防范APT攻击风险
.
防范APT攻击风险
防范攻击·安全上网
什么是APT攻击风险
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT攻击。
❤ ❤ ❤APT
攻击简介:
APT攻击是一种以商业或者政治目的为前提的特定攻击,其通过一系列具有针对性的攻击行为以获取某个组织甚至国家的重要信息,特别是针对国家重要的基础设施和单位开展攻击,包括能源、电力、金融、国防等。APT攻击常常采用多种攻击技术手段,包括一些最为先进的手段和社会工程学方法,通过长时间持续性的网络渗透,一步步获取内部网络权限,此后便长期潜伏在内部网络,不断地收集各种信息,直至窃取到重要情报。
攻击的4个要素:
1.攻击者: 拥有高水平专业知识和丰富资源的敌对方。
2.攻击目的: 破坏某组织的关键设施,或阻碍某项任务的正常进行。
3.攻击手段:利用多种攻击方式,通过在目标基础设施上建立并扩展立足点来获取信息。
4.攻击过程:在一个很长的时间段内潜伏并反复对目标进行攻击,同时适应安全系统的防御措施,通过保持高水平的交互来达到攻击目的。
❤ ❤ ❤如何防范APT攻击风险
随着人们对APT攻击的研究不断深入,已经出现一些有效的防御技术来对抗APT攻击,其核心思想大多是针对APT“攻击链”的某一步骤展开防御。这些技术主要包括:沙箱技术、信誉技术、异常流量分析技术、大数据分析技术等等。
NO.1沙箱技术
沙箱,又叫做沙盘,被认为是当前防御APT攻击的最有效技术之一。沙箱即是通过虚拟化技术形成一个模拟化的环境,同时将本地系统中的进程对象、内存、注册表等与模拟环境相互隔离,以便在这个虚拟化环境中测试和观察文件、访问等运行行为。沙箱通过重定向技术,将测试过程中生成和修改的文件定向到特定文件夹中,避免了对真是注册表、本地核心数据等的修改。当APT攻击在该虚拟环境发生时,可以及时地观察并分析其特征码,进一步防御其深入攻击。
NO.2信誉技术
安全信誉是对互联网资源和服务相关实体安全可信性的评估和看法。信誉技术是应用于APT攻击检测具有较好辅助功能的一项技术,通过建立信誉库,包括WEBURL信誉库、文件MD5码库、僵尸网络地址库、威胁情报库等,可以为新型病毒、木马等APT攻击的检测提供强有力的技术辅助支撑,实现网络安全设备对不良信誉资源的阻断或过滤。信誉库的充分利用,将进一步提高安全新品的安全防护能力。
NO.3主机漏洞防护技术
针对横向移动与内部资料进行挖掘和探测的防御,可采用主机漏洞防护技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可实现档案 / 系统一致性监控,保护未套用修补程序的主机,防止已知和0day 漏洞攻击。
NO.4异常流量分析技术
这是一种流量检测及分析技术,其采用旁路接入方式提取流量信息,可以针对帧数、帧长、协议、端口、标识位、IP路由、物理路径、CPU/RAM消耗、宽带占用等进行监测,并基于时间、拓扑、节点等多种统计分析手段,建立流量行为轮廓和学习模型来识别流量异常情况,进而判断并识别0day漏洞攻击等。
NO.5数据防泄漏技术(DLP)
针对资料外传的风险,一般可采用加密和资料外泄防护 (DLP)技术,将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法,DLP 可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则等。
NO.6大数据分析技术
APT攻击防御离不开大数据分析技术,无论是网络系统本身产生的大量日志数据,还是SOC安管平台产生的大量日志信息,均可以利用大数据分析技术进行大数据再分析,运用数据统计、数据挖掘、关联分析、态势分析等从记录的历史数据中发现APT攻击的痕迹,以弥补传统安全防御技术的不足。
我们熟知的APT防御产品主要针对的都是APT攻击链上的某个环节来展开防御,目前来说这是远远不够的。APT攻击防御应该是覆盖APT攻击所有环节,未来发展的趋势,是需要构建基于APT攻击链的多层次、多维度、多角度的纵深防御体系,如态势感知平台等。
❤ ❤ ❤
原标题:《防范APT攻击风险》