你的公司有办法对抗目标攻击吗?
任何一家公司都或许会因为各种原因而被APT攻击(即目标攻击)。其中最大的一个原因可能就是为了窃取公司的专属资料,你公司的许多机密资料可能非常的有价值,所以知识产权:专利通常是第一个会想到的目标。还有一些其他的目标价值:例如金融资料、员工和客户的个人资料、待完成的销售、财务交易和法律行动的相关资料等。当然,一家公司被当成目标被攻击的原因也许跟他们的产品或资料并无关系。
APT攻击的起点
攻击者可能会针对一家公司,好利用这新得手的网络基础设施来发动对其他组织的攻击。在某些案例中,攻击者会利用受害者的电子邮件账号来增加他们的鱼叉式网络钓鱼攻击邮件的可信度。
另一个被当成目标的原因可能跟该公司所连接的网络有关。小公司可能会是大公司的供应商之一,因为经常与大公司有网络联系。对攻击者来说,通过这些小公司的网络进行攻击会更加容易也更为隐秘,不会在大公司的网络内留下痕迹。
此外,一家公司也可能单纯的被当成跳板,用来掩盖攻击者和目标之间的攻击路径。
面对APT攻击我们做些什么?
不幸的是,时间和机会都在攻击者这一边。不管公司的防御有多好,只要一个设定错误或某个使用者打开恶意档案或者链接到有问题的网络,就可能会让公司受到影响。一旦攻击者进入公司网络,受害目标必须要能尽快的加以侦测和控制。在这时间点,可以进行完整的监控调查来看看攻击者去过哪些地方和造成哪些损害。
公司要怎么面对APT攻击?
这个过程可能非常耗时,公司可以先专注在两个方面来将损害降到最低程度,让事件调查可以尽可能的快速和成功。第一个方面跟基础设施有关,适当的记录政策,网络分割,加强使用者的安全政策和保护关键资料。第二个方面和人有关,公司要有自己已经受过训练和运作正常的威胁情报小组和事件调查小组。
为了帮助改善安全状态,渗透测试对公司来说可能会很有帮助。从测试结果里可以得知很多事情,不管是否真的需要。最起码要做网络测试,如果可以的话,也要进行社交工程和实体安全测试。一旦完成,渗透测试可以用来作为事件调查小组的训练工具,并将所发现的资料提供给公司,有助于了解整体的安全性问题。
安全是种投资
这些准备工作是有成本的,但它们和一次严重的APT攻击调查成本比起来还是小巫见大巫。严重的APT攻击调查成本除了进行调查所需的金额外,还有难以计算的成本,像是失去合约、投资者失去信心或是法律诉讼。因此,对公司来说,忽略掉可能成为APT攻击受害者的风险成本实在太昂贵了。所以,我们总结了几种企业可能面对的攻击:
一、社交工程电子邮件攻击
小批量:社交工程电子邮件每次的寄送量都不大,只寄送给目标受害者,不会像垃圾邮件一样出现成千上万的数量。
针对性:社交工程电子邮件的主旨和附件文件名都会针对目标受害者来特别制作,以求符合现实。
不重复性:社交工程电子邮件不会重复寄送给不同的单位。
二、APT恶意软件≠恶意软件攻击
1. 针对特定目标进行客制化,因此APT恶意软件占全体恶意软件数量相当小
2. APT恶意软件具有地域性
3. 政府机关是APT恶意软件主要来源,但也不代表其它产业可以放松APT防御机制管理与警觉性
4. APT恶意软件会出现在制造业、金融业等,这代表APT攻击是全面性的攻击。
三、资讯安全事件调查结果
1. 高科技、关键基础设施、金融业攻击来源与政府单位相似,且受攻击程度不亚于政府
2. 中小企业受到民间组织型黑客的攻击情形严重,易造成巨额损失
3. 自动化恶意软件清除工具只能看到冰山一角的问题,过度依赖只是一种恶性循环
趋势科技建议企业,寻找信任且专业的资讯安全伙伴可以有效的协助共同检视企业或机关中的安全死角,成为企业在面对APT威胁时最值得信任的作战伙伴!
欲了解APT攻击的详细资料,请点击链接:http://www.trendmicro.com.cn/apt/
