近日，趨勢科技針對本次大規(guī)模的黑客攻擊事件在北京舉辦了媒體交流會。會中，趨勢科技(中國)產(chǎn)品經(jīng)理蔣世琪女士為媒體講解了趨勢科技在此次攻擊防護扮演的角色，分析了此次攻擊運用的方式，并詳細講解了APT攻擊的過程全貌，以及相應的解決方案。

在 會中，蔣世琪介紹說：“在一個趨勢科技的客戶環(huán)境中，我們能夠判斷至少在一天前，也就是3月19日，他們就已經(jīng)遭遇了這個威脅。趨勢科技在事前通過TDA 的啟發(fā)式偵測與沙盒分析提示，監(jiān)測出此次攻擊相關的郵件中的惡意附件，并定制防御策略，幫助趨勢科技的韓國客戶事先發(fā)覺并采取防護措施，成功抵擋了此次黑 客攻擊，并且沒有遭受任何損失。通過趨勢科技的TDA搭配定制的防御方案，全球6大銀行當中就有三家采用TDA，更有超過80多個政府機構也采用這套解決 方案免于此類攻擊。

趨勢科技：本次攻擊事件的時間軸

在介紹APT攻擊手法時，蔣女士談到：“APT的攻擊手法在于隱匿自己，針對特定對象，長期、有組織、有計劃的竊取數(shù)據(jù)，這種發(fā)生在數(shù)字空間偷竊資料、搜集情報的行為類似于‘網(wǎng)絡間諜’。正是由于APT的隱蔽性，把握其中的攻擊規(guī)律就變得尤為重要?！?/p>

攻 擊者會鎖定的公司和資源采用針對性APT攻擊，通常將目標鎖定到企業(yè)員工的身上作為開端，并通過社交工程攻擊開啟一連串攻擊。而在調(diào)查數(shù)據(jù)中，只 有31%的企業(yè)會懲處將公司機密資料貼到社區(qū)網(wǎng)站上的員工，這樣使得黑客非常容易的就能獲取到目標企業(yè)的IT環(huán)境和組織架構的重要信息。

利用電子郵件、即時通信軟件、社交網(wǎng)絡或是應用程序漏洞找到進入目標網(wǎng)絡的大門。一項研究指出，在87%的組織中，會有網(wǎng)絡用戶點擊黑客安排的網(wǎng)絡鏈接,這些惡意鏈接都是精心設計的APT社交工程的誘餌。

APT攻擊活動首先在目標網(wǎng)絡中找出放有敏感信息的重要計算機。然后，APT攻擊活動利用網(wǎng)絡通信協(xié)議來與C&C服務器通訊，并確認入侵成功的計算機和C&C服務器間保持通訊。

在目標網(wǎng)絡中找出放有敏感信息的重要計算機,使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣，讓他可以輕松的去訪問和控制關鍵目標.

為確保以后的數(shù)據(jù)竊取行動中會得到最有價值的數(shù)據(jù)，APT會長期低調(diào)的潛伏。這是APT長期潛伏不容易被發(fā)現(xiàn)的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數(shù)據(jù)做分析，以做最大化的利用。

APT 是一種高級的、狡猾的伎倆，高級黑客可以利用APT入侵網(wǎng)絡、逃避“追捕”、悄無聲息不被發(fā)現(xiàn)、隨心所欲對泄露數(shù)據(jù)進行長期訪問，最終挖掘到 攻擊者想要的資料信息。數(shù)據(jù)泄露的代價對公司業(yè)務和資金的損失是極其慘重的，比如RSA就花了六千六百萬美金來補救因內(nèi)部網(wǎng)絡數(shù)據(jù)竊取事件所造成的傷害。

趨勢科技定制防御解決方案

在談到趨勢科技面對APT攻擊的解決方案時，蔣女士談到：“APT和針對性攻擊已證明可避開標準外圍、網(wǎng)絡和端點安全防御的能力。TDA專門用于檢測APT攻擊和針對性攻擊，在攻擊生命周期的各個階段識別反應高級惡意軟件或攻擊者活動的惡意內(nèi)容、通信和行為。

趨勢科技TDA主要功能包括高級持續(xù)性威脅檢測、威脅跟蹤、分析和處理措施、實時威脅控制臺、重點資產(chǎn)觀察名單、專家百科以及靈活的大容量部署。通過趨勢科技定制防御的解決方案偵測一般防御體系無法識別的惡意程序、通訊與行為，分析攻擊與攻擊者的特征及其所帶來的風險，加固安全防御體系(IP地址黑 名單、自定義特征碼等)，響應并洞察針對用戶的攻擊者活動。

最后，蔣世琪總結趨勢科技TDA的關鍵優(yōu)勢可以降低由APT帶來的損害和數(shù)據(jù)丟失風險，全網(wǎng)范圍的可見性，揭示并跟蹤真是的安全狀況，提供實時的威脅分析和補救信息，以及集成的結果統(tǒng)一改進了企業(yè)范圍的威脅檢測。

zhangcun