2012络安全研究报告2.pptVIP

APT攻击特征 APT攻击往往是通过多个步骤，多个间接目标和多种辅助手段最终实现对特定目标的攻击，经常结合各种社会工程学手段 APT攻击是一种比较专业的互联网间谍行为，攻击者往往带有商业、军事或政治目的，而被攻击的目标，也大多为商业企业，军事机构或各国政府。某些APT攻击会持续数年，直到被发现时才终止。 综合分析以上典型的APT攻击，可以发现对内网终端进行隐蔽性的未知恶意程序和僵尸网络感染，后门木马植入和0 day 漏洞利用是APT获得成功的关键 APT攻击的普遍性 任何规模的公司，只要员工可以访问网站、使用电子邮件（尤其是HTML邮件）、传输文件等，就有可能受到APT威胁，这些活动可以被利用来传输APT组件，例如恶意软件可以通过路过式下载、感染附件或文件进行传输。即使是部署了强大的边缘保护的企业仍然无法逃过APT攻击，例如通过内部接入被感染的可移动驱动器（U盘、闪存卡）、其他地方被感染的笔记本电脑等。 APT对传统检测技术形成的挑战 正如其名称所体现出来的含义，APT为传统检测技术带来了两大难题： A（Advanced）难题：即高级入侵手段带来的难题。相比传统攻击手法，APT攻击具有单点隐蔽能力强、攻击空间路径不确定、攻击渠道不确定等特点，使得传统的基于特征匹配的边界防御技术难以施效。 P（Persistent）难题：即持续性攻击带来的难题。典型的APT在攻击时间上具有长持续性，一旦入侵成功则长期潜伏，寻找合适的机会外传敏感信息，而在单个时间点上却无明显异常，使得基于单个时间点的实时检测技术难以应对。 当前业内APT检测方案对比 沙箱方案：为解决特征匹配对新型攻击的滞后性而产生的解决方案。 其原理是将实时流量先引入虚拟机或沙箱，通过对沙箱的文件系统、进程、注册表、网络行为实施监控，判断流量中是否包含恶意代码。 同传统的特征匹配技术相比，沙箱方案对未知恶意代码具有较好的检测能力，但其难点在于模拟的客户端类型是否全面，如果缺乏合适的运行环境，会导致流量中的恶意代码在检测环境中无法触发，造成漏报。 当前业内APT检测方案对比 异常检测方案：为解决特征匹配和实时检测不足而产生的解决方案。 其原理是通过对网络中的正常行为模式建模而识别异常。核心技术包括元数据提取、正常行为建模和异常检测算法。 该方案同样能够检测未知攻击，但检测效率依赖于背景流量中的业务模式，如果业务模式发生偏差，则会导致较高的漏报与误报。 当前业内APT检测方案对比 全流量审计方案：同样是为解决传统特征匹配不足而产生的解决方案。 其原理是对链路中的流量进行深层次的协议解析和应用还原，识别其中是否包含攻击行为。检测到可疑攻击行为时，在全流量存储的条件下，回溯分析相关流量，例如可将包含的http访问、下载的文件、及时通信信息进行还原，协助确认攻击的完整过程。 这种方案具备强大的事后溯源能力和实时检测能力，是将安全人员的分析能力、计算机强大的存储能力和运算能力相结合的完整解决方案。 防范APT威胁的必要措施 1) 控制用户并增强安全意识 — 一条通用法则是：你不能阻止愚蠢行为发生，但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险，这是一项需要长期坚持的措施。 2) 对行为进行信誉评级 — 传统安全解决方案采用的是判断行为好或坏、进而允许或拦截之类的策略。不过，随着高级攻击日益增多，这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络，得逞后再实施破坏。由于攻击者的目标是先混入系统，因此，需要对行为进行跟踪，并对行为进行信誉评级，以确定其是否合法。 防范APT威胁的必要措施 3) 重视传出流量 — 传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑，这对于截获某些攻击还是有效的，而对于 APT，传出流量则更具危险性。如果意在拦截数据和信息的外泄，监控传出流量是检测异常行为的有效途径。 4) 了解不断变化的威胁 — 对于您不了解的东西很难做到真正有效的防范。因此，有效防范的唯一途径是对攻击威胁有深入了解，做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩，将不能做到根据威胁状况有效调整防范措施。 防范APT威胁的必要措施 5) 管理终端 — 攻击者可能只是将侵入网络作为一个切入点，他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险，控制和锁定终端将是一项长期有效的机构安全保护措施。 如今的威胁更加高级、更具持续性、更加隐匿，同时主要以数据为目标，因此，机构必须部署有效的防护措施加以应对。 基于记忆的智能检测系统 对于APT这种攻击模式，传统的检测技术难以应对，我们的对抗策略是以时间对抗时间，对长时间、全流量数据进行深度分析，以解决传统的特征匹配与