士一致希望能让终端的安全风险受到控制之时,移动平台与公有云端资源的爆炸性成长,让上述梦想变成安全梦魇,”该调查报告声称。并且受访者认为“现在智能手机等移动设备已然超越PC电脑和笔记本电脑,成为IT环境中的最大潜在安全风险。”
通过这项调查,有超过半数的IT安全专家是当发现在网络上有异常渗透的流量时,才得知已经有APT在攻击自己的终端了。而大约四分之一的受访者表示,他们是收到移动终端上安装的安全软件所发出的警示,才得知有被入侵的可能的。同时还有21%的人,是被直接被执法单位通知后,才知道已受到APT攻击了。
APT攻击通常会从发给员工钓鱼邮件、Web点击劫持(Web-based Click-jacking)、诈骗签名代码或数字证书等做为攻击的起点。而目前被认为具有高IT风险的前三名应用程序包括:Adobe,谷歌文档和微软的操作系统和应用程序。
超过一半的调查受访者都承认,他们倾向于“自带设备上班(BYOD)”计划,因为该计划允许员工使用自己的移动设备进行工作,并且约超过半数的人都是靠自愿安装终端安全软件来保护BYOD行为的。
该调查还询问了与第三方云服务相关的感知风险,其中54%的受访者表示,他们的公司采用了“集中式的云安全策略”,而有40%的受访者则称他们公司在前年就已开始部署相关云策略了。
根据该报告介绍,由于有保证移动终端安全接入等现实问题,企业IT部门的安全预算已经面临不得不增加的压力,然而即使这样也只有44%的企业考虑在2014年增加整个公司的IT安全预算,这些恐怕还是远不够的。
技术类的调查受访者都期望所处企业在2014年可以在以下几个方面进行投资,包括应用控制、防止数据丢失、移动设备管理(MDM)、设备控制和大数据分析等。而且对于移动设备管理,受访者们都认为需要对恶意软件的检测和预防,配置和访问管理等方面进行重点加强。
2APT攻击的检测防御
APT攻击的检测防御
APT(高级可持续性渗透攻击)简单来说,就是针对特定组织所作的复杂且多方位的网络攻击。APT攻击主要集中于间谍与窃取机敏数据方面,其影响程度虽大,但攻击范围很小,这也使得搜集有用的证据变得相对较为困难。攻击者除了使用现成的恶意程序外,也会使用定制的恶意组件,并建立一个类似殭尸网络的远端控制架构,并将自己隐藏其中,形成一种高度安全的操作环境。网络犯罪和网络间谍之间的界限变得越来越模糊,而由于使用一般的恶意程序、漏洞与架构,也使得要区分与调查这类案件越来越困难。
防止APT攻击员工移动设备
APT攻击可能会持续几天、几周、几个月,甚至更长时间。APT攻击可以从搜集情报开始,这可能会持续一段时间。在这期间可能需要搜集包含技术和人员情报等信息。情报收集工作可以塑造出后期的攻击,而后期攻击可能很快速,或者很漫长。
例如,试图窃取商业机密可能需要几个月的时间,针对安全协议,应用程序弱点,以及文件位置等信息收集所需情报,但当计划完成后,只要一次几分钟的执行时间就可以了。在其他情况下,攻击可能会持续较长的时间。例如,成功部署Rootkit到服务器后,攻击者可能会定期传送有潜在价值文件的副本给命令和控制服务器进行审查。
那么对于APT攻击的检测防御一般采用怎样的解决方案呢?下面根据它们所覆盖的APT攻击阶段不同,将其分为以下四类:
首先是恶意代码检测类方案。
该类方案主要覆盖APT攻击过程中的单点攻击突破阶段,它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑,从而来突破目标网络和系统防御措施的,因此,恶意代码检测对于检测和防御APT攻击至关重要。
其次为主机应用保护类方案。
该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码,这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此,如果能够加强系统内各主机节点的安全措施,确保员工个人电脑以及服务器的安全,则可以有效防御APT攻击。
还有网络入侵检测类方案。
该类方案主要覆盖APT攻击过程中的控制通道构建阶段,通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。安全分析人员发现,虽然APT攻击所使用的恶意代码变种多且升级频繁,但恶意代码所构建的命令控制通道通信模式并不经常变化,因此,可以采用传统入侵检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。而伴随业务行为出现新的变化,传统的网络边界正在悄然改变。思科无边界网络能在推动员工采用技术的同时,保护公司数据、资源和员工的安全。
最后是大数据分析检测类方案。
该类方案并不重点检测APT攻击中的某个步骤,它覆盖了整个APT攻击过程。该类方案是一种网络取证思路,它全面采集各网络设备的原始流量以及各终端和服务器上的日志,然后进行集中的海量数据存储和深入分析,它可在发现APT攻击的一点蛛丝马迹后,通过全面分析这些海量数据来还原整个APT攻击场景。大数据分析检测方案因为涉及海量数据处理,因此需要构建大数据存储和分析平台,比较典型的大数据分析平台有Hadoop。
综上所述,为了提升企业在BYOD新形势下的安全防御能力,就需要及时了解逐渐兴起的APT攻击对企业带来的安全隐患。同时通过积极的投资部署,来应对APT攻击,并且予以瓦解。在个人移动终端已经成为工作、社交等重要平台之时,建立更为有效的安全防御体系,来防止APT攻击对员工移动设备的入侵渗透。
