目前,針對(duì)性攻擊已經(jīng)成為當(dāng)下威脅企業(yè)安全的主要攻擊方式之一。它們常常隱藏在安全系統(tǒng)所生成的大量警示之下,讓攻擊者有時(shí)間入侵企業(yè)系統(tǒng),盜取寶貴的數(shù)據(jù)。
而隨著安全形勢(shì)的不斷演變,針對(duì)性攻擊手段也開(kāi)始發(fā)生變化。根據(jù)賽門鐵克的統(tǒng)計(jì)報(bào)告顯示,針對(duì)性攻擊組織的數(shù)量在逐年增加,目前已經(jīng)發(fā)現(xiàn)140個(gè)針對(duì)性攻擊組織,比2016年增加了19個(gè)。
針對(duì)性攻擊的目標(biāo)與動(dòng)機(jī)
對(duì)于針對(duì)性攻擊,攻擊者不再針對(duì)廣泛的消費(fèi)者、個(gè)人用戶或普遍的企業(yè)進(jìn)行攻擊,而只針對(duì)某個(gè)企業(yè)發(fā)動(dòng)攻擊,這種黑客組織就叫針對(duì)性攻擊組織。
而針對(duì)性攻擊組織的主要攻擊流程,第一就是情報(bào)收集。黑客組織大部分工作其實(shí)就是先做情報(bào)收集,隨后,才會(huì)選擇對(duì)企業(yè)做破壞行動(dòng),最終目的還是要獲取金錢及牟利。這些就是針對(duì)性攻擊組織發(fā)動(dòng)攻擊的主要?jiǎng)訖C(jī)和目標(biāo)。
主要攻擊手段
針對(duì)性攻擊最常用的方式是網(wǎng)絡(luò)釣魚(yú),原因與人們的工作和生活方式有著密切關(guān)系。例如,我們手機(jī)在接收郵件時(shí),只能看到郵件的名稱,但看不到郵件的域名,這一點(diǎn)往往會(huì)被黑客所利用。因?yàn)猷]件是企業(yè)員工在使用便攜設(shè)備和智能終端時(shí)最常見(jiàn)的一個(gè)應(yīng)用,同時(shí)也能接觸到企業(yè)相關(guān)數(shù)據(jù)。所以,黑客很容易利用這些漏洞對(duì)企業(yè)數(shù)據(jù)進(jìn)行攻擊,而大量移動(dòng)設(shè)備的使用和員工警惕性的放松,也是導(dǎo)致網(wǎng)絡(luò)釣魚(yú)成功率居高不下的重要原因之一。
第二種常用的方式叫水坑式攻擊。如果黑客組織想去攻擊某一個(gè)目標(biāo)企業(yè),那么,他首先會(huì)去了解這個(gè)目標(biāo)企業(yè)的員工平時(shí)都會(huì)訪問(wèn)什么類型的網(wǎng)站,甚至了解其上下游供應(yīng)商的網(wǎng)站。黑客組織的思路和目標(biāo)很簡(jiǎn)單,他們會(huì)選擇企業(yè)信任或者經(jīng)常訪問(wèn)的網(wǎng)站,尤其是允許員工訪問(wèn)的網(wǎng)站,一旦黑客無(wú)法直接攻擊這個(gè)目標(biāo)企業(yè)的主網(wǎng)站,那么,他們將會(huì)把企業(yè)員工經(jīng)常訪問(wèn)的其他網(wǎng)站作為攻擊的突破口。
據(jù)統(tǒng)計(jì),釣魚(yú)和水坑式攻擊方式加起來(lái)占針對(duì)性攻擊總量的95%。但黑客去嘗試攻擊的時(shí)候,往往不是用一種方式,會(huì)同時(shí)運(yùn)用多種方式發(fā)起攻擊。因此,企業(yè)員工的安全意識(shí)對(duì)企業(yè)非常重要,企業(yè)應(yīng)該及時(shí)對(duì)員工的安全意識(shí)進(jìn)行培訓(xùn)。
企業(yè)如何防范攻擊
現(xiàn)在很多企業(yè)在防范這類攻擊或未知危險(xiǎn)時(shí)會(huì)大量使用到沙盒產(chǎn)品和技術(shù),還有異常檢測(cè)等產(chǎn)品,這導(dǎo)致用戶需要承擔(dān)的任務(wù)非常龐大,大量的分析檢測(cè)工作都需要企業(yè)自己來(lái)完成。這對(duì)于目前日益頻繁和復(fù)雜的攻擊而言,已經(jīng)捉襟見(jiàn)肘。對(duì)此,賽門鐵克公司華東及華南區(qū)技術(shù)經(jīng)理王景普表示,這些工作完全可以搬到云端來(lái)完成,處理完成后再把結(jié)果反饋給企業(yè),這也是賽門鐵克提出高級(jí)威脅防御(ATP)解決方案的初衷。
賽門鐵克公司華東及華南區(qū)技術(shù)經(jīng)理王景普
另外,王景普表示,過(guò)去往往會(huì)孤立掃描一個(gè)文件是否存在問(wèn)題,或者單看某一時(shí)間點(diǎn)或某一時(shí)間段內(nèi)的網(wǎng)絡(luò)流量,這個(gè)被稱為單獨(dú)掃描。但賽門鐵克的檢測(cè)和掃描會(huì)涉及到整個(gè)企業(yè)內(nèi)部所有的活動(dòng),也就是終端上的活動(dòng)和網(wǎng)絡(luò)上的流量都可以進(jìn)行分析。我們的分析工具放在云端,同時(shí)利用人工智能和機(jī)器學(xué)習(xí)的一些模型來(lái)進(jìn)行分析。
算法與樣本缺一不可
目前,很多企業(yè)都在做機(jī)器學(xué)習(xí)、人工智能的相關(guān)研發(fā)。王景普認(rèn)為,如果輸入的樣本不夠典型,樣本覆蓋面不夠廣、不夠大,那么,機(jī)器學(xué)習(xí)出來(lái)的模型不一定會(huì)是最匹配業(yè)務(wù)的模型,同時(shí)輸出的結(jié)果也必定不是最好的。因此,算法和輸入數(shù)據(jù)的樣本這兩點(diǎn)非常關(guān)鍵,缺一不可。算法再好,但是沒(méi)有樣本,沒(méi)有典型數(shù)據(jù),數(shù)據(jù)輸出結(jié)果一定不會(huì)好。當(dāng)然即使有海量的數(shù)據(jù),沒(méi)有好的算法,那可能要花很多年才能計(jì)算出來(lái),也是不現(xiàn)實(shí)的。
而融入人工智能的優(yōu)勢(shì)就在于可以利用全球數(shù)億控制點(diǎn)和龐大的客戶群所建立起的龐大分析樣本,相比單一客戶分析來(lái)講這是非常大的突破,所以分析效果也會(huì)更加精準(zhǔn)。
在分析過(guò)程中,首先要收集數(shù)據(jù),從廣度來(lái)講,賽門鐵克在全球保護(hù)了1.75億個(gè)終端,有八千萬(wàn)代理端點(diǎn),針對(duì)端點(diǎn)流量、電子郵件,在全球有9500萬(wàn)個(gè)傳感器,還有誘餌郵箱,從而能在全球收集廣泛的數(shù)據(jù)。除了收集的數(shù)據(jù),企業(yè)里面端點(diǎn)上的進(jìn)程、系統(tǒng)事件也會(huì)進(jìn)行收集。再加上不同的行業(yè),不同的客戶,不同類型的設(shè)備、機(jī)器,通過(guò)這些形成的數(shù)據(jù)來(lái)源。
王景普表示,在收集事件的時(shí)候,第一,我們不會(huì)對(duì)用戶的終端產(chǎn)生影響;第二,也不會(huì)導(dǎo)致它跟端點(diǎn)上任何其他軟件或者系統(tǒng)產(chǎn)生沖突;第三,我們還會(huì)確保匿名性,不會(huì)涉及到企業(yè)機(jī)密相關(guān)信息的收集。我們還將云端核心端點(diǎn)的分析引擎也做了一些變化,來(lái)達(dá)到既確保用戶系統(tǒng)的性能,又能夠保護(hù)隱私的這樣一種平衡。
安全防護(hù)依賴云端
王景普強(qiáng)調(diào),未來(lái)針對(duì)性網(wǎng)絡(luò)攻擊的防護(hù)能力將主要依賴于云端。根據(jù)預(yù)測(cè),未來(lái)不僅我們會(huì)大量運(yùn)用人工智能、機(jī)器學(xué)習(xí)等技術(shù)。同樣,黑客也會(huì)利用人工智能和高級(jí)機(jī)器學(xué)習(xí)等手段發(fā)動(dòng)攻擊,這樣就形成了一種競(jìng)賽模式。那么,我們?cè)谟脵C(jī)器學(xué)習(xí)、人工智能的步伐上能不能跟上黑客的攻擊步伐就成為關(guān)鍵。
對(duì)于安全廠商而言,未來(lái)監(jiān)測(cè)范圍、數(shù)據(jù)量以及分析引擎的響應(yīng)時(shí)間將成為其主要的核心競(jìng)爭(zhēng)力。目前,賽門鐵克把整套系統(tǒng)已從自己的數(shù)據(jù)中心全部遷移到云端,并在高級(jí)威脅防御(ATP)解決方案中推出針對(duì)性攻擊分析(TAA)技術(shù),以此幫助企業(yè)用戶應(yīng)對(duì)相應(yīng)攻擊威脅,這是因?yàn)橹挥性朴?jì)算的超大計(jì)算能力與大數(shù)據(jù)分析平臺(tái)的結(jié)合,才能更好的應(yīng)對(duì)未來(lái)復(fù)雜的針對(duì)性攻擊威脅。
