APT攻击介绍目录•什么是APT•APT攻击阶段的划分•APT防御的建议•典型APT事件介绍什么是APT•高级持续性威胁(AdvancedPersistentThreat,APT),APT(高级持续性渗透攻击)是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽的攻击每一个特定目标,不做其他多余的活动来打草惊蛇。目录•什么是APT•APT攻击阶段的划分•APT防御的建议•典型APT事件介绍APT攻击阶段划分•APT攻击可划分为以下6个阶段:–情报搜集–首次突破防线–幕后操纵通讯–横向移动–资产/资料发掘–资料外传情报收集•黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究,然后开发出客制化攻击。–这个阶段是黑客信息收集阶段,其可以通过搜索引擎,配合诸如爬网系统,在网上搜索需要的信息,并通过过滤方式筛选自己所需要的信息;–信息的来源很多,包括社交网站,博客,公司网站,甚至通过一些渠道购买相关信息(如公司通讯录等)横向移动•黑客入侵之后,会尝试通过各种手段进一步入侵企业内部的其他计算机,同时尽量提高自己的权限。–黑客入侵主要利用系统漏洞方式进行;–企业在部署漏洞防御补丁过程存在时差,甚至部分系统由于稳定性考虑,无法部署相关漏洞补丁–在入侵过程中可能会留下一些审计报错信息,但是这些信息一般会被忽略。资产/资料发掘•在入侵进行到一定程度后,黑客就可以接触到一些敏感信息,可通过C&C服务器下发资料发掘指令:–采用端口扫描方式获取有价值的服务器或设备;–通过列表命令,获取计算机上的文档列表或程序列表;资料外传•一旦搜集到敏感信息,这些数据就会汇集到内部的一个暂存服务器,然后再整理、压缩,通常并经过加密,然后外传。–资料外传同样会采用标准协议(http/https,SMTP等)–信息泄露后黑客再更具信息进行分析识别,来判断是否可以进行交易或者破坏。–对企业和国家造成较大影响。目录•什么是APT•APT攻击阶段的划分•APT防御的建议•典型APT事件介绍APT防御的建议•情报收集阶段:在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。–内部教育:教育员工有关在社交网络上公开太多信息的风险,尤其是工作相关的信息。•小心谨慎–切勿在公开的个人网页上透露自己的个人和工作信息。•–保持警戒社交网络缺乏面对面接触的特性,很容易让人卸下心防,因而透露一些平常不会透露给陌生人的讯息。•–提防小人因特网上遇到的人,很可能不是他们看起来的样子。–公司政策:封锁社交网站或许不是解决此问题的最佳办法。不过,订定一些有关社交网络使用方式的公司政策并加强倡导,将有助于大幅降低锁定目标攻击的风险。首次突破防线防御•针对黑客的首次突破,可采用以下方式进行防御–寻找遭到渗透的迹象•大多数APT攻击都是使用鱼叉式网络钓鱼。因此,检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件,就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。–安全弱点评估•发掘并修补对外网站应用程序和服务的漏洞。–内部教育•教育员工有关鱼叉式网络钓鱼的攻击手法,要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。幕后操纵通讯防御•针对存在的幕后操纵通讯,可采用以下措施进行检测和防御–监控网络流量是否出现幕后操纵通讯•建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施,有助于企业发掘遭到入侵的主机,并且切断这类通讯。–识别判断攻击者幕后操纵服务器的通讯•企业可在沙盒隔离环境(sandbox)当中分析内嵌恶意软件的文件(如鱼叉式网络钓鱼电子邮件的附件)来判断幕后操纵服务器的IP地址和网域。–更新网关安全政策截幕后通讯•一旦找出幕后操纵服务器的网域和IP地址,就可更新网关的安全政策来拦截后续的幕后操纵通讯。横向移动防护•针对APT攻击的横向移动,可采取以下措施进行防护–漏洞防护•「漏洞防护」是一种主机式技术,能侦...
