摘要: “漏洞随时都会产生,当漏洞出现时,你能够应对么?” 3年前,首例APT攻击病毒Stuxnet出现后人们被震惊,安全世界因此而轰动,但随着时间的流逝,APT似乎在慢慢的趋于“平淡”。 2年前,人们谈论APT时认为“今天的APT攻击技术会成为明日攻击的标准手法”。...
“漏洞随时都会产生,当漏洞出现时,你能够应对么?”
3年前,首例APT攻击病毒Stuxnet出现后人们被震惊,安全世界因此而轰动,但随着时间的流逝,APT似乎在慢慢的趋于“平淡”。
2年前,人们谈论APT时认为“今天的APT攻击技术会成为明日攻击的标准手法”。
而今,APT攻击已经在开始侵袭更多目标。某金融企业数据备份服务器,日常很少有人维护,各类漏洞的补丁就更无从被及时封堵。而就是这样一台服务器不仅能连接互联网,还能加入公司网络。对于恶意攻击者而言,这是绝佳的攻击跳板啊:扫描并暴力破解服务器的弱口令,感染DLL文件下载恶意代码,远程控制窃取机密信息,删除入侵痕迹长期潜伏,随时作为攻击跳板,利用零日漏洞进入公司内部网络。APT往往都是从你所忽视的环节发动攻击。
据统计,去年针对性攻击增加了42%,有些攻击在243天后才被发现,66%的数据泄漏在30天甚至更长的时间都未被发现,系统修复需要耗时4个月的时间。
以前人们总以为只有大型企业里才有APT攻击者所需要的高价值数据,但实际上中小企业也正在成为APT攻击者的目标。据统计,2012年在遭遇APT攻击的企业里,大型企业占据了50%,企业规模小于250人的企业占据了31%,而在2011年这个数据还仅仅为18%,规模小于250人的企业被攻击的次数显著增加。中小企业薄弱的安全防护体系,使得攻击者发起攻击的难度降低,这种广泛撒网的方式使得攻击者同样能够获得可观的有价值数据。这意味着,除了大型企业外,中小企业也在成为攻击的主要目标。
赛门铁克大中华区信息安全技术支持部总监罗少辉表示,赛门铁克正在从端点、网关以及数据中心,结合其全球智能情报网络,帮助企业抵御APT攻击。
罗少辉,赛门铁克大中华区信息安全技术支持部总监
马蔚彦,赛门铁克首席系统安全工程师
端点:斩断伸向个人电脑的黑手
赛门铁克专属的网络入侵防御系统阻止攻击者通过网络连接到个人电脑并展开攻击。赛门铁克新一代扫描技术在可疑文件(包括没有指纹的文件)开始运行和窃取数据前就将其拦截。Insight技术能够及时评估文件的安全性,以此拦截针对性攻击。SONAR能够监控所有在端点上运行的软件,对有可疑行为的软件进行拦截。而SMR技术则能在几秒钟内将根深蒂固的病毒连根拔除。
对于Mac系统,Network Threat Protection技术能够防御路过式下载,阻止社交工程学攻击,对感染的系统进行快速检测,阻止利用社交媒体的攻击,针对未修复的漏洞提供防护,在威胁植入系统前将其拦截,保护数据不被泄漏。
网关:摧毁APT攻击堡垒
在赛门铁克所发起的恶意软件活动检测中发现,已经部署了防火墙、IDS、终端防病毒产品的中等规模企业里,平均有5-10台受到恶意代码感染,且主要为僵尸木马。僵尸主机平均受到2-10台恶意命令控制服务器的控制,每个僵尸主机平均每天接受10-100次恶意命令连接。僵尸木马主机是APT攻击建立的第一个堡垒。
调查显示,大多数针对性攻击是通过电子邮件发送的,在附件中嵌入零日攻击成为流行的攻击方式。Symantec Messaging Gateway的Disarm技术能够移除所有活动内容,重建干净版本,实时发送“干净”的附件,保护用户永远不会遭受攻击。2013年Disarm技术拦截了98%的零日漏洞威胁。
赛门铁克Email Security.cloud能够识别可疑文件的异常现象(发送行为、消息属性、社交工程学欺诈、附件方式),预测恶意软件的演变,检测恶意软件的最终地址,适时提供有效的防护策略。Web Gateway利用来自成百上千台计算机的匿名遥测数据来构建一个大规模的文件、计算机和互联域,追踪世界上每一个二进制码,即使只有一个赛门铁克用户遭遇威胁,也能精准地将威胁识别并拦截。
数据中心转型应对新安全挑战
X86平台以Windows和Linux为主,系统脆弱性加大,虚拟化技术导致网络边界模糊,传统边界防护力度减弱。而病毒威胁正在随资源整合而集中转向后端存储,存储在成为病毒防护的新战场。
Symantec Critical System Protection 针对现实和虚拟攻击提供主动式防护,不放过每一次攻击。CSP能够加固保护虚拟基础设施,保护域控制器,满足PCI法规遵从需求,阻止零日攻击,屏蔽嵌入式系统。
稿源:赛迪网
