APT威胁下的银行信息安全思考

APT(Advanced Persistenf Threat，高级持续威胁)，是指组织或者团队使用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。它是精心策划的一系列攻击手段的组合，是高度复杂的网络攻击方法。近几年APT攻击事件越来越多，如RSA信息泄露、伊朗核设施震网、中东flame病毒、韩国银行攻击等安全事件，都给目标系统造成了巨大损失，打破了传统安全攻防的平衡。人们开始意识到APT攻击的严重威胁。

APT攻击的特点

        相对于传统网络攻击，APT攻击是一个计划周密、具备完整过程体系的攻击过程。攻击的主要环节包括社会工程学、漏洞利用、逐层渗透、获取数据、回传数据或销毁数据、持续渗透和长期潜伏等。因此，APT攻击能轻易穿越传统的网络安全防护系统，给目标组织系统造成巨大危害。从攻击过程来说，APT攻击具有以下特点(见下图)。 

        社会工程学攻击。攻击者通过社会工程学对组织进行渗透，其手段包括利用社交网络、供应商身份、合作伙伴关系获取目标组织重要信息，为进一步的技术攻击打下基础。

        技术渗透。技术渗透主要是在社会工程学攻击获取的信息基础之上，利用网络攻击技术渗入内部网络。与传统攻击不同，APT攻击通常使用Oday漏洞来逃过传统的防护系统检测，控制目标系统，并以此为跳板进行深度渗透。

        持续渗透和信息泄露。在获得内部员工或系统管理员权限之后，攻击者一方面会以此为跳板，持续在组织内部更深入地渗透核心资产，并建立数据外传通道，如通过VPN加密通道直接外传或通过社交网络上传国内外的公共站点，再进行下载，降低被发现的风险。

        潜伏。在完成渗入核心资产目标之后，攻击者往往会潜伏在系统中，一方面可以持续获取目标系统的信息，另一方面也可以在必要的时候根据需要销毁目标系统的数据。

        隐蔽性。在APT攻击过程中，利用Oday漏洞、绕过防护系统、植入未知恶意代码、使用加密信道传输数据等行为都具有极强的隐蔽性，整个过程可以在安全人员毫无知觉的情况下完成。

APT对商业银行的威胁

        商业银行作为社会经济的重要组织和核心资产，其资产价值较高，客观上容易成为攻击目标。但是其安全防护仍然依赖于传统的防护体系，难以应对APT攻击的威胁。下文从三个层面来分析APT对商业银行的威胁。

        从安全技术防护体系来分析。APT攻击对现有的信息安全防护技术构成了颠覆性的挑战。传统安全防护系统是基于静态签名机制的防护系统，对APT所使用的复杂攻击手段(如Oday漏洞)不具备检测能力，因此，传统的安全防护系统在APT攻击下失效。目前，国际上公认的有效防护APT攻击的系统是美国安全厂商fireeye的MVX(Multi一Vector Virtual Execution engine)，但是该产品对我国禁售。国内安全厂商在APT攻击方面也取得了一定成果，但是离成熟的商业应用还有一定距离。

        从安全管理角度来分析。APT攻击是综合利用目标组织的安全管理缺陷和安全技术防护弱点来达到攻击目标的。因此，攻击者还会利用社会工程学对商业银行的组织系统进行渗透，获取敏感信息。商业银行内部部门和业务类型众多，且为满足业务要求需要与外部保持充分的交流和沟通，各种关键信息在组织内部以及外部频繁流动，如果没有建立完善的安全管理体系并对员工进行安全意识培训，难以应对有计划的社会工程学攻击。比如成熟的信息安全管理体系标准ISO27001，在国内中小商业银行中并没有被广泛采纳。鉴于这种现状，精心策划实施的社会工程学攻击很容易达到攻击目的，其造成的危害甚至超过安全技术攻击。

        从业务发展角度来分析。现代商业银行业务类型和业务量飞速增长、行业竞争加剧、信息技术快速演进，在这些因素的综合影响下，银行业务接入点、业务支撑网络、业务规模、业务变更频率、信息技术复杂度和业务复杂度等都大大增加，这些可能导致安全风险的因素发生快速的、动态的变化，但是原有的风控体系难以有效控制这些快速变化的风险。当安全风险控制与业务发展脱节时，会暴露更多的脆弱性，为攻击者提供更多的攻击机会，威胁业务安全。

APT攻击防护思考

        虽然目前国内尚无成熟的针对APT攻击的防护产品，但是采取一些措施仍然可以降低这种威胁。APT攻击的特点决定了其攻击是一个相对传统攻击来说更漫长的过程，这给APT防御者提供了较长的检测和识别时间。无论攻击者采用何种方式，其攻击过程至少包含四个环节：信息获取，APT攻击通常都需要事先通过社会工程学获取内部信息，提高攻击的效率，降低攻击过程被发现的风险；获得网络接入点，这是进行攻击的必要措施；采取特定的攻击方式进入目标系统，获取核心数据资产的访问权限；数据处理，攻击者获得目标数据之后必须采取办法将数据传出，例如使用加密数据通道。

        那么，我们可以针对这些环节加强保护措施，增加攻击难度，延缓攻击进程，赢得防护时间。

        ●针对社会工程学攻击最有效的防护方式就是进行信息安全管理体系的建设(如ISO27001标准)，加强内部安全管理制度的建设和执行力度，对员工进行安全意识培训。

        ●网络接入控制的主要手段就是进行严格有效的终端安全管理，必要的资产管理、防病毒软件、DLP、上网行为管理、网络准入控制以及程序白名单管理可以最大化地增加攻击者利用合法终端作为跳板实现攻击的难度，降低风险。

        ●无论多么高明的攻击者，总会在攻击过程中留下蛛丝马迹，建立异常访问告警和审计机制可以增加识别这类攻击行为的机会。

        ●代码质量也是事关安全的重要因素，加强对开发人员的安全编码培训或进行代码审计，可以有效降低代码中存在的漏洞数量，增加攻击难度。

        ●建立统一安全管理平台。一个攻击可能会在不同的设备上产生多个看似孤立的事件，安全人员可能无法从大量的日志中发现这些事件的相关性，统一安全管理平台能够通过关联分析发现这类攻击。

        ●流量异常分析和传输通道异常分析，对异常流量和异常加密隧道建立的监测可以识别这类行为。

        尽管APT攻击使商业银行面临的信息安全风险比以往更严峻，在防护方面也面临缺少立竿见影的技术的困境。但是，商业银行在应对APT防护方面还可以充分利用已有的安全防护产品，针对APT攻击的各个环节，优化安全策略，加强检测和防护，对不同价值的资产提供不同的防护强度，提高APT攻击的门槛，降低攻击发生的风险。另一方面，APT攻击过程不是一个单纯的技术攻击过程，它是一套完整的攻击体系，对应的信息安全防护也应该是一套体系，因此，进行信息安全管理体系建设就更显重要。

(文章来源：《金融电子化》杂志)

扫码即可手机
阅读转发此文