针锋相对 四招防御APT攻击

APT即“Adavanced Persistent Threat”,是指针对明确目标的持续的、复杂的网络攻击。在2010年Google公司承认遭受严重黑客攻击后,APT攻击成为信息安全行业热议的话题之一。

APT攻击的主要特点

APT就像网络世界神秘莫测的刺客,以其自身的特点威慑着目标系统的安全。

针对性:与传统的网络攻击相比,APT攻击针对性很强。传统的网络攻击一般会选择相对容易的攻击目标,而APT攻击在选定攻击目标后,一般不会改变,整个攻击过程都经过攻击者的精心策划,攻击一旦发起,攻击者会针对目标网络尝试不同的攻击技术、攻击手段,不达目的绝不罢休。

隐蔽性:APT攻击具有极强的隐蔽性,攻击者往往会利用丰富的经验、先进的技术、超凡的耐性来掩盖自己的行踪,躲避常规安全产品的检测,并且整个攻击过程时间跨度较大,给APT攻击的防御带来极大的挑战。

复杂性:在APT攻击过程中,攻击者往往会利用多种攻击技术、攻击手段,不仅会利用已知安全漏洞、木马后门,还可能会利用0DAY漏洞、特种木马,通常会结合社会工程学的相关知识,并且攻击路径复杂,下图为APT攻击可能利用的攻击手段。

APT攻击的一般过程

尽管每起APT攻击事件都有不同的企图、不同的攻击目标,但是准备和实施APT攻击有一个通用的过程,一般可以划分为4个阶段,即搜索阶段、进入阶段、渗透阶段、收获阶段。

APT攻击的一般过程

搜索阶段:APT攻击与普通网络攻击相比,在信息搜索的深度和广度上有明显不同。APT攻击的攻击者会花费大量的时间和精力用于搜索目标系统的相关信息。他们会了解企业的背景、公司文化、人员组织,还会收集目标系统的网络结构、业务系统、应用程序版本等信息。随后攻击者会制定周密的计划,识别有助于攻击目标达成的系统、人员信息,收集、开发或购买攻击工具,APT攻击可能会利用特种木马、0DAY漏洞利用工具、口令猜测工具,以及其它渗透测试工具。

进入阶段:攻击者会进行间断性的攻击尝试,直到找到突破口,控制企业内网的第一台计算机。常见的方法如下:

恶意文件:精心构造,并以邮件、IM软件等形式向内部员工发送携带恶意代码的PDF、Word文档;

恶意链接:以邮件、IM软件等形式向内部员工发送携带恶意代码的URL链接,诱使员工点击;

网站漏洞:利用网站系统的漏洞,例如SQL注入、文件上传、远程溢出等等,控制网站服务器作为跳板,对企业内部进行渗透、攻击;

购买“肉鸡”:这是一种最便捷的攻击方式,即从地下黑市直接购买企业内部已经被其它黑客攻陷的计算机。

渗透阶段:攻击者利用已经控制的计算机作为跳板,通过远程控制,对企业内网进行渗透,寻找有价值的数据,与进入阶段类似,本阶段一样会考验攻击者的耐心、技术、手段。

收获阶段:攻击者会构建一条隐蔽的数据传输通道,将已经获取的机密数据传送出来。其实本阶段的名字叫“收获阶段”,但却没有时间的限制,因为APT攻击的发起者与普通攻击者相比是极端贪婪的,只要不被发现,攻击行为往往不会停止,持续的尝试窃取新的敏感数据与机密信息。

如何防御APT攻击

正所谓“知己知彼,百战百胜”,在我们对APT攻击有一定了解后,也要自省其身,了解企业的安全现状,才能做好防护,例如:企业与哪些机构通讯交互?企业的组织结构?现有的安全策略有哪些?哪些数据是机密数据,需要加强保护?是否有检测APT攻击的技术手段?是否有完善处理信息安全入侵事件的应急响应流程?员工的安全意识是否需要强化……

回顾APT攻击的四个阶段,我们在每个阶段可以做些什么呢?

搜集阶段:攻击者在此阶段主要任务是收集信息、制定计划。在此阶段我们可以依托安全威胁检测、预警系统,识别攻击者对企业网络的嗅探、扫描行为,做到提前防范;加强对信息系统的安全管理,例如定期进行安全检查、加固,尽量少的暴露系统信息,提高初始攻击的难度;定期对员工进行安全意识培训,提高员工的安全防范意识。

进入阶段:攻击者在此阶段会想办法控制企业内部的计算机作为实施入侵行为的第一个落脚点。在本阶段我们可以依托安全威胁检测、预警系统识别正在进行的攻击行为;合理配置入侵防御系统、防火墙等产品的安全策略,阻断常规的攻击尝试行为;提高警惕,避免攻击者利用社会工程学进行诱骗;一旦发现攻击事件,启动事件处置及应急响应流程。

渗透阶段:渗透阶段与进入阶段类似,攻击者都会尝试不同的攻击技术、攻击手段对目标系统进行入侵。可以考虑通过合理规划安全域,加强系统账户的安全审计、系统账号及权限管理、系统安全策略优化等手段提高攻击者继续渗透的难度;此外,威胁监测和安全意识同样是强化的重点。

收获阶段:在本阶段攻击者会设法将获取的机密数据信息传送至企业外部网络,因此对于敏感流量、非法连接的检测变得尤为重要。

APT攻击无法通过单一的安全产品和安全技术进行有效的检测、防护,企业只有建立以安全技术与安全管理相结合的纵深防护体系,才能抵御APT攻击。此外,在APT攻击与防御的一般过程中,威胁检测贯穿始终,因为只有及时发现APT攻击,我们才能在第一时间阻止网络攻击事态的继续恶化,进而有的放矢的完善企业的安全防护体系。

(责任编辑:管理员)

分享到:

更多
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
  • 微笑/wx
  • 撇嘴/pz
  • 抓狂/zk
  • 流汗/lh
  • 大兵/db
  • 奋斗/fd
  • 疑问/yw
  • 晕/y
  • 偷笑/wx
  • 可爱/ka
  • 傲慢/am
  • 惊恐/jk
用户名: 验证码:点击我更换图片
资料下载专区
图文资讯

开源发家史:Linux在为谁代言?

开源发家史:Linux在为谁代言?

开源,也被称为开放源代码(Open Source) 开源(Open Source) 开源运动起源于20实际60年...[详细]

作为码农,我们为什么要写作

作为码农,我们为什么要写作

在程序员这个行业,坚持做技术写作的人一直比较少。我和身边的朋友沟通后,发现他们除...[详细]

键盘敲击识别技术真的靠谱吗?

键盘敲击识别技术真的靠谱吗?

所有人都知道密码是靠不住的。于是现在有一个有意思的行为生物识别是你是如何打字的,...[详细]

干货!企业安全产品采购指南

干货!企业安全产品采购指南

作为一个安全行业的客户,怎么知道什么样的技术、产品和服务将会满足自身的需求?本文...[详细]

作为程序员,你必须了解这些关于计算机的知

作为程序员,你必须了解这些关于计算机的知识

存储-块设备,文件系统,集群文件系统,分布式文件系统,光纤SCSI,iSCSI,RAID等。 ...[详细]

返回首页 返回顶部