导航| 欢迎访问商讯网
安全
当前位置: 商讯网 > 安全 >

启明星辰:人机结合共御APT攻击


投稿: adg  2014-01-10 11:22:45  来源: 比特网 我要评论(0 ) 访问次数 

  近几年,安全威胁发生了很大变化,尤其是高级持续性威胁(APT)有愈演愈烈之势。那么,APT威胁最近有哪些新的发展?传统检测方法应对APT有哪些不足?我们又该如何防御?启明星辰积极防御实验室(ADLab)副总监杨红光给出了自己的看法。

  APT威胁最新发展动态

  FireEye公司发布的《2012年下半年高级威胁分析报告》指出,约每三分钟就会有一个机构遭受一次 恶意代码 攻击(特指带有恶意附件、或者恶意WEB链接、或者CnC通讯的邮件); 92%的攻击邮件都使用zip格式的附件,剩下的格式还有 pdf 等。另外,根据CN-CERT发布的《2012年我国 互联网 网络安全态势综述》显示,2012年我国境内至少有4.1万余台主机感染了具有APT特征的 木马 程序。

  我们面临的问题是:我们对跨年度的恶意代码无法及时感知,传统反 病毒 体系的获取实时性遭到了挑战;APT攻击的攻击范围广、针对性强,它不仅仅局限于传统的信息网络,还会威胁工控系统、移动终端等其它信息系统,针对如能源、军工、金融、科研、大型制造、IT、政府、军事等大型组织的重要资产发动攻击;APT威胁愈演愈烈,普遍存在且影响严重。随着鱼叉式钓鱼攻击、水坑攻击等新型攻击技术和攻击手段的出现,对于APT攻击的检测和防范变得越发困难。

  APT攻击技术日益复杂

  APT攻击一般可以划分为4个阶段,即搜索阶段、进入阶段、渗透阶段、收获阶段。

  在搜索阶段,APT攻击的攻击者会花费大量的时间和 精力 用于搜索目标系统的相关信息、制定周密的计划、开发或购买攻击工具等。在进入阶段,攻击者会进行间断性的攻击尝试,直到找到突破口,控制 企业 内网的第一台计算机。随后进入渗透阶段,攻击者利用已经控制的计算机作为跳板,通过远程控制,对企业内网进行渗透,寻找有价值的数据。最后,攻击者会构建 一条 隐蔽的数据传输通道,将已经获取的机密数据传送出来。

  APT攻击是攻击者利用多种攻击技术、攻击手段,同时结合社会工程学的知识实施的复杂的、持续的、目标明确的网络攻击,这些攻击技术和攻击手段包括 SQL注入攻击 、XSS跨站脚本、0Day漏洞利用、特种木马等。

  近几年,APT攻击技术更加复杂、攻击手段更加隐蔽,而且攻击已经不局限于传统的信息系统,而是逐渐把目标扩散到工业控制等系统,例如针对工业控制系统编写的Stuxnet、 Duqu病毒 。

  APT攻击防御手段需持续改进

  传统的检测手段在应对APT攻击时已显得力不从心。因为传统的检测手段主要针对已知的威胁,对于未知的漏洞利用、木马程序、攻击手法,无法进行检测和定位,并且很多企业因为缺少专业的 安全服务 团队,无法对检测设备的告警信息进行关联分析。目前,在APT攻击的检测和防御上,主要有如下几种思路:

  ◆恶意代码检测:在互联网入口点对Web、邮件、文件共享等可能携带的恶意代码进行检测。

  ◆数据防泄密:在主机上部署DLP产品,APT攻击目标是有价值的数据信息,防止敏感信息的外传也是防御APT攻击的方法之一。

  ◆网络 入侵 检测:在网络层对APT攻击的行为进行检测、分析,例如网络入侵检测类产品。

  ◆ 大数据 分析:全面采集网络中的各种数据(原始的网络数据包、业务和安全日志),形成大数据,采用大数据分析技术和智能分析算法来检测APT,可以覆盖APT攻击的各个阶段。

  上述的防御方式各有各自的特点,恶意代码检测产品通常部署在互联网入口点,可以在APT攻击的初始阶段对攻击进行检测、发现,例如可以抓取携带后门程序、异常代码的word文件、pdf文件等等;网络入侵检测可以在网路层对APT攻击行为进行检测,如果攻击者通过跳板对内网进行渗透攻击,网络入侵检测系统可以进行预警、定位;数据防泄密可以防止APT攻击者将计算机中的敏感数据外传,可以有效降低攻击行为所造成的损失;大数据分析的检测比较全面,可以覆盖APT攻击的各个环节。

  杨红光认为,虽然每种防御方式针对APT攻击的各个阶段进行检测,但是由于APT攻击的复杂性、隐蔽性,不排除有漏报或误报的可能,所以APT攻击的检测和防御产品同样需要跟随 信息安全 的发展动态,持续的进行改进。

  他建议,在不能完全挡住APT攻击的情况下,要将APT攻击的危害降到最小,就需要做到以下几点:

   要有APT攻击检测和防御的手段,可以通过安全检测产品,由专业的安全服务人员进行运维、分析,及时发现、处置攻击事件。

   要定期组织信息 安全培训 ,警惕攻击者结合社会工程学进行欺骗攻击。

   要加强对重要信息资产的保护,从访问控制、用户权限、安全审计等等层面对控制措施和手段进行优化和加强。

  针对APT攻击,启明星辰为用户提供了专业的安全产品以及专业的安全服务。启明星辰依托恶意代码检测引擎、网络入侵检测引擎、蜜罐系统、Armin大数据分析系统等安全产品实现对用户信息系统的安全监测,然后由其安全服务团队的专家对APT攻击进行分析、跟踪,帮助用户及时处理APT攻击事件。

分享到:  
20.9K
栏目导航
热门标签
图片推荐