本篇文章1905字,读完约5分钟
近年来,安全威胁发生了巨大的变化,特别是高级别保密协议( apt )越来越激烈。 那么,apt的威胁最近有那些新的快速发展呢? 以前有没有告知过检查方法与apt相对应有那些不足? 我该怎么防御呢? 启明星辰积极防御实验室( adlab )副导演杨红光提出了自己的意见。
apt威胁最新快速发展动态
根据fireeye公司发布的《今年下半年高级威胁分析报告》,约每三分钟就有一个机构受到恶意代码攻击(特别是带有恶意附件、恶意网络链接或cnc通信的邮件),为92封攻击邮件 此外,根据cn-cert发布的《年中国互联网安全态势概述》,年中国国内至少有4.1万多台主机感染了具有apt特征的木马程序。
我们面临的问题是,我们无法及时感知跨年度的恶意代码,挑战了以前流传的反病毒系统的实时性获取。apt攻击的攻击范围广、对比性强,是以前流传的新闻所在 威胁移动终端等其他新闻系统,如能源、军工、金融、科研、大型制造、it、政府、军事等大型组织重要资产的apt威胁越来越强,普遍存在,影响严重。 随着鱼叉式攻击、积水攻击等新的攻击技术和攻击手段的出现,apt攻击的检测和防范越来越困难。
apt攻击技术越来越多,越来越复杂
apt攻击通常可以分为搜索阶段、进入阶段、渗透阶段、收获阶段四个阶段。
在搜索阶段,apt攻击的攻击者花费大量时间和精力查找目标系统的相关情况、制定周密的计划、开发或购买攻击工具等。 进入阶段后,攻击者将进行间歇性攻击尝试,直到找到突破口,然后控制公司内部网络中的第一台计算机。 随后,进入渗透阶段,攻击者以已经控制的计算机为立足点,通过远程控制渗透公司内部网络,寻找有价值的数据。 最后,攻击者将建立一个隐藏的数据传输通道,发送已经获取的敏感数据。
apt攻击是指攻击者利用多种攻击技术、攻击手段,如sql注入攻击、xss跨网站脚本、0day漏洞利用、特殊木马等,并结合社会工程学知识实施的、多而持久的目标识别
近年来,apt攻击技术更多、更复杂,攻击手段更隐蔽。 另外,攻击不仅局限于之前流传下来的新闻系统,还将目标扩散到工业控制等系统,如与工业控制系统编写的stuxnet和duqu病毒进行比较等。
apt攻击防御手段需要持续改善
以前流传的检测手段在应对apt攻击方面无能为力。 与已知威胁相比,以前流传的检测手段对未知漏洞利用、木马程序、攻击方法无法进行检测和定位,而且许多公司缺乏专业的安全服务队伍,无法分析检测设备的报警消息。 目前,检测和防御apt攻击主要有以下观点。
◆恶意代码检测(在网络入口点检测web、邮件、文件共享等可能携带的恶意代码。
◆数据泄漏对策:在主机中导入dlp产品。 apt攻击的目标是有价值的数据新闻,防止机密新闻的传播也是防御apt攻击的做法之一。
◆互联网入侵检测(在互联网层检测、拆解apt攻击的行为。 例如,互联网入侵检测类产品。
◆大数据观察)全面收集互联网上的各种数据(原始的互联网包、业务和安全日志),形成大数据,利用大数据观察技术和智能分辨率算法检测apt,从而进行apt攻击。
上述防御方法各有各的优点,恶意代码检测产品一般放置在网络入口点,可以在apt攻击的初始阶段检测和发现攻击。 例如,可以抓住后门程序、带有异常代码的word文件、pdf文件等。 互联网入侵检测可以在网络层检测到apt攻击行为,当攻击者通过跳板对内网进行渗透攻击时,互联网入侵检测系统可以进行警告、定位; 数据泄露防范可以防止apt攻击者将计算机中的敏感数据带出外部,比较有效地降低攻击行为造成的损失,对大数据观察的检测比较全面,可以覆盖apt攻击的各个环节。
杨红光认为,各防御方法将对比apt攻击的各阶段进行检测,但由于apt攻击的繁多、复杂、隐蔽性,不排除漏报和误报的可能性,因此apt攻击的检测和防御产品也需要随着新闻安全的快速发展动态,持续改进
他建议,如果无法完全阻止apt攻击,为了最大限度地减少apt攻击的危害,必须执行以下操作:
由于有检测和防御apt攻击的手段,通过安全检测产品,专业的安全服务人员可以进行运输、拆解,及时发现和处置攻击的事情。
要定期组织新闻安全培训,警惕攻击者联合社会工程进行诈骗攻击。
为了加强对重要新闻资产的保护,从访问控制、顾客权限、安全鉴定等层面优化和加强控制措施和手段。
与apt攻击相比,启明星辰为客户提供了专业的安全产品和专业的安全服务。 启明星辰依靠恶意代码检测引擎、网络入侵检测引擎、蜜罐系统、armin大数据观察系统等安全产品实现了对客户新闻系统的安全监控,随后,其安全服务团队专家分解了apt攻击,
标题:“启明星辰:人机结合共御APT攻击”
地址:http://www.sdsxywx.com/sdss/4370.html