本篇文章2595字,读完约6分钟
apt即高级永久隧道( adavanced persistent threat ),是指比较确定目标的持续性、多种多样的网络攻击。 年承认谷歌公司受到严重黑客攻击后,apt攻击成为新闻安全领域的话题之一。
apt攻击的主要优点
apt就像网络世界的神秘刺客,以其独特的优势抑制着目标系统的安全。
对比性:与以前流传的网络攻击相比,apt攻击的对比性更强。 以前流传下来的网络攻击通常选择比较容易的攻击目标,而apt攻击在选择攻击目标后通常不会改变。 整个攻击过程经过攻击者的精心策划,一旦开始攻击,攻击者就会尝试与目标互联网不同的攻击技术、攻击手段,不实现目标绝不停止。
隐蔽性: apt攻击具有极强的隐蔽性,攻击者往往利用丰富的经验、先进的技术、优异的耐受性来隐藏自己的位置,避免常规安全产品的检测,同时整个攻击过程的时间跨度很大,给apt攻击的防御带来很大的挑战。
多样性:在apt攻击过程中,攻击者利用多种攻击技术、攻击手段,不仅可以利用已知的安全漏洞、木马后门,还可以利用0日漏洞、特殊的木马,一般是结合社会工程的相关知识,同时攻击路径。 下图是可以利用apt攻击的攻击手段。
apt攻击的常规过程
每个apt攻击都有不同的企图、不同的攻击目标,但在apt攻击的准备和实施上有一个共同的过程,通常可以分为搜索阶段、进入阶段、渗透阶段、收获阶段四个阶段。
apt攻击的正常过程
检索阶段: apt攻击与常规网络攻击相比,新闻检索的深度和广度有明显差异。 apt攻击的攻击者在搜索目标系统上花费大量的时间和精力。 他们了解公司的背景、企业文化、人员组织,收集目标系统的互联网结构、业务系统、APP版本等新闻。 然后,攻击者进行周密的计划,识别有助于实现攻击目标的系统、人员新闻,并收集、开发或购买攻击工具。 apt攻击可能会使用特殊的木马、0日漏洞利用工具、密码推测工具和其他渗透测试工具。
进入阶段:攻击者进行不间断的攻击尝试,在找到突破口之前,控制公司内部网络的第一台计算机。 常用的方法包括:
恶意文件:以邮件、im软件等形式将带有恶意代码的pdf、word文档发送给内部人员
恶意链接:将带有恶意代码的url链接以邮件或im软件等形式发送给公司内部员工,让员工点击
网站漏洞:利用网站系统漏洞,如注入sql、文件签入、远程溢出等,以网站服务器为跳板,渗透、攻击公司内部;
肉鸡购买:这是最方便的攻击方法,从地下黑市直接购买公司内部被其他黑客攻击的电脑。
渗透阶段:攻击者以已经控制好的计算机为立足点,通过远程控制渗透到公司内部网络,寻找有价值的数据。 和进入阶段一样,这个阶段也将考验攻击者的耐心、技术和手段。
收割阶段:攻击者建立一个隐藏的数据传输通道,发送已经获取的敏感数据。 其实这个阶段的名字是收获阶段,但是没有时间限制。 因为与普通攻击者相比,apt攻击的发布者极端贪婪,只要不被发现,攻击行为就不会停止,经常会不断窃取新的机密数据和机密新闻。
如何防御apt攻击
认识敌人,了解敌人,就是百战百胜,只有在我们对apt攻击有了一定的了解之后,反省自己,了解公司的安全现状,才能进行防护。 例如,公司与那些机构进行通信和互动吗? 公司的组织结构? 现有的安全策略中有那些吗? 那些数据是机密数据,需要加强保护吗? 是否有检测apt攻击的技术手段? 是否有全面解决新闻安全入侵的紧急应对程序? 是否需要加强员工的安全意识… …
回顾apt攻击的四个阶段,我们在各个阶段能做什么呢?
收集阶段:攻击者在这个阶段收集新闻,制定计划是首要任务。 在这个阶段,我们将利用安全威胁检测、预警系统,加强新闻系统的安全管理,识别和及早防范攻击者对互联网的嗅探、扫描行为。 例如,定期进行安全检查、加强,尽量减少系统新闻的曝光,提高初始攻击的难度定期对员工进行安全意识的培训,提高员工的安全防范意识。
进入阶段:攻击者将在这个阶段探索控制公司内部计算机作为实施入侵行为的第一个落点的方法。 在这个阶段,通过安全威胁检测、报警系统可以识别正在进行的攻击行为;合理配置入侵防御系统、防火墙等产品的安全策略,切断常规攻击尝试; 一旦发现了提高警惕、防止攻击者利用社会工程学进行诱惑的攻击,就开始事态的处置和应急应对流程。
渗透阶段:渗透阶段与进入阶段相似,攻击者尝试不同的攻击技术、攻击手段入侵目标系统。 通过合理规划安全域,可以加强系统账户安全鉴定、系统账户和权限管理、优化系统安全策略等手段,提高攻击者持续渗透的难度,也可以考虑威胁监测和安全
收获阶段:在此阶段,攻击者试图将获取的敏感数据的消息传输到外部互联网。 因为这对于检测敏感通信量、非法连接尤为重要。
apt攻击无法通过单一的安全产品和安全技术进行比较有效的检测、防护,公司必须建立安全技术和安全管理相结合的深度防护体系,才能防止apt攻击。 另外,在apt攻击和防御的通常过程中,威胁检测勾结始终存在。 因为,只有及时发现apt攻击,我们才能阻止网络攻击事态的持续恶化,甚至是箭牌十足的公司安全防护体系。
模拟实验室应用程序检测防御[/s2/]
启明星辰是行业领先的安全产品、安全服务、安全处理方案的供应商,在安全服务方面拥有多年的技术沉淀和积累。 adlab (积极防御实验室)安全服务团队接受了更多国家重点科研项目、新闻安全保障项目的洗礼,基于专业的安全产品、安全服务、最佳实践,启明星辰指出,
m2s 2.0持续威胁监测服务的目标是通过专业的安全产品监测顾客新闻系统中的异常互联网行为和恶意攻击行为。 例如,0日漏洞利用、特殊的木马事件、间谍软件事件、组合攻击事件等。 根据启明星辰驾驶专业的安全服务能力深入挖掘和分解安全产品的警告新闻、日志数据,以分解报告的形式清晰表达异常的互联网行为和恶意攻击行为,帮助顾客解决安全事件
m2s 2.0持续威胁监测服务将安全产品和安全服务有机结合,即以专业安全服务为粘合剂,将流传至今的入侵检测、蜜罐系统、异常流量检测等与敏感流量检测、恶意代码检测、其他新的安全产品和检测技术集成,并应用于appo 下图是一些监控和服务的目标。
目前,m2s 2.0持续威胁检测服务在部分主要客户相继进行了试验性部署和实施,同时取得了良好的效果,不到半年就检测出了几起恶意互联网入侵行为。
标题:“针锋相对 四招防御APT攻击”
地址:http://www.sdsxywx.com/sdss/4384.html