目前,高端智能手机、平板电脑和其他移动设备迅速普及,成为恶意软件的新目标。 一项针对676名科技情报人员和安全专家的大规模调查显示,移动设备已成为“高持续威胁”的主要攻击目标,试图窃取人们的机密信息。
apt攻击瞄准的是员工的移动设备
约三分之二的调查受访者指出,他们在公司内部使用移动终端时曾受到恶意软件攻击,40%的受访者指出,移动终端曾成为apt等攻击的入口,如企业信息的访问权。
数据安全与隐私政策咨询机构ponemon institute发布的《年度终端风险状况》调查报告显示,目前平均有63%的公司员工在员工中使用移动终端设备,其中it经理将在未来3年内进行管理
该调查报告主张:“在多个it安全人员一致想要管理终端安全风险的同时,移动平台和公共云资源爆炸式增长,这些梦想变成了安全夜间媒体。” 此外,受访者认为:“现在高端智能手机等移动设备已经超过了pc和笔记本电脑,成为it环境中最大的潜在安全风险。”
根据这项调查,半数以上的it安全专家在发现互联网上异常渗透的流量时,就知道apt已经在攻击自己的终端。 约四分之一的受访者表示,他们收到了安装在移动终端上的安全软件的警告,并知道有可能遭到入侵。 另外,21%的人知道,他们在直接通知执法机关后,受到了apt攻击。
攻击的起点通常是对员工的钓鱼邮件、网络点击劫持( web-based click-jacking )、欺诈签名代码、数字证书等。 目前,被认为it风险较高的前三个APP包括adobe、谷歌文档和微软操作系统和APP通信。
半数以上的受访者承认,由于允许员工使用自己的移动设备工作,并且约半数以上的人自愿安装终端安全软件来保护byod的行为,因此他们倾向于携带“byod”计划。
该调查还询问了与第三方云服务相关的感知风险。 54%的受访者表示,公司使用“集中云安全政策”,40%的受访者表示,他们在上一年开始实施相关的云战略。
该报告指出,由于存在确保移动终端安全访问等现实问题,企业it部门的安全预算面临着必须增加的压力,但仍考虑每年增加企业整体的it安全预算 这些可能不够。
技术调查受访者期望公司每年可以在以下领域进行投资: APP控制、数据丢失防范、移动设备管理( mdm )、设备控制、大数据观察等。 回答者还认为,在移动设备管理方面,恶意软件的检测和预防、配置和访问管理等方面需要得到重要加强。
apt攻击的检测和防御
apt )高级可持续发展渗透攻击)简单来说,是比特定组织进行的更多复杂多面的网络攻击。 apt攻击的重点是窃取间谍和敏捷的数据,其影响度很大,但由于攻击范围小,收集有用的证据变得相对困难。 攻击者不仅采用现成的恶意软件,还采用定制恶意软件,建立僵尸互联网一样的远程控制体系结构,隐藏自己,形成非常安全的运营环境。 网络犯罪与网络间谍的界限越来越模糊,采用常规的恶意程序、漏洞和架构,使得对这些事件进行区别调查变得越来越困难。
防止apt攻击员工的移动设备
apt攻击可能会持续几天、几周、几个月甚至更多。 apt攻击可以从收集信息开始,这可能会持续一段时间。 在此期间可能需要收集包括技术和人员信息等在内的新闻。 情报收集业者可以形成后期的攻击,但后期的攻击可能很迅速或者很长。
例如,试图窃取商业秘密可能需要几个月。 比较收集新闻所需的信息,如安全协议、APP弱点和文件位置,但计划完成后,一次只需要几分钟的运行时间。 在其他情况下,攻击可能会持续很长时间。 例如,在成功将rootkit部署到服务器后,攻击者可能会定期将潜在有价值的文件的副本发送到命令和控制服务器进行审查。
那么,针对apt攻击的检测、防御通常使用什么样的应对方法呢? 以下,根据它们所涵盖的apt攻击阶段,分为以下4类。
首先是恶意代码检测类的方案。
这样的场景首先涵盖了apt攻击中的单点攻击突破阶段,检测apt攻击中的恶意代码传递过程。 大多数apt攻击都用恶意代码攻击员工的电脑,突破目标互联网和系统的防御措施。 因此,恶意代码检测对于检测和防御apt攻击至关重要。
然后,对主机应用保护类计划。
这样的方案主要涵盖了apt攻击过程中的单点攻击突破和数据采集的入驻阶段。 无论攻击者通过什么途径向员工的电脑发送恶意代码,这个恶意代码都必须在员工的电脑上执行才能控制整个电脑。 这是因为,如果能够加强系统内各主机节点的安全对策,确保员工个人电脑和服务器的安全,就能够比较有效地防御apt攻击。
也有网络入侵检测系统的方案。
这样的场景首先覆盖了apt攻击中的控制信道构建阶段,通过在互联网边界引入入侵检测系统来检测apt攻击的命令和控制信道。 安全分析人员发现,apt攻击中采用的恶意代码变种较多,经常升级,但用恶意代码构建的指挥控制信道的通信模式变化不大。 这是因为,由此可以使用以前传递的入侵检测方法来检测apt的命令控制信道。 该类计划成功的关键是如何及时获取各apt攻击方法的命令控制信道的检测特征。
最后是大数据观察检查系统方案。
该类计划不应对存在apt攻击的步骤进行点检测。 涵盖了整个apt攻击过程。 这种方式是网络取证的思路,全面收集各网络设备的原始流量和各终端和服务器上的日志,集中大量数据的存储和深入分解。 发现apt攻击线索后,通过全面分解这些大量数据可以恢复整个apt攻击场景。 由于大数据观察检测方案涉及大量的数据解决,因此需要构建大数据存储和分解平台,比较典型的大数据观察平台是hadoop。
综上所述,为了提高byod新形势下公司的安全防御能力,有必要及时了解apt攻击给公司带来的安全隐患。 然后通过积极的投资引进,应对apt攻击,同时崩溃。 当个人移动终端成为员工、社会交往等重要平台时,建立更有效的安全防御系统,防止apt攻击侵入员工的移动设备。
标题:“BYOD新年新策:防APT攻击员工移动设备”
地址:http://www.sdsxywx.com/sdss/539.html
心灵鸡汤: