下载文档原格式
网络安全中的高级持续性威胁防御在当今数字化时代,网络已经成为人们生活和工作中不可或缺的一部分。
然而,随着网络技术的不断发展,网络安全威胁也日益严峻。
其中,高级持续性威胁(Advanced Persistent Threat,简称 APT)成为了网络安全领域的一大挑战。
高级持续性威胁是一种具有高度复杂性和持续性的网络攻击手段,其攻击者通常具有丰富的资源和专业的技术知识。
与传统的网络攻击不同,APT 攻击并非一次性的行为,而是经过长期的策划和准备,旨在窃取重要的情报、数据或破坏关键的基础设施。
那么,究竟什么是高级持续性威胁呢?简单来说,APT 攻击具有以下几个显著特点。
首先,它具有极强的隐蔽性。
攻击者会运用各种先进的技术手段来隐藏自己的行踪,避免被安全防护系统检测到。
他们可能会利用零日漏洞、恶意软件变种等方式来突破网络防线。
其次,APT 攻击具有明确的目标性。
攻击者往往针对特定的组织、机构或个人,为了获取特定的有价值信息而展开攻击。
再者,其攻击过程具有持续性。
攻击者会在很长一段时间内持续渗透、窃取信息,不断调整攻击策略以应对目标的防御措施。
面对如此复杂且危险的 APT 攻击,我们应该如何进行有效的防御呢?首先,强化网络安全意识是至关重要的。
无论是企业员工还是个人用户,都需要充分认识到网络安全的重要性,了解常见的网络攻击手段和防范方法。
比如,不随意点击来路不明的链接,不轻易下载未知来源的文件,定期更新密码并使用强密码等。
只有每个人都树立起良好的网络安全意识,才能从源头上减少 APT 攻击的可乘之机。
其次,企业和组织需要建立完善的网络安全防御体系。
这包括部署防火墙、入侵检测系统、防病毒软件等安全设备,并定期对这些设备进行更新和维护。
同时,还需要进行定期的安全审计和漏洞扫描,及时发现并修复系统中的安全漏洞。
另外,加强对数据的保护也是防御 APT 攻击的关键。
对重要的数据进行加密存储,设置严格的数据访问权限,定期进行数据备份等措施,可以有效降低数据被窃取或破坏的风险。
高级持续性威胁(APT)攻击如何防范与检测在当前的信息化社会中,网络攻击事件屡见不鲜。
其中,高级持续性威胁(APT)攻击是一种具有较高危害性和长期持续性的攻击方式。
APT攻击旨在获取机密信息、破坏网络设施及侵犯网络安全,给企业和个人带来严重的损失。
因此,有效地防范和检测APT攻击显得尤为重要。
本文将探讨如何进行APT防范与检测。
一、构建防御体系为了有效防范APT攻击,我们首先需要构建一套完善的防御体系。
以下是一些关键的措施:1. 网络安全培训:为企事业单位员工进行网络安全培训,提高他们的网络安全意识和技能,让他们能够辨别并防范潜在的威胁。
2. 安全策略和政策:制定和实施严格的安全策略和政策,包括访问控制、密码管理、数据备份等。
定期审查和更新这些策略和政策,确保其符合最新的安全标准。
3. 强化网络边界防御:配置防火墙、入侵检测和防御系统、反病毒软件等,保护网络边界安全。
及时更新这些安全设备的规则和签名库,以识别和隔离潜在的威胁。
4. 加密与身份验证:对重要的数据进行加密保护,确保在传输和存储过程中不被窃取。
同时,采用双因素身份验证等措施,确保只有合法用户可以访问敏感信息。
二、实施安全监控与检测在防御体系的基础上,安全监控与检测是及时发现和应对APT攻击的重要手段。
以下是一些关键的措施:1. 安全事件日志管理:配置和管理安全设备的日志记录功能,收集保留网络和系统的日志信息。
通过对日志信息进行分析和监控,及时发现异常情况和攻击迹象。
2. 威胁情报分析:持续跟踪并分析来自可信渠道的威胁情报,包括APT攻击的最新特征和攻击方式。
通过将威胁情报与网络日志和事件进行关联分析,提高对潜在威胁的识别能力。
3. 行为分析与异常检测:利用高级的安全分析工具和技术,对网络和终端设备的行为进行实时监控和分析。
通过检测异常行为模式,可以及时发现APT攻击并采取相应的应对措施。
4. 网络流量监控与过滤:通过使用入侵检测系统和流量分析工具,实时监控和分析网络流量。
APT攻击威胁网络安全的全面解析与防御探讨
沈立君
【期刊名称】《信息安全与技术》
【年(卷),期】2015(0)8
【摘要】随着IT技术的发展网络的互连程度、开放程度、便捷程度和共享性也是越来越大,而与此相对的网络安全问题显得越来越重要.特别是互联网的普及之后随着虚拟化大数据的盛行,让重要的数据得以越来越便捷的访问,网络的安全性更是被提到日程上来.APT(高级持续性威胁)攻击是当前非常热门的话题,自2010年Google承认遭受严重黑客攻击之后,更是被人们经常提及到.APT攻击对于大公司而言无疑是一场噩梦,如像Google、RSA、Comodo等深受其害的公司.而对于网络大众使用者来讲,网络安全离我们其实并不遥远,如网络中经常受到攻击,个人PC 中病毒、被注入木马等.论文通过对APT攻击的解读由点到面提出一些网络安全防护的见解和策略.
【总页数】5页(P66-70)
【作者】沈立君
【作者单位】安徽省淮南矿业集团安徽淮南232001
【正文语种】中文
【相关文献】
1.APT攻击方式对网络安全防御的冲击以及应对 [J], 李杰
2.传统网络安全防御面临的新威胁:APT攻击 [J], 林龙成;陈波;郭向民
3.几种主要网络安全威胁及防御措施探讨 [J], 张迪
4.计算机网络安全威胁及防御措施探讨 [J], 王雅萱
5.面向APT攻击的网络安全威胁隐蔽目标识别方法 [J], 王小英;刘庆杰;郭娜;庞国莉
因版权原因,仅展示原文概要,查看原文内容请购买。
高级持久性威胁(APT)防御高级持久性威胁(APT)是一种对信息系统和网络构成严重威胁的攻击形式。
APT攻击者通常是具有高度专业知识和资源的组织或个人,他们通过精心策划并长时间隐藏攻击活动,以获取敏感信息、窃取知识产权或破坏目标组织的运营。
为了预防APT攻击,组织需要实施一系列的防御措施。
1. 威胁情报和情报共享威胁情报是指关于攻击者活动和意图的信息。
它可以帮助组织了解APT攻击的最新趋势和技术,并提供对应的防御策略。
组织可以通过获取第三方的威胁情报或与其他组织进行情报共享来增强对APT攻击的预警和应对能力。
2. 强化身份和访问管理APT攻击者往往利用合法用户的身份和权限进行攻击。
为了减少这类风险,组织需要实施严格的身份验证和访问管理措施。
多因素身份验证、权限分级和监控用户行为等技术手段可以帮助组织检测和防范未经授权的访问。
3. 持续监控和入侵检测APT攻击通常具有高度隐蔽性和持久性。
组织需要建立实时监控系统,对网络流量、系统日志和用户行为进行持续监测,并利用入侵检测系统(IDS)和入侵防御系统(IPS)等工具及时发现并应对潜在的APT攻击。
4. 安全培训和意识提高员工是组织安全的第一道防线。
组织需要定期进行安全培训,提高员工对APT攻击和安全威胁的认识,培养员工的安全意识和报警意识。
员工了解常见的攻击手段和防御技巧,能够有效减少由于人为因素导致的安全漏洞。
5. 漏洞管理和补丁更新APT攻击者通常利用系统和应用程序的漏洞进行渗透。
组织需要及时收集、评估和修补系统漏洞,并确保及时安装厂商发布的安全补丁,以防止攻击者利用已知漏洞入侵系统。
6. 数据备份和灾难恢复在遭受APT攻击时,及时恢复业务运营至关重要。
组织需要定期备份关键数据,并建立紧急恢复计划。
当遭受攻击时,及时恢复数据和系统,以减少损失和恢复时间。
7. 多层防御和安全网络架构组织应该采用多层防御策略,构建安全网络架构。
包括防火墙、入侵防御系统、反病毒软件、数据加密、安全网关等技术手段的综合应用,能够提供覆盖面更广的安全防御。
高级持续性威胁(APT)的网络防御随着互联网的快速发展和信息化的深入推进,网络安全已经成为一个全球性的话题。
在网络安全领域中,高级持续性威胁(Advanced Persistent Threat,简称APT)是一种恶意攻击方式,威胁着企业和个人的网络安全。
本文将探讨高级持续性威胁的概念、特点以及网络防御的方法。
一、高级持续性威胁(APT)的概念高级持续性威胁(APT)是一种由高度有组织的黑客团队或国家背后支持的攻击方式,通常目标是获取对特定信息的长期访问权限。
APT攻击的特点是持续性、隐蔽性和针对性。
攻击者不断调整和改进攻击手法,以应对新的安全策略和技术。
二、高级持续性威胁(APT)的特点1. 持续性:APT攻击通常是长期进行的,攻击者会在网络中建立后门程序,以隐蔽地持续获取信息。
2. 隐蔽性:APT攻击的目标是尽量减少被发现的风险,攻击者会使用高度隐蔽的方式入侵目标系统,并通过多种手段进行信息窃取。
3. 针对性:APT攻击针对特定目标,攻击者会针对目标系统的弱点和漏洞进行攻击,以获取目标信息。
三、高级持续性威胁(APT)的网络防御方法1. 建立完善的网络安全策略:企业和个人应该建立健全的网络安全策略,制定相应的网络安全政策和操作指南,以保护自身网络免受APT攻击的威胁。
2. 加强入侵检测与阻断系统:安装入侵检测与阻断系统(Intrusion Detection and Prevention System,简称IDPS),及时监测和阻断可疑的网络活动,防止攻击者进一步入侵和进行信息窃取。
3. 提升员工网络安全意识:培训员工,提高他们的网络安全意识,教育他们如何处理可疑邮件、短信和网页链接,避免点击恶意链接或下载可疑附件。
4. 及时打补丁和升级系统:APT攻击通常利用系统漏洞进行入侵,因此及时打补丁和升级系统是重要的防御手段。
企业和个人应该定期更新系统补丁,以修复已知漏洞,提高系统的安全性。
5. 数据加密和访问控制:加强对敏感数据的保护,采用加密技术对重要数据进行加密存储和传输,同时设置严格的访问控制策略,限制对敏感数据的访问权限。
网络空间安全中的APT攻击防范策略研究APT攻击又称“高级持续性威胁”,是指攻击者通过长期、潜伏、隐匿的方式入侵目标网络,窃取敏感信息或者破坏系统。
这种攻击方式难以被传统的安全防御系统发现和抵御。
随着互联网的发展,APT攻击越来越成为网络安全的重要挑战。
如何能够有效地防范APT攻击成为网络安全领域的研究热点。
1. APT攻击特点APT攻击的一大特点是攻击者通过反复尝试,寻找被攻击者的弱点,一旦发现被攻击者的漏洞,便长期潜伏在被攻击者的网络系统之中,随时准备窃取数据或者制造灾难。
APT攻击的另外一个重要特点是攻击者渗透进来后,利用隐蔽性进行长时间的内部渗透,内其他攻击方式相比,潜伏时间更长、持续性更强、后果更严重。
2. APT攻击原理APT攻击的基本原理就是攻击者通过利用各种技术手段,进入目标系统之后长时间地搜集主机和网络相关的信息,积累可利用的攻击权利,从而展开更大规模、更高效率和更有针对性的攻击。
APT攻击一般是需要多个环节,攻击者需充分考虑其系统的安全机制,并使用一系列独特的技术手段。
APT攻击通过网络钓鱼、木马植入、伪装攻击源、设定攻击流量等方式,从而换取系统的最高权限,完成从内到外的渗透。
3. APT攻击防范措施3.1 学习APT攻击技术防范APT攻击的第一步是熟悉常用的APT攻击手段和技术手段,半只有充分认识到APT攻击的危害和攻击者特有的思维模式,才能找到更好的对策。
防范者需要学习APT攻击的攻击模式、入侵方法和技术特点,从而定期检测和分析系统漏洞,发现攻击迹象。
3.2 强化网络安全防御体系网络安全防御体系主要包括硬件、软件、人力等多个方面。
增强网络安全防御的措施主要包括:(1) 搜索用户合法行为与不合法行为的方式。
(2) 建立网络访问控制策略。
(3) 用户行为监控并进行反馈和预测。
(4) 强制应用访问控制策略。
(5) 加强和完善网络安全意识教育。
此外,防范APT攻击还需要通过策略和技术手段来限制恶意流量的数量和优先级顺序,防止攻击者通过改变攻击源的IP地址、伪造攻击数据包等方式,逃避检测。
高级持续性威胁(APT)攻击与防范随着网络的迅猛发展和互联网的广泛应用,网络安全问题变得越来越重要。
高级持续性威胁(APT)攻击是一种针对关键基础设施、政府机构、大型企业等目标进行的长期持续的攻击手法。
本文将就高级持续性威胁攻击的定义、特征、防范措施等方面进行探讨。
1. 定义和特征APT攻击是指骇客或黑客组织利用高度先进的威胁手段,通过长期持续的方式对特定目标进行攻击和渗透。
与传统的网络攻击方式相比,APT攻击具有以下几个特征:- 高度专业化和组织化:APT攻击通常由有组织的黑客组织发起,攻击手段高度专业,攻击者经过深入调查和策划,有针对性地攻击特定目标。
- 持续性和隐蔽性:APT攻击以长期的方式进行,攻击者往往通过多层次的攻击手段和躲避防御系统的手段来保持攻击的持续性和隐蔽性。
- 具有多层次攻击手段:APT攻击一般包括入侵目标网络、获取敏感信息、建立后门、数据窃取等多个层次的攻击手段。
2. 防范措施由于APT攻击具有高度专业性和持续性的特点,传统的网络安全防护手段往往难以有效应对。
为了有效防范APT攻击,以下几个方面的防范措施是至关重要的:- 多层次的网络安全防护:企业和机构需要采取多层次的网络安全防护措施,包括网络入侵检测系统(IDS)、防火墙、入侵防御系统(IPS)等,用于实时监测和预警潜在的APT攻击行为。
- 加强员工培训与意识:由于APT攻击往往以社会工程学手段进行,员工的安全意识是防范APT攻击的第一道防线。
企业和机构需要加强员工的网络安全培训,提高他们对网络安全风险的认识和警惕性。
- 数据加密和访问控制:针对重要的敏感数据,企业和机构需要采取数据加密和严格的访问控制措施,确保只有授权人员才能访问和操作相关数据。
- 安全事件监测和响应:企业和机构需要建立安全事件监测和响应机制,以便对潜在的APT攻击进行实时监测,并迅速做出应对和处理。
- 与国内外相关机构的合作:面对APT攻击,企业和机构应与国内外相关机构进行合作,及时获取最新的APT攻击信息和防范技术,提高对APT攻击的响应能力。
网络安全实操经验分享如何应对APT攻击随着互联网的发展,网络安全问题已经成为现代社会一个重要的挑战。
APT(Advanced Persistent Threat)攻击是一种高级持续威胁攻击,它通过在长时间内缓慢地渗透入目标系统中,在不被察觉的情况下获取信息、入侵系统或者窃取数据。
本文将分享一些网络安全实操经验,帮助读者应对APT攻击。
一、加强用户教育与意识提升用户教育与意识提升是应对APT攻击的第一步。
通过定期的网络安全培训、教育活动,提高员工、用户对网络攻击的认识和防范意识。
教育中应包括恶意软件的识别、典型的社交工程攻击案例的介绍以及密码安全的重要性等内容。
二、建立完善的安全策略建立完善的安全策略是应对APT攻击的关键。
这包括制定安全政策、流程和规范,确保安全防护设备和软件的及时更新,以及设立监控和预警机制。
此外,应该加强设备和应用程序的访问控制,限制不必要的访问权限。
三、进行定期的漏洞扫描和安全检查定期进行漏洞扫描和安全检查是防范APT攻击的重要手段。
通过使用专业的安全检测工具,及时发现系统中的漏洞并及时修补,以减少系统遭受攻击的风险。
同时还需建立漏洞修复和安全补丁更新的机制,及时修复未知漏洞。
四、加强网络流量监控和日志分析网络流量监控和日志分析是应对APT攻击的重要手段。
通过分析网络流量和安全日志,可以发现异常活动,并及时采取应对措施。
此外,应建立事件响应机制,及时处置和调查安全事件,避免攻击蔓延造成更大的损失。
五、使用强密码和多因素身份验证使用强密码和多因素身份验证是保护账户安全的重要措施。
密码应使用复杂且不易被猜测的组合,并定期更换密码。
同时,多因素身份验证可以增加登录过程的安全性,提高用户账户的防护能力。
六、定期进行备份和灾难恢复演练定期进行备份和灾难恢复演练是防范APT攻击的重要环节。
通过定期备份关键数据,并将备份数据存储在安全可靠的地方。
此外,定期演练灾难恢复流程,确保在系统遭受攻击或故障时能够快速有效地恢复业务。
APT网络攻击与防御策略探析摘要:当前社会运行模式普遍呈现网络化发展态势,网络技术对国际政治、经济、文化、军事等领域发展产生了深远影响。
网络无疆域性导致网络信息的跨国界流动,从而使信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志。
为确保竞争优势和国家利益,各国政府开始通过互联网竭尽所能收集情报信息。
在此种背景下,全新的网络空间安全威胁开始出现,高级持续威胁(APT)攻击是其中最具威胁性的类型之一。
关键词:APT;网络攻击;防御策略一、APT网络攻击的内涵及特点APT即高级持续性威胁,指黑客针对特定目标以、窃取核心资料为目的所发动的网络攻击和侵袭行为,这种行为往往经过长期的经营与策划并具备高度的隐蔽性,是一种蓄谋已久的“恶意商业间谍威胁”。
APT攻击对现有安全防护体系带来了巨大的挑战,成为所有信息安全从业人员重点关注的对象。
在一些国家,APT攻击已经成为国家网络安全防御战略的重要环节,针对APT攻击行为的检测与防御被确定是整个风险管理链条中至关重要也是最基础的组成部分。
APT的攻击手法在于隐匿攻击者的踪迹并针对特定对象进行长期、有计划性和组织性地渗透,直到成功窃取数据。
通常具有如下特点:1、攻击针对特定高价值目标。
APT攻击通常带有很强的商业或政治目的,以窃取具备商业价值的信息或破坏目标系统为目的。
大型互联网服务机构(如Google、Facebook、亚马逊)、金融机构(银行、证券)、政府机构及基础工业机构(电力能源)是APT攻击的重灾区。
2、攻击技术复杂多样。
APT攻击的发起者象是一支配备了精良武器装备的特种部队,利用一切可能的防御漏洞围绕目标系统进行全方位精确打击,在整体攻击过程中通常会综合利用钓鱼、漏洞扫描、SQL注入、缓冲区溢出、暴力破解、加密传输等多种技术手段绕过目标系统的层层防线,从系统外围到核心区域逐步攻克目标。
3、潜伏性和持续性。
发动APT攻击的黑客目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索直到能彻底掌握所针对的目标人、事、物。
如何应对APT持续性高级威胁攻击在当今数字化的时代,网络安全面临着诸多挑战,其中 APT (Advanced Persistent Threat,持续性高级威胁)攻击成为了企业和组织的重大威胁之一。
APT 攻击具有高度的复杂性、隐蔽性和持续性,给目标带来了巨大的损失。
因此,了解如何应对 APT 持续性高级威胁攻击至关重要。
首先,我们需要清楚地认识什么是 APT 攻击。
APT 攻击并非一般的网络攻击,它是由专业的黑客团队或者有组织的犯罪集团精心策划和实施的。
这些攻击者通常具有丰富的资源、高超的技术和充足的时间,其目标往往是获取敏感信息、破坏关键基础设施或者对特定目标造成长期的损害。
APT 攻击的特点包括以下几个方面。
一是高度的隐蔽性,攻击者会采用各种手段来隐藏自己的行踪和攻击行为,使其难以被发现。
二是针对性强,他们会对目标进行深入的研究和分析,了解其网络架构、业务流程和安全防护措施,从而制定出专门的攻击策略。
三是持续性,APT 攻击不是一次性的,而是长期潜伏在目标系统中,不断地窃取信息或者进行破坏。
那么,面对如此复杂和危险的 APT 攻击,我们应该如何应对呢?加强网络安全意识培训是第一步。
员工往往是网络安全的第一道防线,也是最容易被攻击者突破的环节。
因此,要对员工进行定期的网络安全培训,让他们了解常见的网络攻击手段、如何识别钓鱼邮件和恶意链接、如何保护个人和企业的敏感信息等。
只有提高员工的网络安全意识,才能有效地减少因人为疏忽而导致的安全漏洞。
建立完善的网络安全防御体系是关键。
这包括部署防火墙、入侵检测系统、防病毒软件等传统的安全设备,同时也要引入先进的威胁情报分析平台、沙箱技术和行为分析系统等。
这些技术手段可以帮助我们及时发现和阻止潜在的 APT 攻击,同时对已经发生的攻击进行溯源和分析。
进行实时的网络监测和预警也非常重要。
通过安装网络流量监测设备和日志分析工具,对网络中的数据流量和系统日志进行实时监控,一旦发现异常行为,能够及时发出警报并采取相应的措施。
APT攻击威胁网络安全的全面解析与防御探讨作者:沈立君来源:《信息安全与技术》2015年第08期【摘要】随着IT技术的发展网络的互连程度、开放程度、便捷程度和共享性也是越来越大,而与此相对的网络安全问题显得越来越重要。
特别是互联网的普及之后随着虚拟化大数据的盛行,让重要的数据得以越来越便捷的访问,网络的安全性更是被提到日程上来。
APT (高级持续性威胁)攻击是当前非常热门的话题,自2010年Google承认遭受严重黑客攻击之后,更是被人们经常提及到。
APT攻击对于大公司而言无疑是一场噩梦,如像Google、RSA、Comodo等深受其害的公司。
而对于网络大众使用者来讲,网络安全离我们其实并不遥远,如网络中经常受到攻击,个人PC中病毒、被注入木马等。
论文通过对APT攻击的解读由点到面提出一些网络安全防护的见解和策略。
【关键词】网络安全;APT;网络攻击;黑客APT Attacks in Parsing and Defense of Network Security ThreatsShen Li-jun(Anhui Province, Huainan Mining Group Co. AnhuiHuainan 232001)【 Abstract 】 With the development of IT technology, the degree of interconnection network of openness, convenience and sharing is becoming more and more large, and network security problems and the relative becomes more and more important. Especially after the popularization of the Internet with the virtual data prevailed, let us important data can be more convenient access,network security is being on the agenda. APT (advanced persistent threat) attack is one of the very hot topic, since the 2010 Google admitted to suffer serious hacker attacks, is people often refer to. APT attack is a nightmare for large companies, such as Google, RSA, Comodo etc. the company suffered. While the network popular user, network security is not far away from us, such as attack is often the network, individual PC virus, was injected into the Trojan horse. In this paper,through the interpretation from the point to the surface of APT attack are put forward and some strategies of network security.【 Keywords 】 network security; apt; network attack; hacker1 引言APT(Advanced Persistent Threat)高级持续性威胁通过字面意思可以看到这种攻击行为是一种持续性的攻击,而要做到持续性的攻击,极强的隐蔽能力是必不可少的。
APT攻击在进行攻击的时候,经常都会利用企业或单位网络中设备或系统的漏洞来形成进行入侵攻击。
另外,攻击者在实施APT攻击时,往往会具有很强的针对性,在选定攻击目标之后就会有针对性的利用社会工程学收集大量和攻击目标相关的信息。
而0 DAY漏洞在APT攻击中起到至关重要的位置,很多的攻击都是基于0DAY漏洞发起的。
当攻击者选定一个攻击目标之后,攻击者就会有针对性地针对攻击目标进行长时间的潜心准备,信息收集。
如对攻击目标的网络坏境、网络架构做详细的了解;搜集目标网络中的应用系统和设备存在的漏洞;了解重要业务系统的访问流程;了解整个网络的组织架构情况等,通过一些列的手段和技术尽可能详细的收集网络信息。
当万事俱备之后,攻击者就通过前期获取到的信息一步一步地入侵到网络中,中间可能会经过几次的跳转、探测,最后成功地获取想要的信息。
APT攻击是一种复杂而长期的攻击行为,由于隐蔽性高,所以很多网络中虽然已经被攻击了,但是我们网络管理人员并不清楚,所以认为网络中没有什么安全威胁,其实网络已经被人入侵了。
2 APT攻击案例2.1 Google 极光攻击Google公司在2010 年又一次声名远播,但是这次是由于Google网络受到了 Aurora(极光)的APT攻击。
该事件主要是由于Google的一名工作人员点击了即时消息中的一条恶意链接,导致Google的网络被他人渗入数月,并且造成各种系统的数据被窃取。
2.2 震网攻击2010 年伊朗布什尔核电站遭到 Stuxnet蠕虫的攻击,导致核电站产生及其恶劣的影响,这件事件就是著名的震网攻击,即超级工厂病毒攻击。
核电站的网络我们可想而知,内部的网络肯定是与外网物理隔离的,内外网络可以看成就是两个网络,这与我们接触到安全性要求较高的网络非常相似,按理说,这样的网络是不会受到外界攻击的,只会受到内部的攻击。
但是震网攻击却打破了这一铁律。
这次的APT攻击是一次极为巧妙地控制了攻击范围,攻击十分精准的攻击,攻击的方式堪称经典。
在 2011 年,一种基于 Stuxnet 代码的新型蠕虫 Duqu 又出现在欧洲,号称“震网二代” ,这次的“二代”病毒主要用于收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。
攻击者利用合法的jpg图片格式对文件进行加密处理,然后通过僵尸网络对其内置的 RAT进行远程控制,并且采用私有协议与CC端进行通讯,将加密文件传输出网络。
2.3 RSA SecurID 窃取攻击EMC 公司下属的RSA 公司在2011年3月遭受入侵,其公司使用的部分SecurID 技术及客户资料被攻击者窃取。
然后攻击者利用SecurID 作为认证凭据和RSA有业务往来的公司建立VPN连接,其中包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商均受到不同程度的攻击,很多重要资料被攻击者窃取。
在 RSASecurID 攻击事件中,攻击方没有使用大规模 SQL 注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。
通过上面的几个APT攻击案例的简介,可以发现实施典型的APT攻击,会使用到图1的方式入侵到网络中。
由图1显示,我们可以看到通常APT攻击者都会选择对外提供服务的Web服务器做为攻击起点。
这是因为对外提供服务的Web服务器常常伴随有单位的邮箱服务,而利用电子邮件发送恶意信息恰巧是APT攻击的最重要的手段之一,且通过入侵到邮件服务器中,还能获取到很多有用的交互信息。
攻击者通过各种手段入侵到外网的Web 服务器中之后,在通过扫描、探测等手段,入侵到邮件服务器中。
在利用邮件系统实施的APT攻击成功之后,攻击者会利用Word、PDF、PPT、Excel、Zip 等多种常用的办公系统中的0 day漏洞使攻击成果进一步扩大,所以,网络使用者在使用日常的办公系统时,要提高安全使用的意识。
3 防御APT攻击APT攻击的特性导致了网络中我们所使用的网络可能一直处于不安全的状态,网络威胁随时可能发生。
那对于这种攻击时间长、隐蔽性高的攻击行为,我们如果能够保证网络可以安全的运行,想要有效地防御APT攻击,需要做到两点。
3.1 动态检测APT动态行为分析技术。
原理:将分析样本引入可控虚拟环境,动态解析或运行样本,通过分析样本的动态处理过程,判断样本中是否包含恶意代码;目的:解决APT攻击中的0Day漏洞利用检测等问题;挑战:恶意代码的反制;全面的用户环境模拟。
异常流量检测技术。
原理:对网络中的正常行为模式建模,通过分析流量对于正常行为模式的偏离而识别网络攻击码;目的:解决APT攻击中的隐蔽传输与内网探测检测等问题;挑战:简单准确的定义正常行为模式。
全流量回溯分析技术。
原理:通过对底层数据包的抓取获取全流量,并将流量记录到专用设备中回溯分析网络流量;目的:海量数据的快速索引获取全网络交互数据,透视网络运行;挑战:海量数据短时间检索。
3.2 多维度多角度分析要有效地防护APT可以从发现、追踪、取证、防御这四个步骤来进行多维度多角度的分析。
发现:发现各种网络异常流量和恶意样本。
通过专用的设备从网络中数据流里提取出各种文件或样本,首先,对于已知的常见的攻击,进行快速的判断,并对网络中的数据进行深入检测,通过预检测技术和深度检测技术。
对数据中是否有shellcode进行检查,判断是否存在shellcode指令或代码,然后通过动态检测,通过虚拟机技术,模拟用户真实环境等进行未知恶意样本检测,要能及时的发现网络中异常的流量和携带恶意程序的样本。
追踪:关联攻击行为和攻击来源。
当发现网络中存在异常流量或是恶意样本时,只检测出有异常,其实对网络的安全帮助比较微小,为了能够进一步提高网络安全性,还需要能够对APT攻击整个流程进行追踪,找出历史数据和攻击来源,以及攻击范围。
取证:获取恶意样本和恶意行为。
追踪到异常的源头,我们还需要对网络攻击特征进行取证,并通过动态检测技术、静态分析技术等,将样本的各种网络行为提供提取,包括释放的PE文件位置,反弹的域名和IP地址,管理权限的变化,注册表的改动行为等,记录这些攻击行为,可以有效的避免下次出现同样的攻击行为,进一步提高网络安全性。
防御:形成整体恶意行为拦截防御体系。
只做分析和取样是不能有效防止APT攻击的,还需要形成了整体的一个防御体系,一个地方受攻击,可以让整个网络都具备免疫能力,达到整体防御保护的结果。
4 模拟APT攻击环境搭建本次环境搭建的目的就是针对某集团公司中现有邮件系统进行检测,检测其有没有存在基于未知漏洞或是可逃过检测的已知漏洞。
4.1 模拟前期准备在做攻击模拟之前,做了攻击之前的准备工作:选取一台独立的邮件服务器和带邮件收发功能的OA办公系统;利用shellcode编辑一个调用计算器的文档:#include "windows.h"int main(){LoadLibraryA("kernel32.dll");//4c801d7bWinExec("calc.exe",SW_SHOW);return 0;}本次测试环境选取的是某集团公司信息中心,分两部分进行模拟测试,一部分是互联网互联模拟方案,另一部分是隔离网模拟方案。
