近日�,爆出棱鏡門事件的主角斯諾登已經在俄羅斯得以與父親團聚����,但是鬧得沸沸揚揚的棱鏡事件還并沒有落下帷幕,由此引發(fā)的公眾對高級持續(xù)性威脅(APT)的關注也在繼續(xù)�。其實�,棱鏡門只是將APT攻擊更加為大眾所熟知,而從2010年的震網蠕蟲開始����,層出不窮的APT攻擊事件早已對全球各國的信息安全體系造成了巨大的威脅����。
高級持續(xù)性威脅(APT)最顯著的特征就是有計劃�、有組織、有目標���、受利益驅動,因此��,與交易���、金錢直接相關的金融行業(yè),成為了黑客攻擊“首選”��,淪為APT攻擊重災區(qū)。
在APT攻擊過程中�,其背后的操作者為達目的可以采取各種方法�,利用任何資源��,它的攻擊周期可以設定得很長,并在被攻擊組織中長期潛伏�。高級持續(xù)性威脅也很少僅利用單個病毒或單個惡意代碼、漏洞���,它通常會綜合利用所有的資源����,自制適合于攻擊目標的工具�����,計劃整個攻擊路線���,構成一個完整的閉環(huán)。由于其利益驅動特性�����,與交易和金錢直接相關的金融行業(yè),成為了黑客進攻“首選”��,淪為APT攻擊重災區(qū)��。無論是2012年美國銀行遭遇DDoS攻擊�,還是2013年韓國銀行的信息系統(tǒng)遭到入侵和破壞���,針對金融系統(tǒng)的APT攻擊呈現出愈演愈烈的趨勢,下面我們就來盤點一下近年來針對國內外針對金融行業(yè)的APT攻擊事件�。
讓我們首先看看�,APT近兩年侵襲中國金融業(yè)的案例���。
發(fā)生時間 事件簡述
2012-7 “中國銀聯(lián)”網站是最新出現的釣魚網站����,一旦客戶“上鉤”誤入“釣魚”網站輸入自己的網銀賬戶和密碼��,黑客就立刻將賬戶資金悉數盜走。
2012-8 出現“網銀超級木馬”病毒新型變種�,主要針對主流第三方支付平臺����,這是一種典型的釣魚欺詐病毒。該病毒會監(jiān)聽用戶的支付操作行為來獲取用戶的銀行卡號及密碼�,短時間將用戶銀行卡內資金洗劫一空�。
2012-12 “支付大盜”的新型網購木馬利用競價排名偽裝為“阿里旺旺官網”,誘騙網友下載運行木馬���,再暗中劫持受害者網上支付資金�����,把付款對象篡改為黑客賬戶。
2013-7 迅雷會員支付頁面出現故障���,價值180元的迅雷白金會員年費只需1分錢即可購買���,該故障造成迅雷損失高達100多萬。
2013-7 數起針對國內金融行業(yè)的APT攻擊事件被曝光���,該事件被命名為“證券幽靈”�����。這一攻擊變化多端,會導致用戶重要信息數據泄露����。
針對全球金融業(yè)�����,APT攻擊的行動近兩年也是層出不窮。
2011年��,暗鼠行動( Operation Shady RAT)從2006年啟動,滲透并攻擊了全球多達72個公司和組織的網絡��,金融公司是其攻擊的對象之一�。
2012年9月���,黑客網絡團體Anonymous對包括美國第一大商業(yè)銀行Bank of America、Wells Fargo���、the Citigroup和HSBC在內的拒絕受理維基解密業(yè)務的銀行網站進行大規(guī)模的DDoS 攻擊�����,導致在線銀行業(yè)務操作經受了嚴重的干擾。
2013年3月20日����,新韓銀行、農協(xié)銀行等金融機構的計算機網絡同時遭受惡意代碼侵入�,導致內網電腦黑屏�、信息系統(tǒng)癱瘓,服務幾近中斷����。這起事件����,對韓國的金融�����、新聞等命脈行業(yè)造成巨大影響,韓國軍方甚至將情報作戰(zhàn)防衛(wèi)級別上調一級����。
2013年,某大型企業(yè)部署的APT防御設備捕捉到了利用金融作為主題�����,針對美國花旗銀行郵件賬戶源的攻擊郵件�,附帶DOC的攻擊文檔,并在該企業(yè)內網郵件大量傳播�����。
由于APT攻擊的隱蔽和不大規(guī)模爆發(fā)的特征�,傳統(tǒng)的殺毒軟件很難提前防御���,而等到攻擊爆發(fā)再來亡羊補牢,信息資產的損失則已經難以挽回�����。因此����,提前洞察和攔截APT攻擊�,是避免損失的最佳方案����。同時�,單一技術方向的產品針對APT攻擊無法形成有效的防護效果,而將多種防御手段通過一定的策略聯(lián)動結合��,才能夠對APT攻擊形成完備而立體的防御能力���。金山安全作為云安全與SAAS服務提供商�,已經攜手國內客戶成功攔截多次APT攻擊,其專門針對APT實時防御的金山私有云安全系統(tǒng)能夠對APT和高級威脅攻擊進行檢測�����、鑒定、防護�、溯源,是一套可定制化的����,結合了動靜態(tài)鑒定分析和流量檢測等功能的APT防護解決方案。該方案具有三大特征:
多維度的威脅感知體系����。私有云安全系統(tǒng)的核心思想是把白檢測的概念和動靜態(tài)鑒定概念相結合,配合流量檢測能力���,其效果是最大程度上孤立“灰”��。同時在在設備管理和數據分析平臺這一層面進行匯聚���,通過數據之間的相互參照和挖掘����,達到發(fā)現新的威脅(尤其是APT攻擊)的目的�����。
國產自主化高安全硬件平臺����。私有云安全系統(tǒng)同國內高度自主化的硬件平臺進行了緊密結合,該硬件平臺從系統(tǒng)級板卡�、高速互聯(lián)系統(tǒng)、BIOS等均為自主開發(fā)��、設計���,符合國家自主可控的產業(yè)政策導向����。在軟硬件結合開發(fā)的過程中,金山根據豐富的安全經驗�����,對平臺的各個安全環(huán)節(jié)做了全面的加固�����。
針對金融行業(yè)的全面防護能力�����。針對金融行業(yè)典型網絡架構����,金山私有云安全系統(tǒng)會在核心交換區(qū)和銀行網銀區(qū)對網絡異常流量進行檢測��,在第三方應用平臺接口通過動靜態(tài)鑒定模塊對文檔進行溢出漏洞檢測和程序可疑行為分析��,在工作區(qū)(核心區(qū)����、業(yè)務區(qū)和辦公區(qū))和終端區(qū)部署私有云安全防御客戶端。同時���,這三種模塊在金融系統(tǒng)整體流程中將形成聯(lián)動互補的立體防御體系���,并結合數據挖掘技術�����,形成針對APT攻擊的發(fā)現�、防御和溯源的整體解決方案�。
