攻防计中计：教你如何隐藏，躲避APT攻击的新思维

本文将为你介绍一下，关于预防网络攻击的新思维——为网络攻击设计多个假的攻击目标及路径，降低他们的攻击效率。

交互式防护是一种安全系统特性，其意味着防御者会与攻击者及其使用的攻击工具进行交互攻防以及根据攻击者的行为作出相应的预防措施。比如，防御者会引入垃圾搜索结果以混淆网络攻击者使用的漏洞扫描程序就是一种交互式防护，除了这些被动防御之外，研究人员长期以来一直使用交互式防护的方法来主动获取关于网络攻击者的攻击信息，比如攻击目标等。

但交互式防护和“攻击性”保护方法是两个完全不同的概念。前者意味着防御者与攻击者之间的攻防互动，以便在受保护的基础设施内检测出APT攻击，从而转移他们的注意力并将它们诱导到错误的攻击目标上。而“攻击性”保护除了被动防护意外还利用自己的漏洞来进行主动攻击（即所谓的“黑客攻击”），但这种回击的做法不仅违反了许多国家的法律而且还危及第三方，比如受网络攻击危害的用户计算机。

那么在不违反法律并且可以在组织现有的IT安全架构中使用的交互式保护方法不仅可以发现基础设施内是否存在入侵者，而且可以创建对发生的威胁信息进行存档分析。

其实研究人员早已使用这种它们交互式保护方法来分析网络威胁。不过这种方法还可以用于保护企业网络中有价值的数据免受有针对性的攻击。

高级持续性威胁(APT)是当今公司企业面临的最危险的网络攻击之一，近几年来，APT攻击事件此起彼伏，从针对乌克兰国家电网的网络攻击事件，到孟加拉国央行被黑客攻击导致8100元美元被窃取，APT攻击以其无孔不入的触角延伸到了全世界各地，几乎所有的重要行业如政府、金融、电力、教育都受到了APT攻击的威胁。神秘的APT攻击从攻击开始到达成目的，有的甚至可能潜伏长达数年，对APT组织的未知导致人们在面临APT攻击时的茫然无措。

缓解APT的风险似乎意味着要部署非常复杂的网络安全措施，这似乎超出了大多数普通企业组织的能力范围。事实并非如此。企业只要利用交互式防护，就能大大降低APT风险。

APT攻击特点：

不管有多复杂，所有APT攻击通常遵循相似的路径。

侦察：攻击者通常会使用多种手段来获取情报，了解公司的网络实际上是什么样子，以便搞清楚实施了什么样的安全策略和应用程序，或者找出可以为他们提供入口点的远程访问功能。常见的手法包括如下：

1.开源情报包括扫描对外开放的服务，以查找安全漏洞。

2.人力资源情报针对关键员工，以获取访问信息。

3.资产摸底识别企业组织在使用哪些版本的软件或资源，以便了解网络基础设施的概况。

漏洞投放：一旦攻击者找到了攻击你网络的相应的入口点，就会投放一个恶意工具或应用程序，让他们得以渗入到你的网络。选择的攻击途径可能包括电子邮件附件、所谓的“水洞”攻击(攻击者危及他们知道受害者可能会访问的现有网站)，或者甚至是将漏洞投放到被感染的U盘上。

探查和横向扩展：成功潜入到你的网络里面后，攻击者试图在你的网络里面横向移动，最终获取你那宝贵的业务数据。但这些数据通常在另一个计算机系统上，所以攻击者需要找到一条路径。这种横向移动正是APT的持久性发挥作用的地方。探查需要一段时间――在此期间，个人用户可以重启系统，更改安全签名，或者以其他方式让攻击者很难重新访问其机器。

因此，攻击者理想情况下旨在将软件直接部署到一台台机器上，让他们得以随时可以回来，即便用户重启了机器或打上了补丁。

基于上面的分析，我们可以知道之所以企业在采取防护措施后还屡遭攻击，就是以前的那些防御识别安全解决方案的架构还无法识别未知那些隐藏或针对企业基础设施来窃取有价值数据的威胁或犯罪行为。比如，攻击者已经预先研究了公司安全系统的特定特征并且识别出了那些将被安全解决方案忽视的有价值数据会在其他用户的合法操作中丢失的方式。

由于APT攻击不同于其他类型的攻击，在目标选择和精确执行方面，APT攻击类似于手术似的攻击，而不是全面轰炸似的大规模攻击。

这种攻击方式决定了他们很难被检测到并且长时间潜藏以窃取有价值的数据。

为了防止APT攻击，企业的安全防御者不仅要对攻击者正在实施的攻击进行打击（比如通过当前的防护程序来分析安全状态，恶意代码等），还要使用企业网络上的特定行为特征来对隐藏的攻击进行检测以防止他们有可能的攻击行为。从理论上说，攻击者有无限的时间和足够的资金来展开扫描探测工作，总能找到防御薄弱点，最终达成入侵目的，但在完全物理访问其网络资源上，防御方仍然具有很大优势。他们可以使用它对自己的网络安全设置自己的特定规则，把有价值的数据隐藏起来以防止攻击者检测到。

不过除了常规性的方法和技术来保护有价值的信息之外，防御方还需要构建类似于交互式防护这样的系统，以便获得关于攻击者的最新动向。

安全系统中的交互性意味着对攻击者的攻击行为的反应。例如，可以将攻击者的攻击资源包列入到黑名单（例如其执行攻击的IP地址）或者将受损的工作站与其他网络资源隔离。

目前对于企业的网络蜜罐的使用存在着很多不当的使用，虽然这一安全网络安全技术最近几年比较火。

那先让我们了解一下什么是蜜罐防护技术。

蜜罐的定义：顾名思义，在网络安全中，蜜罐里面装满了网络黑客期待的蜜糖。而这些蜜糖存在的意义就是诱骗黑客攻击蜜罐。比较官方的解释是：蜜罐是一台无人使用但却被严密监控的网络主机，它包含虚假的高价值资源和一些漏洞，以此吸引入侵者攻击主机。并且在被入侵的过程中，实时记录和审计攻击者的攻击流量、行为和数据。以此了解攻击者的方式、手段和目的，并且完成对攻击溯源、取证等进一步的工作。

比较早的时候还没有蜜罐的定义，那时候有一间公司遭到来自内网的入侵攻击，而该公司却不能找出攻击的源头。此时，公司的一名员工伪造了一个有漏洞的系统服务，并且在此基础上添加了网络监控的功能。部署上线后该系统也遭到来自于内网的入侵攻击，网络监控也发挥了功能，捕获到攻击来源。其实，该系统就是我们所说的蜜罐系统，但是那时候还没有得到明确定义。随着时间推进，蜜罐开始进入公众视野，功能不断完善，添加上网络监控、主机监控等多方面支持。后来蜜罐也向多个方面发展，蜜网系统、工控蜜罐、Linux蜜罐等等。

蜜罐的使用价值：蜜罐是网络战争提前获得消息的利器，那么网络战争中如果知道敌人的攻击手段，你会怎么做？断网？防火墙？IPS？主动出击，先发制人。在蜜罐系统上伪装了各种真实的业务资源，例如邮箱服务，ftp服务、网站服务等等，用来欺骗敌人入侵蜜罐系统，并且在敌人毫不知情的情况下，记录他们入侵蜜罐系统的全部操作。所以说，蜜罐的价值在于诱骗攻击。

蜜罐涉及的法律问题：蜜罐是用来给黑客入侵的，它必须提供一定的漏洞，但是我们也知道，很多漏洞都属于“高危”级别，稍有不慎就会导致系统被渗透，一旦蜜罐被破坏，入侵者要做的事情是管理员无法预料的，例如，一个入侵者成功进入了一台蜜罐，并且用它做“跳板”(指入侵者远程控制一台或多台被入侵的计算机对别的计算机进行入侵行为)去攻击别人，那么这个损失由谁来负责?

但为什么说这么好的技术会存在这不当的使用呢？

打个比方，就好比在一个放有黄金的建筑物旁边再建造一个狗窝来迷惑攻击者，以此用狗窝来转移攻击者的注意力，让他们觉得“hi，你要的黄金可能在这里面”，你觉得的这样能起到迷惑的效果吗？

所以说，简单地安装和配置蜜罐不足以有效地打击网络犯罪，企业需要一种更细致的方法来开发一种用于检测APT攻击的方案，至少，有必要对攻击者的潜在攻击行为进行专家评估，然后再设置蜜罐，使得攻击者不能确定哪些资源（工作站，工作站和服务器上的文件等）是陷阱，哪些资源不是陷阱，这就好比在放黄金的建筑物旁再多造一些一模一样的房子才能起到迷惑效果。

只有正确设置了陷阱并对与发生的攻击进行快速响应才能起到防范的效果。

在企业网络的安全防护中只有提前获取有关网络攻击的信息才能使防御方可以采取有效的措施保护其有价值的数据并消除威胁：

1.以错误的信息反馈给攻击者（例如，利用专用子网），从而从其视野中隐藏有价值的资源，以及获得关于攻击者及其工具的附加信息，进而用于进一步调查。

2.识别受损的资源并采取一切必要措施消除威胁（例如，将受感染的工作站与公司网络上的其余资源隔离）。

3.牵制攻击者的攻击行为，拖延攻击时间并且重新定义入口点，使得攻击可以被消除。

结论

不过明枪易躲暗箭难防，攻击者还是比防御者更有优势，因为他们有能力在进行攻击之前彻底检查他们的攻击对象，而攻击者却不知道攻击来自哪里或攻击者对什么内容感兴趣，因此必须对所有可能的攻击情形进行防护，这就需要大量的时间和耗费大量的资源。

而实施这种有点欺骗的方法，使得防御方能够通过资源陷阱获得关于攻击的信息，从而最小化了攻击者所享有的优势，因为防御方早期就能够检测到攻击者的活动并获得关于他们的攻击信息，使得防御方能够及时采取措施来保护有价值的数据。

未来，随着企业和公共部门的安全事件数量的增加，基于欺骗攻击者的互动安全措施会越来越受到欢迎，可以肯定基于欺骗方法的安全系统将不仅仅是研究人员的工具，而且还将成为企业保护基础设施的一个重要组成部分。

企业从防御资源限制等情况考虑，追求绝对安全的防御显然是不现实的。基于“适度安全”的理念，这种交互式防护策略可以理解为在网络安全风险和投入之间寻求一种均衡，利用有限的资源做出最合理决策的防御。

网络安全的本质在于攻防两端能力较量，目前依赖防火墙、入侵检测技术和反病毒软件等静态的、孤立的、被动式防御难以有效应对有组织的高强度网络攻击。构筑网络空间安全防线，需要革除落伍思想，打赢防御理念上的反击战。新“三十六计”之移动目标防御通过构建动态网络增加攻击难度从而达到入侵控制目的。