當(dāng)前位置：安全 → 行業(yè)動(dòng)態(tài) → 正文

"動(dòng)靜"結(jié)合 APT防護(hù)需建立整體應(yīng)對(duì)體系

責(zé)任編輯：editor005 作者：董建偉 |來(lái)源：企業(yè)網(wǎng)D1Net 2015-02-03 14:39:43 本文摘自：it168網(wǎng)站

剛剛過(guò)去的2014年是信息安全形勢(shì)極為復(fù)雜的一年，大量影響到我們切身生活的信息安全事件頻繁出現(xiàn)，尤其是各種APT攻擊事件趨于爆發(fā)式增長(zhǎng)，傳統(tǒng)的安全威脅方式已經(jīng)漸漸消失，具有持續(xù)性、針對(duì)性和隱蔽性的新一代網(wǎng)絡(luò)安全威脅日趨常態(tài)化，越來(lái)越多的出現(xiàn)在我們的周?chē)绊懙轿覀兊男畔⑾到y(tǒng)安全。企業(yè)如何有效防范APT攻擊成為現(xiàn)階段的最主要難題，為此我們采訪了安恒信息APT和大數(shù)據(jù)安全分析平臺(tái)產(chǎn)品經(jīng)理王輝，他談到，“攻擊者已經(jīng)不再滿足于技術(shù)炫耀，更多的以商業(yè)利益和網(wǎng)絡(luò)戰(zhàn)為目的。因此應(yīng)對(duì)APT攻擊必須要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體評(píng)估，分析所有可能被利用的網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)。”

攻擊者已經(jīng)不再滿足于技術(shù)炫耀，更多的以商業(yè)利益和網(wǎng)絡(luò)戰(zhàn)為目的，不惜大量的人力和財(cái)力來(lái)挖掘各種0day漏洞，并利用這些漏洞秘密潛入重要系統(tǒng)竊取情報(bào)，這些網(wǎng)絡(luò)間諜行動(dòng)往往針對(duì)國(guó)家重要的基礎(chǔ)設(shè)施和單位進(jìn)行，包括能源、電力、金融、國(guó)防等;有些則屬于商業(yè)黑客犯罪團(tuán)伙入侵企業(yè)網(wǎng)絡(luò)，搜集一切有商業(yè)價(jià)值的信息。尤其是涉及到高新技術(shù)的企事業(yè)單位，存在大量的機(jī)密技術(shù)信息，往往容易成為APT攻擊的目標(biāo)。一旦被鎖定為攻擊目標(biāo)，最終可能導(dǎo)致大量隱私信息和機(jī)密技術(shù)信息泄露。如果是國(guó)家、政府和軍隊(duì)等受到攻擊，可能會(huì)導(dǎo)致國(guó)家機(jī)密信息泄露，后果不堪設(shè)想。

因此，應(yīng)對(duì)APT攻擊必須要對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行整體評(píng)估，分析所有可能被利用的網(wǎng)絡(luò)系統(tǒng)弱點(diǎn)，包括各種WEB服務(wù)器、郵件服務(wù)器和辦公網(wǎng)絡(luò)等網(wǎng)絡(luò)系統(tǒng)入口，這些弱點(diǎn)都可能會(huì)被利用作為APT攻擊的入口，攻擊者通常會(huì)結(jié)合各種WEB攻擊、郵件攻擊、惡意文件攻擊、社工類(lèi)攻擊和0day攻擊等多種攻擊方式控制這些中轉(zhuǎn)目標(biāo)，并以這些中轉(zhuǎn)目標(biāo)為跳板向更多內(nèi)網(wǎng)主機(jī)進(jìn)行滲透，最終通過(guò)精心構(gòu)造的RAT工具進(jìn)行控制和回連，達(dá)到竊取機(jī)密信息的目的。

對(duì)于企業(yè)而言，APT攻擊的規(guī)律和特點(diǎn)決定了采用單一的應(yīng)對(duì)機(jī)制通常難以進(jìn)行有效應(yīng)對(duì)，而應(yīng)對(duì)APT攻擊最大的難點(diǎn)在于如何有效發(fā)現(xiàn)APT攻擊，一旦發(fā)現(xiàn)APT攻擊就可以通過(guò)多種手段進(jìn)行阻斷，因此，我們必須建立一套完整的安全應(yīng)對(duì)體系，對(duì)所有可能存在的安全風(fēng)險(xiǎn)進(jìn)行分析，包括WEB、郵件和文件等多種緯度網(wǎng)絡(luò)流量的持續(xù)監(jiān)控和深度解析，利用靜態(tài)分析和動(dòng)態(tài)分析相結(jié)合的機(jī)制，對(duì)所有已知和未知的攻擊行為進(jìn)行分析，并挖掘其中的關(guān)聯(lián)性，還原APT攻擊路徑，及時(shí)感知可能出現(xiàn)的APT攻擊行為，然后再針對(duì)攻擊的方式利用防火墻、WAF、殺毒軟件等現(xiàn)有安全資源進(jìn)行阻斷，將損失影響降低到最小。

　　▲APT攻擊整體應(yīng)對(duì)方案

安全攻防之間的對(duì)抗一定是一個(gè)動(dòng)態(tài)的過(guò)程，對(duì)于企業(yè)的CSO來(lái)說(shuō)，要做好防御APT攻擊也一定是一個(gè)動(dòng)態(tài)的過(guò)程，必須通過(guò)整體化的應(yīng)對(duì)方案持續(xù)監(jiān)控可能存在的安全威脅，及時(shí)感知其中真正對(duì)我們有影響的威脅，再采用針對(duì)性的應(yīng)對(duì)防護(hù)措施，然后不斷加固和完善整體網(wǎng)絡(luò)安全防護(hù)體系，通過(guò)持續(xù)循環(huán)的動(dòng)態(tài)安全應(yīng)對(duì)過(guò)程，不斷增強(qiáng)安全對(duì)抗能力。

圖說(shuō)：知己知彼，應(yīng)對(duì)APT攻擊