APT攻击防护方案构建堡垒网络升级安全防护.PDF

APT攻击防护方案：构建堡垒网络 升级安全防护 随着信息技术的高速发展，人类的生活跟网络紧密地联系在了一块儿。在电子商务，网络支付极其发展的 今天，各种安全问题也随之而来。网络安全，已成为当今世界越来越关心的话题之一。近年来，APT高 级持续性威胁便成为信息安全圈子人人皆知的时髦名词.对于像Google、Facebook、Twitter、Comodo等 深受其害的公司而言，APT无疑是一场噩梦。于是，引发了行业以及安全从业者对现有安全防御体系的深 入思考。 在APT攻击中，攻击者会花几个月甚至更长的时间对目标网络进行踩点，针对性地进行信息收集，目标 网络环境探测，线上服务器分布情况，应用程序的弱点分析，了解业务状况，员工信息等等。当攻击者 收集到足够的信息时，就会对目标网络发起攻击，我们需要了解的是，这种攻击具有明确的目的性与针对 性。发起攻击前，攻击者通常会精心设计攻击计划，与此同时，攻击者会根据收集到的信息对目标网络进 行深入的分析与研究，所以，这种攻击的成功率很高。当然，它的危害也不言而喻。要预防这种新型的， 攻击手法极其灵活的网络攻击，首先，应该对这种攻击进行深入的探讨、研究，分析APT攻击可能会发生 的网络环节或者业务环节等；其次要对我们自己的网络进行深入的分析，了解网络环境中存在的安全隐患 ，从而具有针对性地进行防护。 下图是个比较典型的网络拓扑简图： （图一） 参照这个网络拓扑，结合近几年发生的APT攻击，我们来分析下APT攻击。 1）2010年，Google被攻击事件： 攻击者收集了Google员工的信息，伪造了一封带有恶意链接的邮件，以信任人的身份发给了Google员工， 致使该员工的浏览器被溢出，接着，攻击者获取了该员工主机的权限，并持续监听该员工与Google服务 器建立的连接，最终导致服务器沦陷。前不久发生的Facebook被攻击事件，与这个极为相似。 2）2011年美国《华尔街日报》报道的一个安全事件： 攻击者通过SQL注入漏洞，入侵了外网边缘的WEB服务器，然后以WEB服务器为跳板，对内外进行嗅探、扫 描，进而入侵了内外AD服务器。攻击者在已拿到权限的主机里种了自己的木马，以公司领导的名义给员工 发送了一封带有恶意附件的邮件，最终导致大量公司内网主机权限被攻击者所拥有。 3）RSA SecurID被窃取事件： 2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用 SecurID作为认证凭据建立VPN 网络的公司受到攻击，重要资料被窃取。 通过以往的APT攻击实例，我们可以总结出，通常，典型的APT攻击会通过如下途径入侵到您的网络当中： 1.通过WEB漏洞突破面向外网的Web Server. 2.通过被入侵的Web Server做为跳板，对内网的其他服务器或桌面终端进行嗅探、扫描，并为进一步入侵做准备。 3.通过密码爆破或者发送欺诈邮件，获取管理员帐号，并最终突破AD服务器或核心开发环境，被攻击者的 邮箱自动发送邮件副本给攻击者。 4.通过植入恶意软件，如木马、后门、Downloader等，回传大量的敏感文件（WORD、PPT、PDF、CAD文件 等）。 5.通过高层主管邮件，发送带有恶意程序的附件，诱骗员工点击，入侵内网终端。 6.利用0day.例如：在邮件中添加恶意URL，被攻击者一点击URL，浏览器被溢出，主机权限丢失。 7.夹杂着社会工程学的攻击。 结合图一，我们可以清楚地看到网络中最有可能被攻击的环节。很显然，图一中的网络有很多问题。所以 ，我们应该对现有的网络进行调整（网络结构/制度等），下面的网络拓扑图是图一的改进版。如下图所 示： （图二） 网络拓扑说明： 1.在外部路由出口架设大流量吞吐量的防火墙，可以有效地防御外部黑客对外部路由进行DDoS攻击，又 可以做访问控制策略，实现初步的安全访问。 2.拓扑的审计系统（堡垒机），是为了保障网络和数据不受来自外部或者内部恶意攻击者的入侵和破坏， 它可以收集和监控网络环境中的每个节点的系统状态，网络活动等。这样就可以方便管理人员集中监控、 记录、分析、处理网络中的异常情况，对整个网络的安全，起到了不可忽视的作用。 3.核心层连的两台IDS设备，可以有效地监测、预警网络攻击。当网络中出现异常时，IDS会报警，并记录 异常状况。可