APT皮攻击介绍.pptxVIP

APT攻击介绍 目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍 什么是APT 高级持续性威胁(Advanced Persistent Threat，APT)，APT（高级持续性渗透攻击）是一种以商业和政治为目的的网络犯罪类别，通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击，具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏，而是以步步为营的渗透入侵策略，低调隐蔽的攻击每一个特定目标，不做其他多余的活动来打草惊蛇。 目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍 APT攻击阶段划分 APT攻击可划分为以下6个阶段: 情报搜集 首次突破防线 幕后操纵通讯 横向移动 资产 / 资料发掘 资料外传 情报收集 黑客透过一些公开的数据源 (LinkedIn、Facebook等等) 搜寻和锁定特定人员并加以研究，然后开发出客制化攻击。 这个阶段 是黑客信息收集阶段，其可以通过搜索引擎，配合诸如爬网系统，在网上搜索需要的信息，并通过过滤方式筛选自己所需要的信息； 信息的来源很多，包括社交网站，博客，公司网站，甚至通过一些渠道购买相关信息（如公司通讯录等） 首次突破防线 黑客在确定好攻击目标后，将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括： 电子邮件； 即时通讯； 网站挂马； 通过社会工程学手段欺骗企业内部员工下载或执行包含零日漏洞的恶意软件（一般安全软件还无法检测），软件运行之后即建立了后门，等待黑客下一步操作。 幕后操纵通讯 黑客在感染或控制一定数量的计算机之后，为了保证程序能够不被安全软件检测和查杀，会建立命令，控制及更新服务器（CC服务器），对自身的恶意软件进行版本升级，以达到免杀效果；同时一旦时机成熟，还可以通过这些服务器，下达指令。 采用http/https标准协议来建立沟通，突破防火墙等安全设备； CC服务器会采用动态迁移方式来规避企业的封锁 黑客会定期对程序进行检查，确认是否免杀，只有当程序被安全软件检测到时，才会进行版本更新，降低被IDS/IPS发现的概率； 横向移动 黑客入侵之后，会尝试通过各种手段进一步入侵企业内部的其他计算机，同时尽量提高自己的权限。 黑客入侵主要利用系统漏洞方式进行； 企业在部署漏洞防御补丁过程存在时差，甚至部分系统由于稳定性考虑，无法部署相关漏洞补丁 在入侵过程中可能会留下一些审计报错信息，但是这些信息一般会被忽略。 资产 / 资料发掘 在入侵进行到一定程度后，黑客就可以接触到一些敏感信息，可通过CC服务器下发资料发掘指令： 采用端口扫描方式获取有价值的服务器或设备； 通过列表命令，获取计算机上的文档列表或程序列表； 资料外传 一旦搜集到敏感信息，这些数据就会汇集到内部的一个暂存服务器，然后再整理、压缩，通常并经过加密，然后外传。 资料外传同样会采用标准协议(http/https，SMTP等） 信息泄露后黑客再更具信息进行分析识别，来判断是否可以进行交易或者破坏。 对企业和国家造成较大影响。 目录 什么是APT APT攻击阶段的划分 APT防御的建议 典型APT事件介绍 APT防御的建议 情报收集阶段：在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。 内部教育：教育员工有关在社交网络上公开太多信息的风险，尤其是工作相关的信息。 小心谨慎 – 切勿在公开的个人网页上透露自己的个人和工作信息。 保持警戒 – 社交网络缺乏面对面接触的特性，很容易让人卸下心防，因而透露一些平常不会透露给陌生人的讯息。 提防小人 – 因特网上遇到的人，很可能不是他们看起来的样子。 公司政策：封锁社交网站或许不是解决此问题的最佳办法。不过，订定一些有关社交网络使用方式的公司政策并加强倡导，将有助于大幅降低锁定目标攻击的风险。 首次突破防线防御 针对黑客的首次突破，可采用以下方式进行防御 寻找遭到渗透的迹象 大多数 APT 攻击都是使用鱼叉式网络钓鱼。因此，检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件，就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。 安全弱点评估 发掘并修补对外网站应用程序和服务的漏洞。 内部教育 教育员工有关鱼叉式网络钓鱼的攻击手法，要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。 幕后操纵通讯防御 针对存在的幕后操纵通讯，可采用以下措施进行检测和防御 监控网络流量是否出现幕后操纵通讯 建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施，有助于企业发掘遭到入侵的主机，并且切断这类通讯。 识别判断攻击者幕后操纵服务器的通讯 企业可在沙盒隔离环境 (sandbox) 当中分析内嵌恶意软件的文件 (如鱼