APT原理 检测及防护.pdf

有效测试APT 防护 ——APT 定义，处理异议，测试利用方法 1.摘要： 观望网络安全市场的人会注意到，号称能够对抗‘Advanced Persistent Thr eats’ (APTs) （高级持续性威胁）的保护性产品会迅速崛起。随着有针对性的攻 击获得更多关注，安全产品开发者将更多的注意力放在了新的防御技术的实施 上，这就需要测试针对新威胁时产品的功效。然而，与一般产品测试相比，APT s 向测试者发起了更多挑战。在这种情况下，问APT 的保护性能否得以测试，如 果能的话，是否具有实际操作性。 2.什么是 APT? 虽然”APT”这个词如今已经应用普遍，但是还是没有针对它的具有普遍接 受性的定义，这就极大地导致了测试时的问题。 在某种程度上，APT 已经成为了今年的流行词，但供应商，评论者和用户根 据不同的环境和目的使用这个词汇。这种定义上的困难只会增加混乱。 比如，TechTarget 定义如下： “高级持续性威胁（APT ）是一种由未经授权的人在很长时间不被发现的情 况下获得网络访问权的网络攻击。” 根据这一定义，样本要想成为 APT ，必须做到不被发现。如果产品检测出威 胁，那它就不是 APT。 这就导致了必然结果是测试 APT 的唯一有效结果是什么都发现不到（除非检 测样本不是 APT ）。 尽管这一定义因此而显著地简化了 APT 的普遍性测试，但这也使APT 测试 成为了一个非常简单（不存在）的任务，因此需要寻找一个更为实际的定义。下 面是一些其它的相当有趣的定义： 维基百科： APT 是一系列隐身和持续的电脑攻击过程，经常被人为策划为针对某一实 体。APT 通常针对出于经济或政治动机的组织或国家。APT 过程需要长时间的高 度隐蔽性。 NSS 实验室： NSS 实验室对有针对性的攻击采用另一个字母缩写，指的是 Targeted Persi stent Attack (TPA) （有针对性的持续攻击）。 针对性：攻击者出于某一具体原因选择该机构。 持久性：这种攻击能够使用多个命令控制渠道和攻击向量，不断增加它在你 I T 系统和资源里的渗透力。它也是顽固的，反抗整治举动。 攻击性：尽管“威胁”这个词汇在用于 APT 的内容里时有些模糊，但在这里 没什么是不清楚的。这是一次真正的攻击，它可能有几个不同的阶段。 Gartner: 高级威胁：任何能够通过你现有的防御的攻击。 持续威胁：任何成功不被发现并且持续造成破坏的攻击。 高级持续威胁：任何能够通过现有防御，不被发现并持续造成破坏的攻击。 这些定义的问题在于，一旦再次使用，它们就被定义为 APT 的核心。这些定 义是的 APT 防御和测试没有用处。其他的定义集中在其他方面： RSA ： “一个高级持续威胁是针对高价值资产或物理系统的有目标性的攻击”。虽 然这是一个可以容易地确定攻击是否属于这一类的有用定义，但它不能解释 APT 中“高级”和“持续性”属性的意义。 Damaballa: “‘Advanced Persistent Threats (APTs) （高级持续威胁）属于针对经济 和政治目标的网络犯罪范畴。为了成功 APT 需要在延长的操作时间里具有高度的 隐蔽性。 高级性--在这些威胁背后的犯罪者利用计算机入侵技术的全谱和··· 持久性--犯罪者会优先处理具体的任务，而不是投机取巧立即寻求经济增 益。 威胁--意味着在攻击中有协调性的人为参与，而不是一段盲目的自动化代码··· 试图在抽象的层面上定义 APT 时做出了很多定义，但是很少能够帮助测试者 归类测试场景。在这一点上最好的选择就是改变范围，沿着 RSA 定义线路得到一 个更好的界定和更实用的针对有目标性的攻击做出的定义。 “APT”和“有针对性的攻击”经常同义地用于新闻界和APT 供应商中，因 此坚持在测试方案中更容易地定义“有针对性的攻击”是有意义的。 为了测试的实用性目的，定义针对性攻击如下： 有针对性的攻击是指针对有限的预先选定的高价值资产或物理系统并且有明 确的数据泄露或损害的目的的感染方案。 3.APT 攻击是什么情形？ 对一个有针对性的运作流程