云端安全和APT防御是同一件事吗

我最近在RSA上还有许多无法赶上演说的人前讲到这个主题，他们问到这两个看似无关的领域之间有什么关连，我答应会写出来好让更多人可以了解，所以就是这篇了：

进阶持续性威胁(Advanced Persistent Threat, APT)「进阶」是指使用了让人难以置信、复杂的新恶意软体，但实际上并非如此。通常「进阶」是指研究上的难度，还有社交工程陷阱 ( Social Engineering)的设计，让受骇目标去做出不该做的行为，并让他们点下攻击者所选的连结。

一旦攻击者掌控了一台位在企业内部的电脑，就可以当做跳板来针对那些没有直接连上网路的电脑找出漏洞。这是一个常见的​​手法，当修补程式出了一段时间之后，攻击者还是可以攻击成功，因为许多公司都不认为位在内部「安全」网路上的机器具备风险。而这个攻击者直接控制受感染的电脑，有着足够的时间(持续性)来悄悄地探测，直到发现他们可以利用的漏洞。

所以，你该如何抵御这种目标攻击?底下是几件我们认为最该做的事：

减少噪音

保持现有的外部防御来尽可能地抵御所有的坏东西。这给你更多的机会去发现在内部网络上发生的事情。

建立碎型外部防御

碎型是种数学形状，它跟原本的形状一样，只是比较小。所以，当你放大之后就会回到原本的形状。可以利用一样的概念来加强你的防御，多加一或两层的防御在重要资料的外围。我会强烈建议部署虚拟修补程式到所有的伺服器上，可以在真正上修补程式前就提供保护，这在有人试图攻击漏洞时很重要。

利用专门软体来监控内部网络流量

不要只是看对外的连线或是看流量是否超出设定值。还需要利用专门的威胁侦测解决方案来监控内部网络，以确保在攻击发生时会收到警讯。

追踪和清理

当外面的电脑被攻击之后，除了加以封锁之外通常就不能做什么了。但是如果是一个内部伺服器被攻击，而且攻击是来自另一个内部的机器。那封锁攻击就变得很重要，不只是因为你阻止这次攻击，更重要的是你现在知道内部有机器正在做些不该做的事，而你可以在它试图做出更复杂而不被侦测的攻击(或是攻击者连上来控制)之前就修复它。

保护你的资料

如果一切防护都失败了，攻击者已经突破了你的防御，直达你的重要资料，其实还不算结束。你需要由内而外的第二道防御，也就是资料加密，再利用资料防护来追踪被带走了什么资料，并了解有哪些内容被盗走了。

假设已经被入侵成功了

应该预先设定的状况是假设你旁边的电脑已经被入侵了，并且据此来设定对应的防御。

最后的重点就是前面六点的总结，同时也提供了跟云端安全之间的连结。在一个多租户的环境(IaaS)底下，你应该假设你附近的机器有可能会攻击你，并据此来设定防御措施。你的供应商会提供许多安全功能：外围防火墙、IPS等，还有在客户间所做的内部网路分割，这些设计都是为了你的安全，但是通常在租约里面没有提供SLA。利用这些功能来消除噪音是不错的作法，但是要假设还是有人在觊觎着你的伺服器或资料。为你的伺服器建立自己的外围防护以保护好你的供应商所遗漏的部份。加密你的云端资料，所以就算你的供应商将之放错地方，你也还是受到保护的。这在商业上还有另外一个好处，就是当你想要更换供应商时，不论是因为价格更低或是功能更好，也都不必担心你会遗留下敏感资料。

对于内部(私有)云来说也同样适用。因为成本和运作效率，会将服务都放在一起，这样做也减少了它们之间的分离性。所以还是要假设已经被入侵了，在环境里实施虚拟分割，而跟实体环境相比，利用外围防护和加密可以保持同样甚至更提高安全性，同时利用无代理方案也会尽可能地保持相同的效能。

所以云端安全和APT防御可能不是同一件事情，但他们可以有一样的作法!　

后记：　　
APT 攻击的特色:

【锁定特定目标】针对特定政府或企业，长期间进行有计划性、组织性窃取情资行为,可能持续几天，几周，几个月，甚至更长的时间。

【假冒信件】针对被锁定对象寄送几可乱真的社交工程恶意邮件，如冒充长官的来信,取得在电脑植入恶意程式的第一个机会。

【低调且缓慢】为了进行长期潜伏,恶意程式入侵后,具有自我隐藏能力避免被侦测,伺机窃取管理者帐号、密码。

【客制化恶意元件】攻击者除了使用现成的恶意程式外亦使用客制化的恶意元件。

【安装远端控制工具】攻击者建立一个类似僵尸 ​​网路/傀儡网路Botnet的远端控制架构攻击者会定期传送有潜在价值文件的副本给命令和控制伺服器(C&C Server)审查。

【传送情资】将过滤后的敏感机密资料，利用加密方式外传