精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

以往的那些APT攻擊只存在于報道之中，如震網攻擊、極光攻擊、夜龍攻擊等針對的都是較大規模的組織或企業。而近兩年來APT攻擊開始出現在普通的企業中，黑客的攻擊手段越來越高明，企業傳統的安全防護手段已無法有效的應對APT攻擊，在未來企業如何有效防護APT已迫在眉睫。

本期我們針對APT攻擊防護的選題，專門邀請到了趨勢科技中國區業務發展總監童寧，他現主要是負責趨勢科技企業內容安全在中國的發展，同時兼任云安全相關產品的管理工作。我們將從APT的目標、APT攻擊過程、企業APT防護之道、CSO注意事項等方面來深入的解析APT的防御之道。

哪些數據、企業和個人容易成為APT的目標？

當前，數字化威脅不斷進化，高級持續性威脅(Advanced Persistent Threat，APT)呈增長之勢。APT攻擊者采用定制化的手段、利用社會工程學，有計劃、有組織的持續窺探目標網絡弱點，長期潛伏并竊取核心機密數據，這讓各個行業的組織都處于危險境地。

1、任何企業都可能是潛在攻擊的目標

作為一家盈利的公司或作為一個主權國家，即意味著處于競爭中。換句話說，您將始終是攻擊的潛在目標。過去，我們會把金融、政府、軍隊、能源等和民生相關的用戶設定為最容易受到APT攻擊的對象，但現在這些情況發生了變化。

在過去的兩年里，美國 Target 超市一億筆客戶資料被竊取販賣、臺灣20個與經濟相關的機構受到APT攻擊、美國 Home Depot 16 家飾建材連鎖賣場的6000萬筆客戶資料失竊、eBay遭到神秘黑客的攻擊、iCloud泄露出大量好萊塢影星私密照片、索尼影視在APT攻擊中大量商業機密遭泄露。這讓安全界對APT攻擊的思考有了新的啟示，例如：APT攻擊不僅會針對政府、金融、基礎建設和知識產權的行業，交通、零售、酒店、旅游、教育、醫療、媒體行業都會成為目標。

2、黑客會先瞄準包含內部賬戶的數據

因為所有規模的組織均擁有寶貴的數據，這些“你自己認為重要的、或是不重要”，都可能成為黑客組織或是“雇傭軍”的目標。當然，被竊取的數據也有一部分相似點，這就是企業內部中存在的大量賬戶信息。黑客需要利用這些數據提升權限，探測網絡內部拓撲，橫向移動。

3、鐘愛“社交網絡”的員工最易受到定向攻擊

從以往的案例調查中可以發現，APT攻擊者會利用社交工程技術，分析企業內部人員的職務、工作性質、個人興趣等，如果某個員工特別喜歡在網絡社交平臺中談論自己的工作，或者公司內部的問題，那么便很可能已經被盯上。黑客會發送與他(她)工作和興趣相關的郵件、惡意鏈接，從這些疏于防范的終端上打開攻擊的入口。

APT攻擊過程的六個階段

第1階段：情報收集

在趨勢科技的調查數據中，只有31%的企業會懲罰將公司機密資料貼到公眾社交平臺上的員工，這樣使得黑客非常容易的就能獲取到目標企業的IT環境和組織架構的重要信息。攻擊者針對需要竊取數據的企業或個人，將第一個目標鎖定到企業員工的身上作為情報開端，并通過社交工程攻擊開啟一連串攻擊。

第2階段：利用社會工程學

利用電子郵件、即時通信軟件、社交網絡或是應用程序漏洞找到進入目標網絡的大門。趨勢科技的調查結果顯示，在87%的組織中，會有網絡用戶點擊黑客安排的網絡鏈接，這些惡意鏈接都是精心設計的APT社交工程的誘餌。另外，95%的APT攻擊利用了社交工程釣魚郵件，這是針對性最強、設計最縝密的攻擊，但卻是簡單的技巧。

第3階段：命令與控制 (C&C 通信)

但閱讀或點擊了“誘餌”，攻擊者需要通過在主機上安裝后門程序，以達到持久駐留在內部網絡的目的，并潛入盡可能多的主機。APT攻擊活動利用這些后門程序，首先在目標網絡中找出放有敏感信息的重要計算機。然后，APT攻擊活動利用網絡通信協議來與C&C服務器通訊，并確認入侵成功的計算機和C&C服務器間保持通訊。

由于 C&C 通信的特征與正常流量不同，因此這通常可能是APT攻擊的第一個跡象。但是，攻擊者演進了技術，通過降低通信頻率以及在極短的時間內改變域名和 IP 地址，讓 C&C 通信變得難以檢測。

第4階段：橫向移動

攻擊者會開始潛入更多的內部設備，收集憑證、提升權限級別，實現持久控制。為此，攻擊者會試圖獲取大量的普通帳戶以及管理員帳戶。因此，攻擊者通常會跟蹤 Active Directory 之類目錄服務或Root權限的賬號，使用包括傳遞哈希值算法的技巧和工具，將攻擊者權限提升到跟管理者一樣。這個過程一旦成功，攻擊者便會為自己創建合法的帳戶和訪問權限，以訪問托管所需信息的服務器，從而加快數據隱蔽泄露。由于最終數據竊取利用了合法的管理憑證，這使得數據竊取檢測變得更加困難。

第5階段：資產/資料發掘

為確保以后的數據竊取行動中會得到最有價值的數據，APT會長期低調的潛伏。這是APT長期潛伏不容易被發現的特點，來挖掘出最多的資料，而且在這個過程當中，通常不會是重復自動化的過程，而是會有人工的介入對數據做分析，他們尋找雇傭者需要的，或是可以販賣高價的“數據”。

第6階段：資料竊取

APT是一種高級的、狡猾的伎倆，高級黑客可以利用APT入侵網絡、逃避“追捕”、悄無聲息不被發現、隨心所欲對泄露數據進行長期訪問，最終挖掘到攻擊者想要的資料信息。而在收集了敏感信息之后，攻擊者將把數據歸集到內部暫存服務器，并在這里對數據進行壓縮和加密，以傳輸至外部位置。

經過前面6個階段，攻擊者后面主要的行為將放在長期控制上，一旦他們發現事件暴露，便會破壞信息的完整性及可用性，以起到“毀尸滅跡”的目的。但此時，泄密信息早已進入到地下黑市交易，或是被雇傭方非法占有。

關于APT攻擊更多需要注意的地方

1、不要過分依賴終端防毒軟件

APT攻擊慣用的伎倆大多是釣魚、漏洞、后門等常見的攻擊技術，但是通過對這些犯罪手段地綜合性運用，最終會有一個惡意控制代碼能夠成功繞過企業外部防線。但根據趨勢科技的調查統計，超過80%的受害組織，并不知道自身已遭受到APT攻擊;在這些企業用戶中，平均要經過346天才會發現自己遭受到APT攻擊，當中有77%的組織在發現受到攻擊時，已經被黑客取得完全的掌控，但只有50%的受害計算機內會被找出惡意軟件。所以，具備小批量、針對性、不重復等特點的APT攻擊面前，自動化惡意軟件清除工具只能看到其冰山一角，過度依賴傳統的防毒軟件將不會幫助企業走出這種惡性循環。

2、企業可能接觸到的小型網絡

攻擊者還會利用某個組織的網絡基礎設施來發動對其它組織的攻擊。在某些案例中，攻擊者會利用受害者的電子郵件賬號來增加他們魚叉式網絡釣魚攻擊郵件的可信度。在類似的攻擊事件中，為了實現對大型組織網絡的攻擊，黑客可能會從連接到該組織網絡的小企業入手，然后以其作為跳板發動攻擊。對攻擊者來說，通過小企業的網絡會更加容易也更為隱蔽，而且不會在大型組織的網絡內留下痕跡。

3、超過95%的APT攻擊始于社交網絡釣魚郵件

根據趨勢科技的研究結果顯示，超過95%的APT攻擊始于社交網絡釣魚郵件，這類郵件通常含有傳統郵件或終端安全產品無法檢測的惡意附件或URL。“電子郵件”已經成為了黑客最易取得APT攻擊成效的入口。在某些案例中，攻擊者會利用受害者的電子郵件賬號來增加他們魚叉式網絡釣魚攻擊郵件的可信度。而經過足夠多的研究分析后，網絡犯罪份子可以制造出社交工程誘餌，騙取足夠多的員工點擊網絡鏈接或者打開郵件附件。

企業如何了解自身的APT防護能力？

APT攻擊改變了當前的威脅形勢，已經不可能再提前進行預防，我們必須假設自己將受到威脅。隨著這一心理模式的轉變，我們也必須重新制定安全策略。

1、是否轉變了防御觀念

APT攻擊是否有“幫手”呢?答案是肯定的，這個幫手就是我們自己的固化的想法：“外圍的一切都是危險的，內部的一切都是安全的。”但這種基于外圍防御的安全策略早已過時，因為攻擊者越來越狡猾，正使用各種方法穿過這些防御。另外，如果你已經仔細閱讀或者從其他途徑了解過一些APT攻擊案例，便可以發現，最近的數據泄露事件已證明，盡管注重外圍的新一代防火墻/IPS不斷演進，卻都無法著眼于內部網絡的APT攻擊檢測。但即使攻擊者再如何隱藏，他們要想竊取高價值得數據，并需要在網絡中有所行動，這些蛛絲馬跡可以在“橫向移動”中被發現。

2、是否清楚APT攻擊鏈和防護點

IT安全威脅越來越大，迫使許多企業只好拼命追趕，以應對最新的安全威脅，這早已不是什么秘密。但沒有什么比APT攻擊更讓人憂心忡忡的了，它甚至可以讓一名CEO下臺，讓一家企業失去用戶的信任，或是花費數億美金才能修復破壞。那么，損失慘重的數據泄露事件又是怎么發生的呢?

這是每家企業的信息安全主管思考的問題，他們必須全面了解APT攻擊的生命周期，以及每個階段呈現的特點，從這個鏈條中找到防護點。如果你已經清楚了APT攻擊的過程，那么可以針對這些能力進行系統的評估：

a) 現有的防護設備能否檢測到攻擊?

b) 能否抓取攻擊特征進行系統且全面的分析?

c) 能否通過策略調整避免遭受攻擊?

d) 能否在最快的時間，有效阻止正在進行的攻擊?

e) 如果攻擊已經發送，能否降低損失，或者讓攻擊者決定耗費如此大的精力，竊取回來的數據可能不值幾個錢?

f) 能否誘騙攻擊者進入內部設定好的蜜罐網絡?

g) 能否追蹤攻擊者，并最終摧毀?

關于APT攻擊，CSO需要注意的地方

建議一：針對APT攻擊是否制定了《自我評估清單》，例如您是否對員工制定了詳細的社交網絡防泄密培訓;

建議二：是否能夠在網絡中部署威脅發現系統，識別APT攻擊橫向移動或C&C通信的行動

建議三：許多僅僅看似是“警告”的日志，單獨來看均沒有意義。但是，當某位專家審視這些事件時，它們就形成了一個顯示外部攻擊歷程的“時間線”，公司是否擁有或外聘了這些專家。

建議四：您會發現向高級管理層闡述APT攻擊的嚴重性是多么必要和困難。這可能很難以具體的投資回報率作為理由或很難解釋為什么現有的安全控制不足。所以你現在就需要準備一份能夠吸引(或者是震懾)PPT文稿，來說服自己的老板。

建議五：什么才是理想的解決方案?理想的解決方案會將整個安全基礎架構編排到自定義的可適應防御中，您可以根據您的特定環境和攻擊者來調整此防御。

建議六：定制化智能防御戰略的實現需要借助其可擴展性及與多種產品的集成能力，以滿足不同的企業環境需求。但絕對沒有搬來就用的方案，因此，沒有兩個解決方案是完全相同的，而是根據業務大小、業務范圍以及現有的安全基礎架構而異。