精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

認識APT——進階持續性滲透網絡攻擊

責任編輯:Score

2011-07-18 12:48:47

摘自:硅谷動力

APT是一類會對IT和安全專業人員產生特別挑戰的安全威脅。它出于經濟或其他長期收益的動機,利用多種惡意軟件和駭客技術來武裝自己,這些攻擊者愿意花時間跟精力去打破組織的防御能力。

什么是 APT?簡單的說就是針對特定組織所作的復雜且多方位的網絡攻擊。

APT 進階持續性滲透攻擊 (Advanced Persistent Threat, APT)可能持續幾天,幾周,幾個月,甚至更長的時間。APT攻擊可以從收集情報開始,這可能會持續一段時間。它可能包含技術和人員情報收集。情報收集工作可以塑造出后期的攻擊,這可能很快速或持續一段時間。

例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程序弱點和文件位置的情報收集,但當計劃完成之后,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在服務器后,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制服務器(C&C Server)進行審查。

企業面對不斷演變的安全威脅環境。其中一項最大的挑戰就是APT進階持續性滲透攻擊,它是針對特定組織所作出復雜且多方位的攻擊。要減輕APT的風險需要比傳統的多層次防御更先進的作法,包括即時威脅管理。本文要系列介紹APT的性質,它們對企業所構成的風險,以及如何去封鎖、偵測并遏制APT和其他新威脅的技術。我們先從實務面來評估APT的性質,大致如下:

今天APT的性質

不斷變化的安全威脅環境

APT的要素

不斷變化的企業運作,讓問題更加復雜

評估控制和減輕APT風險的可能性

很顯然地,安全威脅環境變得越來越具有挑戰性。對于信息系統進行攻擊的動機和方法正在發生變化。有決心有毅力的攻擊者正運用著多種手段去打破安全控制。企業需要透過多種安全管控來做應對,包括即時監控和快速遏制措施。

今天的APT

APT是針對一個特定組織所作的復雜且多方位的網絡攻擊。不管是就攻擊者所使用的技術還是他們對于目標內部的了解來看,這種攻擊是非常先進的。APT可能會采取多種手段,像是惡意軟件,弱點掃描,針對性入侵和利用惡意內部人員去破壞安全措施。

APT是長期且多階段的攻擊。

APT攻擊的早期階段可能集中在收集關于網絡設定和服務器操作系統的的詳細信息,接著,精力會放在安裝Rootkit或其他惡意軟件去取得控制權或是跟命令與控制服務器建立連接。再下來的攻擊可能集中在復制機密或是敏感數據來竊取知識產權。

重要的是要明白,APT不是一種新的攻擊手法,也不是可以藉由阻止或破壞一次攻擊就讓問題消失。APT可以被視為更像是一個網絡攻擊活動而不是單一類型的威脅;可以想成是進行中的過程。殺毒程序可能會阻止APT攻擊所使用的惡意軟件,但并不意味著停止攻擊。就其性質而言,一個APT是一段持續的攻擊。如果一個戰術行不通,就會再嘗試另外一個。實際上,我們不應該只去思考單一對策,或只是在多層次安全策略上增加更多防御層,相反的,我們應該思考將其他例子中可能用來攔截、偵測和遏制的各種方式都組合起來。現在,很合理的我們會想問,要如何做到這一點?

不斷演變的安全威脅環境

企業和政府面臨著一個不斷演變的安全威脅環境。從一開始為了用來吹噓而去攻擊媒體網站或用拒絕服務攻擊DDoS來切斷流行網站的服務,到現在是為了經濟利益而攻擊。攻擊者能夠透過詐騙或竊取知識產權來直接獲取利益,或是間接地經由破壞競爭對手的服務或進行大規模資料竊取攻擊來入侵客戶的個人金融信息。而除了動機上的變化,攻擊手段上也有所改變。

應用程序架構的改變和將核心操作去中央化都為攻擊者帶來機會。在過去,銀行行員和自動提款機是銀行帳戶進行交易唯一的途徑,現在你可以用手機做到這一點。也就在不久之前,談論到零售商就會想到有實體店面的店家或商場,現在它會讓人們聯想到可以出售各種東西的網站,從書籍到電器都有。

網頁應用程序提供多種業務相關服務來完成整個工作流程,而且還能串到后勤管理系統,像是庫存管理和應收賬款等。這些都很容易成為弱點掃描,注入攻擊和其他用來找出應用程序結構或潛在漏洞等信息探測器的目標。

演變中的安全威脅環境里的另一項因子是會組合多項技術。惡意軟件可以被用來執行特定任務,如側錄鍵盤,或者它可能包含一個通訊模組,可接收命令和控制服務器所下達的指令,來讓攻擊者去進行探測,搜索,并且根據找到的信息來改變戰術。

我們在APT中所看到的某些技術,在之前的混合式攻擊(在一次單一攻擊中使用多種的惡意軟件)中就已經看過了。我們還看到攻擊會因應使用者對策而改變。當殺毒軟件成功的利用病毒代碼比對技術來偵測到病毒時,惡意軟件作者會采用加密和多形技術來讓自己的程序得以避免偵測。同樣的,如果一條進入系統的路徑被封鎖了,APT會尋找另一條路徑。APT可變動的性質是安全威脅的共同特點,但有其他特點可以區別APT和其他類型的攻擊。

APT的要素

從最基本面來看,有三項特點讓我們認為這攻擊是APT:

出于經濟利益或競爭優勢

一個長期持續的攻擊

針對一個特定的公司,組織或平臺

企業和政府是APT的目標原因很明顯。企業擁有高度價值的金融資產和知識產權。而從有政府組織以來,政府組織就是會面臨外來的攻擊。因此,APT的概念在許多方面都沒有什么新意。唯一新的是執行這種威脅的方法,已經進入網絡和應用程序的領域了。

長期攻擊可能持續幾天,幾周,幾個月,甚至更長的時間。APT攻擊可以從收集情報開始,這可能會持續一段時間。它可能包含技術和人員情報收集。情報收集工作可以塑造出后期的攻擊,這可能很快速或持續一段時間。例如,試圖竊取商業機密可能需要幾個月有關安全協定,應用程序弱點和文件位置的情報收集,但當計劃完成之后,只需要一次幾分鐘的執行時間就可以了。在其他情況下,攻擊可能會持續較長的時間。例如,成功部署Rootkit在服務器后,攻擊者可能會定期傳送有潛在價值文件的副本給命令和控制服務器進行審查。

有一些廣為人知的APT攻擊演示了發動APT的手段和動機:

以Zeus僵尸網絡/傀儡網絡 Botnet當例子,一開始是作為攻擊金融機構的平臺,但被改成一個框架提供給其他類型的APT。

極光(Aurora)APT攻擊Google和其他科技公司,似乎在試圖取得存取權和可能去修改應用程序代碼。

Stuxnet 是高度針對特定產業的惡意軟件,其中包含一個針對用在工業設備上可編程序控制器(Programmable Logic Controller, PLC)的Rootkit。所以新聞圈有人猜測Stuxnet 是由一個或多個政府來開發的。

而這些APT可以利用我們提供服務的改變來加以攻擊。

不斷變化的企業運作,使問題更加復雜

使用技術和攻擊動機的改變只是APT成為如此嚴重威脅的部份原因。我們如何去設計系統讓使用者存取商務應用程序也是原因的一部分。

想到邊界化。過去防火墻會阻止未被明確允許的連接。由于進階應用需要有更靈活的網絡連接。外部人員需要訪問內部資源。開發人員開發應用程序去建立通道讓被封鎖的協定藉由被允許通過的協定(也就是HTTP)穿過。現在并不是用單一邊界包圍著所有的網絡資產,企業開放存取更多的服務器而只依賴于基于設備的管控和網絡流量監控。

另一個可以被APT所利用的因子是手機和其他無法被管理的設備使用增加。IT部門并不總是能夠要求在殺毒軟件或存取控制到位之后,設備才可以使用內部服務。這些設備可以被APT利用來做為攻擊企業或政府網絡的一部分。

同樣,增加外部可用的網頁應用程序提供另一種可能的攻擊方法。舉例來說,對于網頁應用程序的注入攻擊可以用來收集資料庫內容或是程序結構相關的情報。

藉由擴大員工訪問重要信息系統的能力,企業可以讓員工更容易也更有效率的進行必要的工作。但是,這樣也增加了可能的攻擊入口。

技術和組織方面的因素在工作上會導致APT攻擊的可能性。其中許多因素,像是提供員工更多功能和可以從移動設備來存取應用程序都是這么的有幫助,很難想像要去削減它們。我們可以降低APT的風險,而不必犧牲這些和其他的好處。

從實務面來評估控制APT的可能性

從實務面來看,在可預見的未來,APT將會一直與我們同在是很合理的假設。在網絡安全的歷史中充滿了新型態攻擊出現以因應新型態控制的例子。APT是長期的過程導向攻擊,是攻擊者動機和攻擊手段改變下的產物。既然APT已經存在了,有什么合適的策略可以用來減輕相關的風險呢?

我們應該繼續部署攔截對策。殺毒軟件,加密,弱點掃描和上修正程序(Patch)都是很好的做法。但是他們還不夠去應付APT,所以我們應該假設會被攻擊成功。并不是說這些對策有問題;,這觀點只是認定一個事實,就是有決心而且堅持的攻擊者始終會找到一條路擺脫所有的防堵辦法的。

所以在某些點上會被攻擊成功的前提下,我們必須即時的監控網絡流量和電腦上的活動。萬一攻擊發生了,能夠盡快偵測到攻擊和遏制它所造成的影響是迫切需要的。遏制方法可以包括隔離被入侵的設備,關閉服務器和收集資料以作監識分析之用。

鏈接已復制,快去分享吧

企業網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 平顶山市| 百色市| 乌拉特前旗| 友谊县| 崇义县| 金沙县| 石景山区| 甘孜| 镇安县| 五指山市| 衡东县| 汝阳县| 绥芬河市| 黄陵县| 阜阳市| 天柱县| 临猗县| 荔波县| 红桥区| 法库县| 甘南县| 内黄县| 通许县| 额敏县| 勐海县| 通道| 洪雅县| 巴南区| 偃师市| 牡丹江市| 宁晋县| 台江县| 汪清县| 西乌珠穆沁旗| 黎川县| 香格里拉县| 句容市| 安图县| 湖州市| 辽源市| 手机|