今天,APT(高級(jí)持續(xù)性威脅)攻擊已經(jīng)不再是新鮮話題,但卻仍是令整個(gè)安全業(yè)界頭疼的問題。作為將眾多滲透技術(shù)整合在一起實(shí)現(xiàn)的隱秘性攻擊手法——APT攻擊憑借特征未知、隱蔽性強(qiáng),持續(xù)時(shí)間長等特性,令傳統(tǒng)的安全防護(hù)解決方案幾乎全部失效。那么誰又能有效阻擊APT攻擊呢?目前來看,沙盒(模擬一個(gè)虛擬用戶環(huán)境)無疑是最有效的方法之一,因?yàn)槠鋽財(cái)嗔薃PT攻擊的“生命鏈條”。
為何說沙盒可以斬?cái)郃PT攻擊的“生命鏈條”?在解答這一問題之前,我們先來看一個(gè)典型的APT攻擊過程,大約分為五步:
第一步,攻擊者會(huì)盜用一個(gè)企業(yè)的供應(yīng)商或者合作伙伴的賬號(hào),從而達(dá)到訪問企業(yè)內(nèi)網(wǎng)的目的;
第二步,攻擊者利用自制的攻擊工具(利用已知的和0day等未知的安全漏洞),在企業(yè)的某一臺(tái)服務(wù)器或PC上種下木馬病毒;
第三步,該木馬會(huì)在企業(yè)網(wǎng)絡(luò)中不斷滲透,尋找企業(yè)關(guān)鍵的數(shù)據(jù)庫,盜取包括企業(yè)核心數(shù)據(jù),員工ID、信用卡密碼、手機(jī)號(hào)等重要信息;
第四步,通過FTP、郵件、甚至是更加隱秘的方式,不斷地把這些數(shù)據(jù)發(fā)送給攻擊者;
第五步,整個(gè)攻擊過程大約持續(xù)數(shù)個(gè)月,甚至是半年/一年。
這五步相互關(guān)聯(lián),也就形成了APT攻擊的“生命鏈條”。而其中最關(guān)鍵的當(dāng)屬第二步,即攻擊者利用0day等未知漏洞攻陷企業(yè)服務(wù)器或PC,該攻擊方式隱蔽性強(qiáng),傳統(tǒng)的入侵防御系統(tǒng)、防病毒系統(tǒng)、以及web應(yīng)用防火墻等均無法感知;而當(dāng)攻擊者完成“突破”之后,還要經(jīng)歷滲透(包括提權(quán)與遷移),竊聽,偷數(shù)據(jù)等過程,即APT攻擊需要一定的持續(xù)時(shí)間。由此不難看出,如果能夠打破APT攻擊隱蔽性和持續(xù)性這兩個(gè)特性,也就能斬?cái)嗥?ldquo;生命鏈條”,即可有效阻止APT攻擊,而沙盒就具備這樣的能力。
沙盒,即為一些不可靠的程序提供試驗(yàn)而不影響系統(tǒng)運(yùn)行的環(huán)境,有時(shí)也被稱作沙箱。
對(duì)于基于0day的APT攻擊,傳統(tǒng)的基于簽名的檢測方式確實(shí)難以識(shí)別,而通過沙盒所打造的虛擬運(yùn)行環(huán)境,我們即可通過其“行為”來判斷一個(gè)文件、一個(gè)訪問等是惡意的還是善意的,從而有效阻止APT攻擊。舉例來說,當(dāng)一個(gè)文件在虛擬的沙箱中運(yùn)行時(shí),如果我們發(fā)現(xiàn)其修改了注冊(cè)表、刪除了文件,或是自身創(chuàng)造出了新的文件,亦或是試圖訪問惡意網(wǎng)站,并下載一些病毒和木馬等等,那么即可確定這個(gè)文件是惡意的,即使我們現(xiàn)在沒有其特征碼,也可以防御它。與此同時(shí),我們還可提取其“特征碼”,在第一時(shí)間封堵這一未知(0day)威脅。
此外,沙盒還可快速發(fā)現(xiàn)網(wǎng)絡(luò)中的安全隱患,比如有一臺(tái)服務(wù)器/PC中了木馬,其可快速找到這臺(tái)設(shè)備,并且處理它(或隔離它),從而打斷APT攻擊的持續(xù)性。
通過上述介紹我們不難看出,沙盒的確是目前阻擊APT攻擊的最有效方法之一,其通過“行為”識(shí)別,打破其隱蔽特性;通過快速發(fā)現(xiàn)安全隱患(將其隔離,修補(bǔ)漏洞),打破其持續(xù)特性,從而斬?cái)嗔薃PT攻擊的“生命鏈條”,讓企業(yè)的信息安全更有保證!