XXXX_APT发现及威胁管理解决方案 V1.0.docxVIP

Trend Micro APT发现及威胁管理解决方案201X年X月X日网络安全，尤其是Internet互联网安全正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT（Advanced Persistent Threat）攻击，或者称之为“针对特定目标的攻击”。APT概念APT（Advanced Persistent Threat）——高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的CC网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。APT攻击特点极强的隐蔽性对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，在组织内部，这样的融合很难被发现。例如，2012年出现的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞，伪造了合法的数字证书，冒充正规软件实现了欺骗攻击。潜伏期长，持续性强APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到收集到重要情报。他们往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到充分掌握目标对象的使用行为。所以这种攻击模式，本质上是一种“恶意商业间谍威胁”，因此具有很长的潜伏期和持续性。目标性强不同于以往的常规病毒，APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒，要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户，而是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。APT攻击的危害一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用零日漏洞的攻击）韩国金融、媒体、政府遭受APT攻击实例2013 年3月20日，韩国多家大型银行及三家大型电视公司相继出现多台电脑丢失画面的情况，有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为“WhoIs”团体的警告信息。此攻击是韩国同一时间遭受的多起攻击之一。趋势科技研究显示，这是一次恶意程序攻击的结果，黑客一开始假冒银行发送主题为“三月份信用卡交易明细”的钓鱼邮件，内含会清除硬盘主引导记录（Master Boot Record，简称MBR）的恶意程序。黑客设定该恶意程序在 2013 年3月20日同步爆发。一旦爆发，即使银行电脑系统完全瘫痪，必须逐一重装系统才能恢复。2013 年6月25日，韩国最高政治中心青瓦台网站于昨日遭受黑客攻击，导致网页被置换并瘫痪，引发全球关注。根据趋势科技全球病毒防治中心Trend Labs的最新研究发现，韩国云端储存服务软件“SimDisk Installer”服务器在此波攻击中疑似遭受黑客攻击并被植入名为“ SimDisk Installer exe. ”的恶意软件，其通过自动更新系统分发至用户端，试图造成大量的感染，成为受黑客控制的网络“僵尸军团”，进一步发动DDoS攻击以令更多政府网站瘫痪。主管单位监管要求针对企业或政府机关单位，国家已有很多相关文件要求，特别是工信部下发的《木马和僵尸网络监测与处置机制》要求，明确要求电信运营商、互联网域名注册管理机构等要加强对木马和僵尸网络监测，而对于政府部门、军队以及银行、海关、税务、能源、铁路、证券