近段時間比特幣、以太幣等數(shù)字貨幣幣值出現(xiàn)了大幅降低，但并不意味著網(wǎng)絡(luò)不法分子就會放棄這塊“肥肉”。

據(jù)國外媒體報(bào)道，普林斯頓大學(xué)的計(jì)算機(jī)科學(xué)教授Arvind Narayanan評估，比特幣挖礦每天耗掉5吉瓦的電力，接近全球耗電量的1%。然而，這其中并不包括隱形的“挖礦病毒”，作為吞噬PC資源的“大戶”，挖礦病毒通過控制PC的處理器、顯卡等硬件，執(zhí)行高負(fù)載的挖礦計(jì)算腳本來進(jìn)行挖礦。

挖礦病毒的風(fēng)險(xiǎn)還在于，其目的并非局限在竊取PC的計(jì)算能力方面，而是會利用自己善于隱匿的優(yōu)勢，為威脅更大的APT攻擊預(yù)留了空間。 

如何找到APT攻擊的“脈門”？

雷鋒網(wǎng)宅客頻道在不久前亞信安全舉辦的高級威脅治理10年暨XDR戰(zhàn)略發(fā)布會上和亞信安全通用產(chǎn)品管理副總經(jīng)理劉政平聊了聊。

APT攻擊之變

劉政平打趣自己看電影只看有外星人的，出差路上就在看X戰(zhàn)警，為什么？因?yàn)橥庑侨舜砦粗?/p>

而APT實(shí)際上也代表了一種未知。

劉政平

時間倒回至2001年，紅色代碼病毒爆發(fā)，大批計(jì)算機(jī)宕機(jī)，程序員們徹夜重裝系統(tǒng)。此后，數(shù)據(jù)庫入侵事件層出不窮，利用漏洞進(jìn)行蠕蟲化傳播的病毒種類愈發(fā)壯大，如振蕩波、沖擊波等等。

其中，被作為里程碑的就是間諜軟件的誕生。其開啟了黑產(chǎn)的商業(yè)模式，黑客攻擊開始從炫技走向利益。無論是網(wǎng)頁威脅、定向攻擊、移動端攻擊還是現(xiàn)在的勒索病毒攻擊，你會發(fā)現(xiàn)原來APT的威力那么巨大，如果水利系統(tǒng)、發(fā)電系統(tǒng)、能源系統(tǒng)，包括飛機(jī)的飛控系統(tǒng)等被APT入侵，產(chǎn)生的威脅非常巨大。

除此之外，這些APT攻擊隱蔽性越來越強(qiáng)，甚至可以隱藏2-3年不被發(fā)現(xiàn).

黑客們是很狡猾的，劉政平告訴雷鋒網(wǎng)，為了避免被人發(fā)現(xiàn)這些擁有資金和人才的黑產(chǎn)團(tuán)伙會做測試，購買所有主流安全產(chǎn)品、安全技術(shù)都部署到自己的實(shí)驗(yàn)室，測試發(fā)起的APT攻擊能不能被檢測到。

除了擁有隱身能力，還要有形態(tài)變化。大型的銀行、保險(xiǎn)、券商大型企業(yè)受到的APT攻擊樣本都是不一樣的，黑產(chǎn)會做一級處理或是帶上“面紗”，總之攻擊形態(tài)不是一絲不變。

如此一來，企業(yè)安全運(yùn)營中心（SoC平臺）十分撓頭。一來新威脅層出不窮，無論漏洞類型還是攻擊路徑，都千奇百怪，防不勝防；其二，安全產(chǎn)品割裂，無整體能力；其三，依靠人力進(jìn)行安全響應(yīng)太過被動；其四，安全專家短缺，簡直是香餑餑；而最重要的，隨著數(shù)字化轉(zhuǎn)型帶來的業(yè)務(wù)基礎(chǔ)架構(gòu)變化，包括整個IT架構(gòu)的變化和出現(xiàn)的移動辦公、物聯(lián)網(wǎng)等，企業(yè)攻擊界面不斷擴(kuò)大。

此時，重新設(shè)防已經(jīng)擋不住這些威脅了，應(yīng)該怎么辦？ 

APT攻擊之防

遭遇強(qiáng)盜破門而入后最佳反應(yīng)是什么？第一，分析損失，第二，報(bào)警抓人。

對應(yīng)到企業(yè)遭遇APT攻擊也是這兩步，第一步，內(nèi)網(wǎng)出現(xiàn)安全事件后用最短時間針對威脅作出分析判斷。

在網(wǎng)絡(luò)環(huán)境、虛擬化環(huán)境下，需要有事故檢測能力，結(jié)合黑客行為建立模型和規(guī)則，分析其常用手段。就像武俠小說里的江湖門派，每個門派都有自己的武功招式。黑客也是如此，可以根據(jù)其獨(dú)特的攻擊手法和特征進(jìn)行判斷。

“當(dāng)然，更重要的是企業(yè)內(nèi)部能不能建立情報(bào)機(jī)制?！眲⒄秸f到。

如果安全廠商能幫政府以及一些大型行業(yè)用戶建立本身的情報(bào)機(jī)制，會大大提高抗APT的功能。未來云的情報(bào)必不可少，這是場景化，行業(yè)化的走向。

第二步，需要有應(yīng)急響應(yīng)機(jī)制。不同場景的響應(yīng)機(jī)制是不一樣的，比如商務(wù)寫字樓與廠房不一樣，更需要一個精密編排。

精密編排有三個要素，一個是預(yù)案，對于預(yù)案來說，需要覆蓋不同場景。不一樣的黑客攻擊手段預(yù)案是不一樣的，比如零日漏洞攻擊和DDoS攻擊的預(yù)案不一樣。 

據(jù)劉政平透露，準(zhǔn)備預(yù)案是有“套路”的，大概分“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”7個階段，準(zhǔn)備階段包括了針對每一種黑客攻擊類型的標(biāo)準(zhǔn)預(yù)案，自發(fā)現(xiàn)威脅數(shù)據(jù)之后，將數(shù)據(jù)集中到本地威脅情報(bào)和云端威脅情報(bào)做分析，利用機(jī)器學(xué)習(xí)和專家團(tuán)隊(duì)，通過分析黑客進(jìn)攻的時間、路徑、工具等所有細(xì)節(jié)，其特征提取出來，再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化。整個套路類似航空飛機(jī)駕駛員面對緊急情況處理機(jī)制，必然有一個裝滿預(yù)案的黑匣子。

第二個要素是方法論。安全行業(yè)面臨一個很浮躁的問題，大家都在賣產(chǎn)品，不重視對知識的沉淀。在此期間可能也培養(yǎng)了很多人，但這些人的經(jīng)驗(yàn)沒有迭代起來。怎么去迭代？把預(yù)案寫下來，不斷去優(yōu)化它。

第三個要素是工具，一個非常好的工具可以加快分析的速度和方便性。

舉個栗子，企業(yè)出現(xiàn)APT攻擊時候，會觸發(fā)所有安全產(chǎn)品的相應(yīng)告警。此時，怎么把噪音去掉找到根源？這就像吃粽子，想要打開粽子需要找到整條線的根結(jié)點(diǎn)。對于安全系統(tǒng)來說要把所有行為數(shù)據(jù)記錄下來，這樣在發(fā)生攻擊后才能利用網(wǎng)絡(luò)層、終端等的數(shù)據(jù)還原整個攻擊過程。

拿挖礦打個比方，最近挖礦事件在國內(nèi)云平臺上，包括主機(jī)、數(shù)據(jù)中心大量出現(xiàn)。因?yàn)橥诘V本身能掙錢，所以很多黑客會把它的挖礦病毒通過遠(yuǎn)程方式種在云主機(jī)里面。比如向組織內(nèi)部的員工大量發(fā)送精心偽造的垃圾郵件，這些垃圾郵件一般會在附件中植入挖礦相關(guān)的惡意代碼，并使用具有誘惑力的標(biāo)題和內(nèi)容誘惑員工下載并打開。一旦成功侵入，病毒往往會注入系統(tǒng)進(jìn)程，并讀取挖礦配置信息進(jìn)行挖礦。

這時如何找出這條“泥鰍”？

對于挖礦病毒來說，生存時間是衡量其銷量的最重要標(biāo)準(zhǔn)。為了達(dá)到這一目標(biāo)，網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，更多的是使用了免殺機(jī)制。在對抗挖礦病毒的過程中，持續(xù)的監(jiān)察與發(fā)現(xiàn)能力至關(guān)重要。比如需要對主機(jī)資源占用異常現(xiàn)象進(jìn)行監(jiān)控，提取相應(yīng)數(shù)據(jù)。之后通過算法生成威脅情報(bào)并判斷是否為挖礦行為，如果是就需要通過態(tài)勢感知系統(tǒng)調(diào)動工具協(xié)同響應(yīng)，最后消除風(fēng)險(xiǎn)。

這整個過程就是亞信安全新一代高級威脅治理戰(zhàn)略的精髓，即基于SOAR模型的精密編排的自動化檢測及響應(yīng)-XDR體系，對于時常需要查漏補(bǔ)漏的安全小哥們非常友好了。

“也就是，在不確定的網(wǎng)絡(luò)安全世界里，尋找一個確定性的方法，幫助用戶真正提升網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救的能力。”

寫在最后

從因?yàn)橐幻麊T工點(diǎn)擊了即時消息中的惡意鏈接，導(dǎo)致Google這個搜索引擎巨人被滲透，到伊朗布什爾核電站遭到Stuxnet 蠕蟲攻擊，再到Target 超市、eBay 、iCloud、索尼影視、Anthem、百貨公司Neiman Marcus……通過十年不斷的演化發(fā)展，APT已經(jīng)成為最具攻擊性、隱蔽性、破壞性的網(wǎng)絡(luò)威脅。

APT 攻擊將會像普通病毒攻擊一樣普遍。

此時對于安全廠商來說最重要的是什么？可能需要技術(shù)上的改變與創(chuàng)新。

雷鋒網(wǎng)宅客頻道（微信號：letshome），專注先鋒科技，講述黑客背后的故事。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。