DARPA积极侦测和防范先进持续性威胁(APT)
先进持续性威胁(APT)一直是美国防部最大的网络安全问题之一。先进持续性威胁是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标发起攻击。其通常是出于商业或政治动机,针对特定组织或国家,窃取数据并要求在长时间内保持高度的隐蔽性。
为了进一步防范和侦测APT攻击,DARPA与2016年秋季授予数学研究专家伽罗瓦和Guardtime联邦安全公司一份价值180万美元的合同,推进形式验证工具和基于区块链的完整性监控系统,以侦测APT攻击并持续确保系统安全。
美国防部也正与国土安全部和情报界合作,保护美国政府网络免受APT攻击。美官员表示,无密钥完整性监控系统和威胁清除技术是解决方案之一。
先进持续性威胁(APT)的危害:
像大多数网络威胁一样,先进持续性威胁(APT)攻击往往分为不同的级别。前国家安全局(NSA)训练副主任塞德里克·礼顿上校表示,APT可以用来收集大量的敏感信息。一旦这些信息被适当地分析和关联,对手就可以对关键网络发动攻击,或者秘密地向敌人提供军事情报。先进持续性威胁的危害相当于一千个间谍人员,并且效率更高。
美国网络司令部发言人陆军上校丹尼尔·金表示,当前先进持续性威胁的发生频率越来越高,国防部担心这可能破坏国防部网络的运行和军事作战。陆军通信电子研究、开发和工程中心(CERDEC)的情报与信息战理事会首席科学家乔治·巴图里指出,大多数APT攻击是由国家支持的黑客发动的,用于窃取商业机会和国家机密,尤其是国家战略和政治优势。
对策:
1、构建深度架构防御网络
APT攻击很难被侦测和应对,一旦获得对网络的访问,其活动就成为识别攻击源的关键。国防部信息网络联合部队总部(JFHQ-DODIN)是美国网络司令部下设的作战总部,负责确保、运行和保卫美国防部网络(DODIN)。金表示,该部门具有一个由安全设备和传感器组成的深度架构防御网络,以侦测和阻止网络威胁。此外,国防部的网络安全服务提供商和网络保护部队一直在监测网络、发现和响应威胁。
2、侦测先进持续性威胁(APT)
国防部通过利用情报、反间谍和其他所需的军事能力,响应DODIN中的未授权活动或警报/威胁信息。
金表示,保卫网络的两个主要行动:内部防御措施和响应行动。内部防御措施是在DODIN内进行的网络空间行动,其中包括积极寻找先进的内部威胁以及对这些威胁进行内部回应。
尽管国防部做出了多项努力,但APT攻击往往未能被发现。伽罗瓦密码学和多方计算研究主管大卫·阿彻,对国防部的侦测和根除APT的能力持怀疑态度。汉密尔顿表示,该公司正专注于APT侦测的基础研究,其产品旨在提高数字架构的完整性。与当前的防火墙等安全技术的设想不一样,该公司的产品在设计之初就假想黑客已经侵入网络,必须设法发现这些入侵行为。
3、建立多重机制以清除先进持续性威胁(APT)
陆军通信与电子研究、开发和工程中心(CERDEC)的空间与地面通信理事会的高级研究科学家巴拉特·多西表示,随着APT攻击的技术越来越复杂,仅靠侦测方法不能解决问题,必须建立一个由多个协同运行的传感器和检测机制以快速检测威胁。该机制必须对自身网络及其脆弱性、存储信息对于各种对手的价值以及渗透、拒绝服务或数据泄漏的后果等要素有深入了解。
一个成功的APT检测机制必须能够融合来自防火墙、基于主机的入侵检测机制、网络业务分析系统、沙箱、文件完整性监视、内核完整性监视和其他工具的信息。
来源:美国《C4ISR与网络》/图片来自互联网