传统安全产品如何应对高级持续性威胁.pdfVIP

传统安全产品如何应对高级持续性威胁 (西安交大捷普网络科技有限公司，陕西 西安 710075) 互联网从来不乏新鲜的事物出现 在与病毒蠕虫 御 ／检测设备无法识别这些0daY漏洞攻击，这也众 特洛伊木马、网络钓鱼等传统网络安全问题斗争的今 多安全产品的整体缺陷 在攻击者控制受害机器的过 天，潜藏的另一种攻击 肖然而至 并逐渐凸显出来 程 中，往往使用SSL链接，导致现有的大部分内容检 — — APT高级持续性威胁 借用美国国家标准和技术 测系统无法分析传输的内容 ，同时也缺乏对于可疑连 研究院对此给出了详细定义 ：精通复杂技术的攻击 接的分析能力 ；攻击者在持续不断获取受害企业和组 者利用多种攻击 向量 (如 ：网络、物理和欺诈)借助 织网络中的重要数据的时候，一定会 向外部传输数据， 丰富资源创建机会实现 自己目的。”这些 目的通常包 这些数据往往都是压缩、加密 的，没有明显的指纹特 括对 目标企业的信息技术架构进行篡改从而盗取数据 征 。这导致现有绝大部分基于特征库匹配的检测系统 (如将数据从 内网输送到外网)，执行或阻止一项任务 都失效了 ，知识库的缺乏也是重要的一方面．客户无 程序 ，或者是潜入对方架构中伺机进行偷取数据。 法从多个角度综合分析安全事件，无法从攻击行为的 从当前曝光 的几个典型案例 中如 Googfe极光攻 角度进行整合 发现攻击路径 所 以不仅仅是管理者 一 使用人员的防范意识也需要进一步提高。总结归纳可 88 击事件、夜龙攻击事件 Shady RAT攻击事件 中可 以 看出 攻击者的诱骗手段往往采用恶意网站，用钓鱼 以发现，高级持续性威胁主要特征有持续性、终端性、 的方式诱使 目标上钩 ，而企业和组织目前的安全防御 广谱信息收集性、针对性、未知性 渗透性社工、隐 体系 中对于恶意网站的识别能力还不够 ，缺乏权威 、 蔽合法性 长期潜伏与控制等相当综合性的特点，那 全面的恶意网址库 对于内部员工访问恶意网站的行 么作为受害者或者可能作为受害者的我们又该如何应 为更是无法及时发现并加以控制 攻击者也经常采用 对，作为安全产品的厂商我们又该如何在现有的形式 ■∞■■●●●■■市方案■l 恶意邮件的方式攻击受害者．即所谓的垃圾邮件，并 下应对这综合性的威胁 。 M c 且这些邮件都被包装成合法的发件人，企业和组织现 对高级持续性威胁这种攻击模式分析可知 传统 P U U R 有的邮件过滤系统大部分就是基于垃圾邮件地址库的． 的单一的检测技术已难以应对 所 以仅仅依靠前期部 E T ± 只 、 合法邮件不在其列从而为攻击者提供了有利通道 再 署的一台防火墙和几台安全设备在面对高持续性威胁 者，邮件附件中隐含的恶意代码往往都是OdaY漏洞 已经捉襟见肘 。针对高持续威胁的特性，不仅仅要在 邮件内容分析也难以奏效 j还有一些攻击是直接对 目 过程中进行深度检测，还要在源头对需要保护的信息 标网站的攻击来实现的，对于作为宣传的众多企业网 进行深度监控管理 ，鉴于全面安全的理念 ，传统安全 站来说．往往只注重效果展示，而把最终要的安全放 产品的方案设计也将不再是各 自独立作战，而是更注 在了后面，导致很多企业和组织的网站在防范web 重备产品的关联分析能力。由于暴露在互联网部分是 攻击方面缺乏防范 ；初始的网络渗透往往使用利用 最薄弱环节，所以安全防护的第一点就是在互联网接 0daY漏洞 的恶意代码 而企业和组织 目前 的安全防 入区对数据进行有效的过滤和控制 并对为互联网