APT攻击的防范难度和全球四大防范策略.docVIP

APT攻击的防范难度和全球四大防范策略 APT攻击的防范难度和全球四大防范策略 PAGE / NUMPAGES APT攻击的防范难度和全球四大防范策略 APT 攻击的防范难度和全球四大防范策略 摘要： APT （AdvancedPersistentThreat ），高级持续威胁，它是组织 ( 特别是政府 ) 或者小团体利用先 进的计算机网络攻击手段对特定高价值数据目标进行长期持续性网络侵害的攻击形式。 APT （AdvancedPersistentThreat ），高级持续威胁，它是组织 (特别是政府 )或者小团体利用先进的计算机网络攻击手段对特定高价值数据目标进行长期持续 性网络侵害的攻击形式。 APT 攻击的原理相对于其他常见的网络攻击形式更为高级和先进，其高级性主要体现在 APT 在发动攻击之前，需要对攻击对象的业 务流程和目标系统进行精确的情报收集， 在收集过程中， 攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的 CC 网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。有人甚至认为； APT 攻击是各种社会工程学攻击与各类 0day 利用的综合体。下图说明了一次常见的 APT 攻击的过程： 防范 APT 攻击难在哪儿 APT 攻击的操纵者经常会针对性的进行为期几个月甚至更长时间的潜心准备， 熟悉用户网络坏境， 搜集应用程序与业务流程中的安全隐患， 定位关键信息的存储位置与通信方式。 当一切的准备就绪， 攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。 最新一次的 APT 攻击效果技术试验中， 一组研究人员收集并分析了 82 种新电脑病毒，并在 40 种杀毒软件产品中进行了测试。尽管这些产品多数都来自业内知 名厂商，但这些传统模式的杀毒引擎，对于收集到的 82 种电脑病毒初始探测率却不足 5%，问题的产生源于两方面：一方面是以代码特征为基础的，传统恶意 软件探测方式已经无法顺应时代的发展，而另一方面则是以蠕虫、木马、 0Day 漏洞为手段的攻击形式正在向复杂性更高的 APT 形式过渡。 而另据某网络安全技术厂商的 “最新网络攻击现状 ”报告显示，在发生 APT 攻击 活动的亚洲和东欧，有 184 个国家都拥有内部通信枢纽或数控服务器。攻击期 间，数控服务器以回调的方式与被感染的服务器保持联通并被大量运行， 使得攻 击者的恶意软件下载和修改能够躲过安全监测， 从而窃取更多的数据， 扩大目标 组织攻击面。 APT 攻击防范四大策略 在 2013 年的全球 RSA 大会上，APT 防范再次成为热点议题。 在 APT 防范领域，国内外厂商也展出了最优秀的 APT 解决方案，他们的防范策略和解决方案可以概括为四类： 1、主机文件保护类：不管攻击者通过何种渠道执行攻击文件，必须在员工的个 人电脑上执行。因此，能够确保终端电脑的安全则可以有效防止 APT 攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况， 从而防 止恶意代码在员工电脑上执行。 很多做终端安全的厂商就是从这个角度入手来制 定 APT 攻击防御方案，典型代表厂商包括国内的金山网络和国外的 Bit9 。 2、大数据分析检测 APT 类：该类 APT 攻击检测方案并不重点检测 APT 攻击中的某个步骤，而是通过搭建企业内部的可信文件知识库， 全面收集重要终端和服务器上的文件信息，在发现 APT 攻击的蛛丝马迹后，通过全面分析海量数据，杜绝 APT 攻击的发生，采用这类技术的典型厂商是 RSA 。 3、恶意代码检测类：该类 APT 解决方案其实就是检测 APT 攻击过程中的恶意代码传播步骤，因为大多数 APT 攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络， 因此，恶意代码的检测至关重要。 很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定 APT 攻击检测和防御方案的，典型代表厂商包括 FireEye 。 4、网络入侵检测类： 就是通过网络边界处的入侵检测系统来检测 APT 攻击的命令和控制通道。虽然 APT 攻击中的恶意代码变种很多，但是，恶意代码网络通信的命令和控制通信模式并不经常变化， 因此，可以采用传统入侵检测方法来检测 APT 通信通道。典型代表厂商有飞塔。