WEB安全与防护

APT攻击是不可能被有效防范的?

换一种角度,APT其实可以理解成隐蔽性比较强的复合性安全威胁攻击。越来越依赖信息基础设施,这些设施就真的像铁路桥梁一样成为经济命脉,挖漏洞同拦路抢劫,APT成无间道,情况只会愈演愈烈。

目录

编辑

此处为开源. 帮助改进.

换一种角度,APT其实可以理解成隐蔽性比较强的复合性安全威胁攻击。

从攻击的角度看,防御体系的瓦解,内外因都有。

外因:0Day、1Day、Nday,这种利用时间差和信息差,渗透到公司安全架构中潜伏,视机发动攻击,收集有价值信息,破坏内部服务。

内因:由于内部的安全防范意识薄弱的疏忽,暴漏服务器信息,因不可描述的原因信息泄漏,给内部给安全系统撕开一个口子。

从防范的角度看

1.是否可以及时发现威胁并预警。

2.是否可以溯源威胁原因。

3.是否可以评估量化威胁影响范围。

传统的安全设备是为了保护网络信息基础设施的,认证系统、日志收集分析、防火墙、堡垒机、IDS、WAF、扫描器,都在某种程序上抵御信息泄漏和外部渗透,十八般武器,各有所长,各有所短,有没有一种以逸待劳、一劳永逸的方式解决渗透攻击,及时的响应威胁?

进攻人员利用时间差和信息差进行攻击,安防人员就要缩短时间差,先于或是及时的发现可能覆盖的0Day、NDay。而客观上,安防难点在此,看谁反应快。

扫描器厂商及时更新策略,应对流通已知的威胁,扫描本身时间上成线性,扫描需要时间消化,并且死角里出现的服务器,可能在实时的扫描范围内,或是内部人员自己就泄漏登录信息。

防火墙本身也有部署范围局限,安全资产过多,网络线路过多,安全投入不够,也不能有效的覆盖所有网络路径,IDS也同理。实时性WAF带宽和效率有上限,大数据分析系统也有算法边界。另外和安全厂商的运维开发团队沟通有时间成本,这些都是打时间差战争的敌人。

从入和出、外部信息检索等方面都需投入精力,并且硬件设备,软件系统都是有生命周期的,大量使用相同开源服务,问题暴漏是个时间早晚的问题,人写的软件多少都有问题,正源于此,让攻击手段也像雨后的野草,疯狂生长,生命力顽强。

这其实也是一场攻击者和防范者之间的智力角逐,设备就是刀叉剑姬、斧钺钩叉,除了正规的武器,还要有,炉钩子、火铲子、狼牙棒,兵来将挡、水来土掩,思维方式是武术套路,有时魔高一尺,有时道高一丈。

先不要说,安全投入足,就算一般程度的投入,是否可以有一种完备安全设备、或是软件方案可以一劳永逸呢?如果设备不要人维护,软件没Bug,不使用开源服务,大数据算法模型精准无误无边界,世界没有坏人黑产牟利,没有物理攻击自然灾害,世界和平,关键还要有,内部人员不泄漏敏感信息,不把带洞的服务器挂到外网,最好服务器也不通电,或许可以吧!否则,要做到及时发现应对,跟上软件漏洞爆出的节奏,识别渗透攻击模式,消除威胁,信大法根本不行。

为什么攻击会成功?一切软件都是有生命周期的,软件会在整个生命周期中,暴漏自身问题,这些问题有安全隐患。站在企业内部角度看,各种软件是五花八门,新老交替。在内部使用这些软件,都是服务健康的吗?

不一定。有时是因为攻击者太强了,防不胜防,有时是历史原因造成了内部环境薄弱,一旦这薄弱的环节,被潜伏者识别收集,平时悄无声息,在关键时刻进行蓄意攻击,会造成不良影和经济损失。

面临的现实是,空军也不能全用J20,坦克也不能都是99式,老装甲车皮薄速度慢。如果攻击者用一种不可描述的方式取得了机器权限,绕过监控,去一个没有在威胁情报库里记载的新域名IP下载威胁应用,然后潜伏起来,平时攻击一些内部的黑盒设备,然后继续收集信息,不会让你感觉到流量异常,在某年某月的某一天,一个最不该的时间破坏服务,掐死你的温柔。

越来越依赖信息基础设施,这些设施就真的像铁路桥梁一样成为经济命脉,挖漏洞同拦路抢劫,APT成无间道,情况只会愈演愈烈。

作者:糖果

原文链接