作者：趨勢科技Christopher Budd

紐約時報發表他們從四個月前就開始遭受APT進階持續性威脅 (Advanced Persistent Threat, APT)。該報告還提供出一定程度的細節，這其實是相當少見的,任何對資訊安全和防範APT攻擊有興趣的人都應該花點時間來讀完紐約時報全部的故事。

紐約時報還做了一件事，就是指出了他們有安裝安全產品，但是這些產品未能阻止攻擊。他們甚至將這安全廠商列名出來,讓人覺得他們將矛頭指向該美國安全廠商。紐約時報的故事和安全廠商的反應似乎都暗示集中在基於病毒碼(特徵碼)的端點安全防護方案。

有了這些資訊以及我們對這攻擊的所知訊息，我們可以學到一些教訓，關於要怎樣如何才能充分保護網路環境以對抗APT進階持續性威脅 (Advanced Persistent Threat, APT)。

鎖定特定對象電子郵件帳號,進而存取 53 名員工個人電腦

本部落格分享過這篇:《APT進階持續性威脅~主要目標攻擊侵入點:eMail》63%產品規劃藍圖 ,76%預算計畫經由 email 傳送,紐約時報陳述攻擊的進入點也是透過針對特定對象的電子郵件帳號（大概是透過適當的開放情報收集所確認得來）。獲得控制權後，他們利用帶有特定目的的惡意軟體來建立命令和控制（C＆C）通訊點。接著，開始橫向移動，先偷取企業內所有員工的密碼（透過針對網域控制（DC）伺服器的攻擊），並用來存取其他系統（包括53名員工的個人電腦，其中大多數不屬於紐約時報編輯部）。
關於APT 攻擊常用的三種電子郵件掩護潛入技巧,請參考:《這裡》含多則中英文信件樣本

45個客製化惡意軟體潛伏部署,但廠商沒有偵測到

他們說從這起攻擊中所學到的教訓是，有45個客製化惡意軟體被部署,但安全廠商未被偵測。該報告接著說明沒有重要資料被竊取，因為這次攻擊被及早的發現。調查人員也在監控這起攻擊，以了解需要做些什麼來防護網路。

以病毒碼(特徵碼)為基礎的防護,無法全面主動監控

對於像是這樣複雜的攻擊來說，很明顯地，傳統基於病毒碼(特徵碼)的端點安全防護是不夠的。攻擊者可以製作並測試出多面向的目標攻擊以特別用來閃避這些產品的偵測。他們是整體安全防護的一個重要部分，但必須包含在更整體的防護策略中，包括啟發式偵測、動態信譽評比服務和主動式網路監控。

以客製化防禦對抗針對性攻擊

如我上面所說，我們不確定紐約時報用了哪些產品以及如何部署。但是，我們可以觀察這起攻擊所提供的細節，去了解攻擊者這些天做了哪些事情，從而確認怎樣的防護策略會最有效果。答案很顯然是設計用來對抗進階威脅的主動式、多層次安全防禦：現在需要客製化的防禦去對抗針對性的攻擊。如趨勢科技的Deep Discovery，便可以防禦目標攻擊。

一如往常，如果你想知道更多關於APT的資訊，請連到趨勢科技APT入門網站。你也可以參考我們新的白皮書 – 「客製化防禦對抗目標攻擊」，可以更好的防護目標攻擊。還有我們的入門書 – 「目標攻擊侵入點：你的企業通訊安全嗎？」闡述了電子郵件在APT攻擊裡所扮演的角色。

趨勢科技網路安全副總 – Tom Kellerman在這採訪中分享了他對最近紐約時報所遭受攻擊的觀點和想法。