圍繞高級(jí)逃逸技術(shù)的爭(zhēng)議導(dǎo)致了企業(yè)損失代價(jià)高昂

2014 年 4 月 1日，在一份由 Intel Security 旗下邁克菲發(fā)布的報(bào)告中，對(duì)圍繞高級(jí)逃逸技術(shù) (AET) 的爭(zhēng)議進(jìn)行了深入剖析，并探討了這些技術(shù)在高級(jí)持續(xù)性威脅 (APT) 中所起的作用。邁克菲委托 Vanson Bourne 進(jìn)行了一項(xiàng)調(diào)查，調(diào)查對(duì)象包括美國(guó)、英國(guó)、德國(guó)、法國(guó)、澳大利亞、巴西以及南非的 800 位 CIO 和安全部門(mén)經(jīng)理。調(diào)查顯示，負(fù)責(zé)保護(hù)敏感數(shù)據(jù)的安全專(zhuān)業(yè)人士對(duì)上述技術(shù)存在一些誤解或者誤區(qū)，他們往往缺乏有效的防御措施來(lái)對(duì)此加以應(yīng)對(duì)。

最近發(fā)生的一系列“高規(guī)格”數(shù)據(jù)泄露事件顯示，犯罪活動(dòng)仍然能夠長(zhǎng)時(shí)間“逃過(guò)”檢測(cè)。被調(diào)查者對(duì)此都不否認(rèn)，超過(guò)五分之一的安全專(zhuān)業(yè)人士承認(rèn)其網(wǎng)絡(luò)曾遭受過(guò)攻擊。近 40% 遭受過(guò)此類(lèi)攻擊的被調(diào)查者相信，在這些攻擊中 AET 起了關(guān)鍵作用。報(bào)告指出，在過(guò)去 12 個(gè)月中，遭受過(guò)數(shù)據(jù)泄露威脅的企業(yè)的平均損失高達(dá) 100 萬(wàn)美元。

MIAX Options 副總裁兼首席安全官 John Masserini 指出：“我們不再僅僅需要對(duì)付那些隨機(jī)的路過(guò)式下載掃描程序，這類(lèi)掃描程序意在尋找明顯的入侵網(wǎng)絡(luò)的突破口。在如今這樣一個(gè)互聯(lián)的世界，我們要應(yīng)對(duì)是那些花數(shù)周甚至數(shù)月時(shí)間來(lái)專(zhuān)心研究您面向公眾網(wǎng)絡(luò)的“敵人”，他們?nèi)绱松焚M(fèi)苦心，只為找到讓他們得以攻入您的網(wǎng)絡(luò)的‘一線希望’。高級(jí)逃逸技術(shù)正是這樣的‘一線希望’。部署邁克菲的下一代防火墻技術(shù)提供了針對(duì)此類(lèi)威脅更深一層的防護(hù)，使得這‘一線希望’難以被發(fā)現(xiàn)。”

為什么當(dāng)前的防火墻測(cè)試隱藏了 AET 的蹤跡
近 40% 的 IT 決策者認(rèn)為他們沒(méi)有辦法在其企業(yè)內(nèi)部檢測(cè)并跟蹤 AET，幾乎三分之二的人表示，嘗試部署防范 AET 的技術(shù)時(shí)最大的挑戰(zhàn)是使董事會(huì)確信 AET 是的的確確存在的并且是非常嚴(yán)重的威脅。

正如 Enterprise Strategy Group 首席高級(jí)分析師 Jon Oltsik 所言：“許多企業(yè)都希望發(fā)現(xiàn)新的惡意軟件，而對(duì)于高級(jí)規(guī)避技術(shù)卻缺乏足夠的認(rèn)識(shí)，這類(lèi)技術(shù)能夠讓惡意軟件繞過(guò)安全屏障。由于大多數(shù)安全解決方案難以檢測(cè)或者攔截它們，因此AET 對(duì)企業(yè)構(gòu)成了巨大威脅。。安全專(zhuān)業(yè)人士和管理者對(duì)此需要警醒，要意識(shí)到這確實(shí)是一個(gè)不容忽視且不斷發(fā)展的威脅?！?BR>
在 8 億個(gè)已知 AET 中，只有不到 10% 被其他廠商的防火墻檢測(cè)出來(lái)。自 2010 年以來(lái)，這種技術(shù)日益猖獗，迄今為止，已經(jīng)有數(shù)以百萬(wàn)計(jì)的基于網(wǎng)絡(luò)的 AET 組合和變體被發(fā)現(xiàn)。

南威爾士大學(xué)教授 Andrew Blyth 對(duì)于 AET 的猖獗和影響進(jìn)行了多年研究。他指出：“一個(gè)簡(jiǎn)單的事實(shí)就是高級(jí)逃逸技術(shù) (AET) 在生活中的確存在，這一點(diǎn)毋庸置疑。而令人吃驚的是，多數(shù) CIO 和安全專(zhuān)業(yè)人士嚴(yán)重低估了這一威脅，認(rèn)為 AET 的數(shù)量只有 329,246，而事實(shí)上，已知 AET 的總數(shù)幾乎是這一數(shù)字的 2,500 倍，超過(guò)了 8 億個(gè)，而且這一數(shù)字還在不斷增長(zhǎng)。”

AET 是一種偽裝方法，用于逃避檢測(cè)、入侵目標(biāo)網(wǎng)絡(luò)和提供惡意負(fù)載。這類(lèi)技術(shù)最初是在 2010 年被網(wǎng)絡(luò)安全專(zhuān)業(yè)廠商 Stonesoft 發(fā)現(xiàn)的，該公司在 2013 年 3 月被邁克菲收購(gòu)。借助 AET，攻擊者可以將一個(gè)威脅“化整為零”，繞過(guò)防火墻或 IPS 設(shè)備，一旦侵入網(wǎng)絡(luò)內(nèi)部，即可重新組合代碼，“放出”惡意軟件來(lái)繼續(xù)實(shí)施 APT 攻擊。

這些技術(shù)沒(méi)有被充分報(bào)導(dǎo)和了解的原因在于在一些付費(fèi)測(cè)試中，廠商有機(jī)會(huì)針對(duì)其進(jìn)行補(bǔ)救。因此，只有針對(duì)所識(shí)別出的特定技術(shù)進(jìn)行補(bǔ)救，而非那些被犯罪團(tuán)伙快速更新和采用的更為廣泛的技術(shù)。

邁克菲網(wǎng)絡(luò)安全總經(jīng)理 Pat Calhoun 指出：“攻擊者已經(jīng)深諳這類(lèi)高級(jí)逃逸技術(shù)，并每天都在使用它們。我們希望做的是讓企業(yè)知道這種威脅，讓企業(yè)了解要尋求什么樣的保護(hù)，如何有效防范 AET。”

企業(yè)付出的高昂代價(jià)
按照過(guò)去 12 個(gè)月企業(yè)曾遭受過(guò)網(wǎng)絡(luò)攻擊的受調(diào)查者估算，此類(lèi)威脅對(duì)企業(yè)造成的損失平均達(dá) 931,006 美元。以澳大利亞為例，其報(bào)告的威脅數(shù)量較低 （15%），而每一次攻擊的平均損失則要高得多，達(dá)到了 150 萬(wàn)美元。美國(guó)的被調(diào)查者中有此遭遇的平均損失超過(guò) 100 萬(wàn)美元。此類(lèi)威脅對(duì)于金融服務(wù)業(yè)的打擊更為沉重，據(jù)估計(jì)，全球每一次攻擊造成的損失超過(guò) 200 萬(wàn)美元。