武漢大學：如何應對來自郵件的APT攻擊？

作者簡介：
夏正偉，男，武漢大學信息中心副主任，Coremail管理員社區特邀大咖

高級持續性威脅（APT）攻擊可以分解為三個關鍵詞：一是高級，即隱蔽性強，可繞過常規的防御體系；二是持續，會不斷嘗試，長期潛伏，直到實現其目的；三是威脅，一旦得逞可能造成極大的危害。與傳統的網絡攻擊相比，APT攻擊行為的竊取數據、破壞系統等動機更加明確，通常具有明確的目標，其可能潛伏或持續很長的時間，更為隱蔽難以發現。APT攻擊通常綜合使用多種攻擊手段，但釣魚郵件是APT攻擊最常見的前期入侵手段之一。

2013年，美國第二大連鎖超市塔吉特的空調供應商（HAVAC）4名員工收到釣魚郵件，其中一人點開了附件中的Excel文件，成為了遭受攻擊的第一跳板。后續黑客利用0day漏洞使受害主機下載惡意軟件，又在公司內網傳播先后感染了WEB服務器和其他業務服務器。通過權限提升最后入侵了核心服務器，并感染了POS刷卡終端。潛伏在POS系統中長達2個月，期間盜取了4千萬條銀行卡信息，并在黑市進行大量交易。事件造成塔吉特6100萬美元額外支出，導致當年凈利潤下滑46%，董事長、CEO因此事辭職。

防范APT攻擊需要從多方面的策略和措施著手，在事前要提前布防，隨時監測惡意代碼、攻擊手段、攻擊行為，提前做好防御方案；在事中要快速定位。迅速查找攻擊源、攻擊點、感染源和態勢，根據威脅發展態勢發現防御弱點及時補防；在事后要及時處置。分析攻擊行為、攻擊目標、造成危害，及時進行針對性的查殺隔離。
對釣魚郵件發起APT攻擊的前期入侵，需要防范郵件投遞過程中的密碼捕獲、勒索病毒、特種木馬等威脅，可以采取以下幾個方面的應對措施：

一、加強用戶安全培訓
定期進行網絡安全意識培訓，使用戶了解APT攻擊、釣魚郵件的常見特征、危害和應對方法。開展釣魚郵件攻擊的模擬演練，讓用戶在實際場景中提高防范意識與應對能力。提醒用戶及時安裝操作系統、應用程序和防病毒軟件的補丁和更新，以修復已知的安全漏洞。

二、提升系統防御能力
綜合采用機器學習、信譽檢測、病毒檢測、泛化檢測等手段，提升郵件系統的防御能力。部署安全電子郵件網關，實時掃描和分析進出郵件，對其中垃圾和惡意郵件進行有效的檢測和攔截。配置SPF、DKIM和DMARC等協議，檢查郵件發送源的合法性、可信性。定期對郵件系統進行安全審計，加強日志監控，及時發現異常跡象。

三、升級訪問控制策略
傳統的網絡訪問控制一般采取用戶名密碼來控制用戶的訪問權限，一旦在釣魚郵件構造的虛假登錄頁面輸入用戶名密碼，攻擊者即可非常容易的利用這些信息來取得其他業務的訪問權限。升級網絡訪問的控制策略，可以有效抵御相關風險。可以采取的措施有實施嚴格的密碼策略，限制對內部重要資源的訪問權限等。尤其是重要敏感的業務系統，可以采取雙因素或多因素認證的方式。

四、充分共享威脅情報
充分共享網絡攻擊威脅情報是提高網絡安全防御能力的重要手段，要加強與相關廠商、組織的溝通協作，及時分享威脅情報和最佳實踐，根據共享情報采取行動，及時修復漏洞、升級防護措施，共同應對APT攻擊的威脅。