剖析APT攻击 绿盟NGTP构建下一代防御体系

互联网的普及也带来了网络病毒的肆意,传统的网络安全软件可以有效的防范蠕虫病毒、间谍软件、木马、钓鱼等网络攻击威胁。然而,采用未知威胁为手段的APT攻击则是针对数据库、大量数据进行搜集,且所有的APT已知威胁只是对过去的积累和收集,很多新兴威胁没有样本可循,这增加了APT威胁的攻击力,并让我们越发难测,由于APT攻击的存在,企业暴露在未知威胁影响下的时间也越来越多,风险越来越大。

此外,由于云计算和移动互联网的普及,智能终端让任何接入点都可能变成系统漏洞,企业数据中心也变成一个弹性的外围,很多网关/边界式防护都会因此存在防护的缺失。网络威胁背后的推动力是金钱利益与商业犯罪,其发展演变一定还会持续,所以一定要构筑一个面向APT威胁的综合防护的体系,实现企业自身的安全进化。

APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和入侵行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。所谓知己知彼百战百胜,防范APT,先从了解它入手。

APT是这么“来”的

APT的攻击手法在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,实际上是一种“网络间谍”的行为。APT入侵的途径多种多样,主要包括以下几方面:

首先是“水坑攻击”,攻击者在特定的网站上进行挂马,而这些网站是受害者经常访问的,从而导致恶意软件入侵。[l1] 其次是“鱼叉攻击”,以社交工程的恶意邮件是许多APT攻击成功的关键因素之一。随着社交工程攻击手法的日益成熟,这些邮件几乎真假难辨。从一些受到APT攻击的大型企业事件中可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,都是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。再次是利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

总而言之,APT正在通过一切方式,绕过基于代码的传统安全方案,例如防病毒软件、防火墙、IPS等,且更长时间地潜伏在系统中,让传统防御体系难以侦测。

APT是这么“做”的

“潜伏性和持续性”是APT攻击主要特点。“潜伏性”,这些新型的攻击和威胁可能在用户环境中存在一年甚至更久,会不断收集各种信息,直到收集到重要情报。而发动APT攻击的目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物。“持续性”APT攻击具有持续性,甚至可能长达数年,让人无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段以及渗透到网络内部后长期蛰伏。

同时,APT攻击还具有“锁定特定目标”和“安全远程控制工具”的本事,“锁定特定目标”针对特定用户,长期进行有计划性、有组织性的窃取情报行为,针对被锁定对象寄送以假乱真的社交工程恶意邮件,例如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。“安装远程控制工具”攻击者建立一个类似僵尸网络Botnet的远程控制架构,会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查,过滤后的敏感机密数据利用加密的方式外传。

有的放矢 绿盟“下一代威胁防御解决方案”为APT而生

绿盟科技为了应对日益增多APT高级持续性威胁,推出下一代威胁防御解决方案(简称NGTP),解决方案由多个模块组成,包括绿盟全球威胁信誉系统、威胁分析系统、入侵防护模块、邮件过滤模块、终端安全模块。

威胁进不来

把威胁抵挡在企业之外是NGTP解决方案的重点。根据上面APT威胁尝试进入的分析,针对“水坑攻击”和“鱼叉攻击”这些高级攻击手法,在网络,Web,邮件和终端多个层面进行纵深检测和防御。在网络层面,尤其是Web上网访问,采用威胁分析系统TAC产品和IPS产品联动的方式进行;在邮件层面,采用威胁分析系统TAC和邮件安全网关联动方式进行。

扩散藏不住

对于极少数成功进入企业的恶意软件,通过机器学习建立模型,查找恶意软件向外进行CnC回连、对内进行扩散的企图。另外,大数据安全分析技术,对各种网络安全设备告警,操作系统日志进行统计、关联,既为威胁态势提供宏观视图,也为恶意软件扩散行为提供微观细节展示。

绿盟科技NGTP方案,通过绿盟全球威胁情报系统(NTI)实现威胁信息的共享与实时推送,在具体防护方法上,以检测未知威胁为核心,利用智能网管和大数据分析技术,对来自终端、安全网关、操作系统的告警信息进行综合分析、可视化呈现和管控,降低安全运维成本,构建下一代防御安全防御体系。

作者:晓忆

来源:51CTO

时间: 2024-10-31 19:27:48

剖析APT攻击 绿盟NGTP构建下一代防御体系的相关文章

业界:绿盟发布基于攻击链的威胁感知系统

随着网络威胁形式的多样化和复杂化以及面临APT攻击的挑战,新一代威胁不仅传播速度更快,其利用的攻击面也越来越宽广,可以覆盖移动.桌面.网络.web和各种应用.社交网络等,新常态下仅仅依靠传统NIPS/NIDS设备提供给用户的信息已经不能满足现阶段客户的需要,专业化.系统化.智能化等越来越显得尤为关键:尤其是伴随着互联网的发展,用户体验需求的提升,更需要对网络威胁的行为通过大数据分析的方式,直观的给客户展示出整个动态攻击过程. 为了能够满足客户需求,简化客户对设备的操作流程,提高客户对攻击流程的直

下一代防火墙(NGFW)如何防御APT攻击?

本文讲的是下一代防火墙(NGFW)如何防御APT攻击,今日企业的网络安全正在面临前所未有的挑战,这主要来自于有组织.有特定目标.隐蔽性强.破坏力大.持续时间长的新型攻击和威胁,国际上称之为APT(Advanced Persistent Threat)攻击.随着iPad.智能手机等移动终端被广泛应用于企业,而基于移动设备的威胁呈几何倍数的增长,对终端防护更加处于失控的状态,APT 攻击者通过以智能手机.平板电脑等移动设备为跳板继而入侵企业信息系统的方式也显著增加. 分析APT攻击的过程,我们发现从

【爆料】勒索软件攻击ElasticSearch专项报告 第一次看到NTI绿盟威胁情报中心数据细节

前两天,安全加报道 勒索软件盯上了大数据 Elasticsearch服务器遭受勒索软件攻击 中国境内1956个设备可能受影响,后面这个数字是由绿盟科技提供,其数字远超ZDNet给出的数据59台.今天绿盟科技发布了专项报告.报告全文如下: 勒索软件攻击ElasticSearch事件综述 上周,有超过34000多台存在安全风险的MongoDB数据库遭到了勒索攻击,数据库数据被攻击者擦除并索要赎金,在收到赎金后攻击者才会返还服务器中的数据:紧接着,2017年1月18日,在短短几个小时内又有数百台Ela

Palo Alto Networks 魏建伟:“大数据+机器学习”防范未知APT攻击

下一代防火墙的概念已经流行了好几年,作为这一概念的首创者,Palo Alto Networks可谓在安全领域掀起了一股风潮.近日,Palo Alto Networks安全顾问魏建伟接受笔者的采访,畅谈对于下一代防火墙以及企业安全发展趋势的看法. "可以毫不夸张地说,目前市面上的防火墙只有两种思路,那就是Palo Alto Networks的下一代防火墙和传统防火墙."魏建伟表示. 魏建伟的底气来自于Palo Alto Networks在业内的领导地位.Gartner每年发布企业网络防火

2017国际金融展开幕 绿盟畅谈情报与数据分析如何护航金融安全

7月27日,第25届中国国际金融展在北京展览馆盛大开幕,本届展会以"创新驱动 稳健转型 共享金融"为主题,集中展示了各类金融机构.金融科技企业的创新发展成果.展览期间,绿盟科技承办了"Security+"金融网络安全趋势研讨会,来自金融管理部的领导.机构高管.国内外著名专家学者进行了多种形式.多个层次的分享互动,在普及时下金融网络安全知识和意识的同时为行业梳理安全发展脉络. 51CTO记者也受邀参会,并在会议间隙采访了绿盟科技高级副总裁叶晓虎.以及绿盟科技硅谷高级研

亚信安全网络安全威胁报告:APT攻击不断,金融业成威胁重灾区

近日,亚信安全发布<2016年第三季度网络安全威胁报告>,报告显示APT攻击在本季度持续活跃,特别是Rotten Tomato APT组织瞄准企业用户以窃取机密信息.本季度同样值得关注的还有ATM恶意程序,入侵者通过远程控制ATM吐钞,导致了银行总计将近上亿元的损失.另外,报告还显示,物联网设备出现了大量的安全隐患,可能导致机密信息被窃取甚至人身安全受威胁.亚信安全提醒企业用户要时刻关注网络安全攻防的最新发展态势,并建立富有前瞻性的立体网络安全防御体系,以抵挡层出不穷的网络安全威胁. 恶意程序

攻防计中计:教你如何隐藏,躲避APT攻击的新思维

本文讲的是攻防计中计:教你如何隐藏,躲避APT攻击的新思维, 本文将为你介绍一下,关于预防网络攻击的新思维--为网络攻击设计多个假的攻击目标及路径,降低他们的攻击效率. 交互式防护是一种安全系统特性,其意味着防御者会与攻击者及其使用的攻击工具进行交互攻防以及根据攻击者的行为作出相应的预防措施.比如,防御者会引入垃圾搜索结果以混淆网络攻击者使用的漏洞扫描程序就是一种交互式防护,除了这些被动防御之外,研究人员长期以来一直使用交互式防护的方法来主动获取关于网络攻击者的攻击信息,比如攻击目标等. 但交互

又双叒叕是你!有人开始利用虚假《权利的游戏》泄漏资源发起APT攻击

本文讲的是又双叒叕是你!有人开始利用虚假<权利的游戏>泄漏资源发起APT攻击, 前言 <权力的游戏>资源被盗已经不是什么新鲜事,除了背后的黑客能用它来赚取赎金外,最高兴的莫过于追剧的粉丝了.粉丝的逻辑通常是这样的:资源泄漏>资源出现>下载种子>疯狂追剧.所以,对看片一族来说,种子是个神奇的东西. 对于爱看片的同胞来说,能够找到种子无疑是件幸福无比的事情.但是在欣喜之余,你的种子也有可能被黑客盯上,趁机对用户发起攻击,比如有APT攻击者开始利用虚假的<权利的游

阿里云首席安全科学家吴翰清的思考:弹性安全网络,构建下一代安全的互联网

8月16日,<麻省理工学院科技评论>(MIT Technology Review)杂志揭晓2017年全球青年科技创新人才榜评选结果,阿里巴巴人工智能实验室首席科学家王刚.阿里云首席安全科学家吴翰清脱颖而出,获此殊荣. <阿里科学家王刚.吴翰清同时入选MIT2017年度TR35>一文已经刷爆朋友圈.本文为吴翰清在其公众号"道哥的黑板报"的内容,带着对技术的深入思考,分享给大家. 前些天得知自己入选了MIT的TR35,非常开心.我想这是中国安全技术在国际上被认可的一