变更密码和移除恶意软件并不足以化解APT攻击

Sammi888

说到APT攻击——高级持续性威胁 (Advanced Persistent Threat, APT) /目标攻击，攻击者并非无所不知。他们需要在早期阶段收集数据来了解目标，他们会从各种情报来源收集资料，还可能会收集电子邮件地址、IP地址范围和联系人列表等数据，然后将其用来制造钓鱼邮件的诱饵，最终可以让他们渗透进入目标组织的网络。
一旦进入，攻击者会开始横向移动阶段。在此阶段，攻击者会进行端口扫描、服务扫描、网络拓扑映像、密码嗅探、键盘记录和安全政策渗透测试。目标是找到更加机密的数据以及更加隐密的存取方式。
横向移动让攻击者可以取得对自己有利的数据。他们现在知道了有哪些安全弱点、防火墙规则设定缺陷和错误的安全设备部署。他们现在也拥有了最新的网络拓扑、密码设定和安全性政策。
他们可以利用这新发现的信息，甚至是在他们的企图被发现之后。一般情况下，阻止现有的和防止新的攻击包括移除恶意软件和监控网络活动，但由于攻击者已经知道网络拓扑架构，就可以尝试新方法来轻易地取得访问权限而不被发现。
在本文中，趋势科技想要谈论IT管理员如何利用网络拓扑来帮助防御企业网络以解决针对性攻击所带来的风险。
变更网络拓扑
网络拓扑指的是设备在网络内如何连接，不管是实体上和逻辑上。这个名词是指连到网络的所有设备，无论是计算机、路由器或服务器。因为它也提到这些设备如何连接，所以网络拓扑还包括了密码、安全性政策等等。
如果被当作目标的企业变更了网络拓扑，攻击者所取得的信息将会在攻击中变得无用。如果不法分子试图用旧方式来进入网络，就会被新部署的安全政策标记，像是移动目标数据的“位置”或移动区段这样的变化会让攻击者需要更长的时间来找到目标数据。这多出来的时间非常宝贵，因为它可以让管理员有更多时间在造成任何实际损害前先侦测到恶意活动。
以下图中的网络拓扑为例。这个网络依赖于一个防火墙来阻挡外来的攻击，越过防火墙后，有三台计算机，标记为PC-1、PC-2和PC-3，还有一个后端文件服务器。

（网络拓扑范例）
攻击者可以利用钓鱼邮件来入侵PC-1，也就是针对性攻击的第一步（这里记为“步骤一”）。一旦PC-1被入侵成功，攻击者接着会进行服务扫描。这一扫描可以让攻击者发现其他连接的设备，包括PC-2、PC-3和服务器。接着，攻击者可以通过暴力密码破解来入侵PC-2和PC-3（记为步骤二）。

（攻击者可以通过网络钓鱼邮件来侵入一台计算机，然后尝试存取网络内的其他设备）
当IT管理员发现这次攻击时，他们可能会将注意力放在PC-1，因为它是第一个受影响的设备和被作为进入点，精力会花费在移除PC-1中所找到的恶意软件。他们却不知道攻击者可以之后再回来，这次会用PC-2或PC-3来从文件服务器窃取数据。
攻击者仍然可以“重新入侵PC-1”，只要利用新的密码组合或暴力攻击。IT管理员可以再一次地移除恶意软件，但他们不知道攻击者会一次又一次地设法进入和入侵系统。
为了解决针对性攻击问题，IT管理员可以变更网络拓扑。通过加入另一个防火墙和代{过}{滤}理服务器以及改变文件服务器的存取安全性政策就可以完成对网络拓扑的变动。新的安全政策将只允许通过新的代{过}{滤}理服务器来存取文件服务器，任何直接形式的存取都会被新防火墙拒绝，而IT管理员也会收到警告。

（变更的网络拓扑架构）
因为攻击者不会知道新的安全性政策和网络拓扑的改变，他将会试着从其他计算机（如PC-2）来存取文件服务器。IT 管理员会被通知（因为新的政策），并且从PC-2中删除任何被入侵的迹象。
攻击者可能会试着再次渗透网络，这一次利用PC-3，他接着会需要花上很多时间来重新扫描网络。所以他有可能发现代{过}{滤}理服务器的作用，通过试误学习的方式来试着存取文件服务器，但这段时间已经足以让IT管理员在网络内侦测到恶意活动并加以解决。
变更网络拓扑的挑战
变更企业内部的网络拓扑将会是一大挑战。IT管理员的普遍观点是，变动网络拓扑是件不可能的任务。诚然，这项任务很艰巨。变更网络拓扑会需要了解设备之间的确切联机状况，并且更改各项细节，像是服务器IP地址、服务器域名和客户端域名等等。此外，改变网络拓扑的细部甚至也可能会影响到整个网络的连通性。
然而，像软件定义网络（SDN）和网络功能虚拟化（NFV）等新技术可以减少变更网络拓扑的难度。管理员可以先在网络仿真器上变更网络拓朴，在使用SDN政策规则变更拓扑前先用仿真器确保变动不会带来问题。
当然，变更网络拓扑并不是IT管理员所要用的唯一安全做法。管理员可以将变更后的网络拓朴搭配一个可以实时侦测、分析和响应针对性攻击的安全解决方案，以强化他们网络的安全性。

尘梦幽然

在防御APT上，我们还有很长的路要走