两招抵御APT攻击

简介:

当前,APT(Advanced Persistent Threat,高级持续性威胁)攻击事件此起彼伏,从针对乌克兰国家电网的网络攻击事件,到孟加拉国央行被黑客攻击导致8100万元美元被窃取,APT攻击已经达到无孔不入的地步。那么什么是APT,在安全防护上究竟又从何入手呢?

两招抵御APT攻击

  警惕APT(高级持续性威胁)

黑客大杀器——APT

从APT名字中的高级和持续性这两个单词中就能明白APT同一般的攻击手法不是一个段位。以伊朗核设施被震网病毒攻击案例为例。早在05年某超级大国就通过各种手段突破伊朗核设施的层层防护,将病毒植入其中。震网病毒造成伊朗1/5的离心机报废,直到2012年因为在一个U盘中发现了震网病毒才彻底解决掉这个问题。

两招抵御APT攻击

  Stuxnet病毒事件就是一个典型的APT攻击案例

整整7年,伊朗都没搞明白到底自己的离心机各种出状况是为什么。咱们中国有句老话:不怕贼偷,就怕贼惦记。而APT正是这句话最好的写照。通过未公开漏洞,将木马、病毒等植入并在之后的很长一段时间内盗取资料或者破坏对方的设备,这样的隐秘长效的手法使得APT攻击除了被广泛应用在商业中进行信息窃取外,更已上升到国家与国家的信息战层面,成为各国政府的头号黑客攻击大杀器。那么究竟该如何预防APT攻击呢?笔者认为下面的两点最为关键。

首先,就是针对高级威胁的判定。

近年来,有组织的APT攻击愈发呈现出隐蔽性与多样化,并且往往针对商业和政治目标展开长期的经营与策划。不过一旦得手,其影响则是巨大而深远的。因此,APT攻击的特点是不会追求短期经济收益或简单的系统破坏,却会专注于步步为营的系统入侵,每一步都要达到一个目标,而不做其他多余的事来打草惊蛇。

正是由于APT攻击针对性强、隐蔽性高、代码复杂度高等特点,传统的安全防御手段往往应对乏力,而受到攻击的个人或机构更是无法进行有效判定,成为APT攻击屡屡得手的关键原因。

事实上,任何静态的防御技术对于APT攻击来说都是基本无效的。因为APT攻击面往往很小,单纯依靠本地数据监测,无法进行有效判定。对此,企事业单位急需革新传统的、孤立的安全理念与防护手段,建立全新的技术体系来应对APT引发的挑战。而安全厂商则应从中起到引导和带头作用,协助企业建立轻量级的大数据安全平台,通过收集企业内部各类安全数据展开关联分析,结合多源头的可机读威胁情报应用,沙箱动态行为发现,以及关联引擎分析等多维度方法,来实现对高级威胁的判定。

其次,则是在判定后,如何进行有效处置。

各种传统的安全防护技术与防护产品在APT攻击的检测与防御中仍将发挥基础性作用,不仅要进行常规系统防御,还要成为探测攻击信息的主要情报来源。

不过面对不易察觉的APT攻击,应该从分析大量攻防基础数据入手,逐步对APT攻击链进行识别,深度掌握攻击方的各种攻击链、攻击手法、攻击工具和策略等等,总结出攻击模型,便于开展有效的全面协同与主动防御。

此外,更要依托于高效、快速的行为检测和分析技术。在高级威胁判定完成后,需要进一步联动网关处的NDR(Network Detection & Response,网络检测与响应)及终端处的EDR(Endpoint Detection & Response,终端检测与响应)系统进行快速协同的联动处置。

通过对内网系统流量的动态监测,全系统日志的综合分析,联网设备的实时监控,以及不同品类安全产品运维数据的综合分析处理,真正意义上帮助用户拥有在数分钟内发现并追踪APT攻击源头能力,解决传统技术无法识别或是需要数日时间才能进行预警的被动局面。

可以预见,未来几年针对能源、交通、制造、金融、通信等领域的基础设施,以及特定高价值人群或个体为目标的APT攻击仍会持续增加。希望通过“快速判定+有效处置”这两招法宝,最终能够实现对APT攻击的成功抵御。

本文转自d1net(转载)

相关文章
|
2月前
|
安全 网络安全 数据安全/隐私保护
渗透测试-Openssl心脏出血漏洞复现
渗透测试-Openssl心脏出血漏洞复现
99 7
|
供应链 安全 区块链
安全情报 | Pypi再现窃密攻击投毒
9月10日起,有投毒者持续向官方Pypi仓库中投放urllitelib、urtelib32、graphql32等多个版本的恶意Py包,请及时排查。
177 0
安全情报 | Pypi再现窃密攻击投毒
|
安全 搜索推荐 网络安全
网络信息安全之APT攻击
当今,网络系统面临着越来越严重的安全挑战,在众多的安全挑战中,一种具有组织性、特定目标以及长时间持续性的新型网络攻击日益猖獗,国际上常称之为APT(Advanced Persistent Threat高级持续性威胁)攻击。
613 0
|
安全 Linux 文件存储
APT化、高赎金与定向攻击 | 2021年度阿里云勒索攻击态势报告
约80%攻击都伴随着"数据泄露"和"双重勒索"威胁
449 0
 APT化、高赎金与定向攻击 | 2021年度阿里云勒索攻击态势报告
|
安全 Windows 网络安全
威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库
近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序进行牟利。建议用户及时排查自身主机是否存在安全漏洞,并关注阿里云安全团队的相关文章。
3291 0
|
Web App开发 安全 网络协议
IE极风0day漏洞危害升级 首例ARP挂马攻击已经出现
3月12日,金山安全实验室发布高危漏洞红色安全预警,12日上午8点39分,金山安全实验室率先截获了国内首例利用IE极风0day漏洞进行挂马传播的案例。这也表示IE极风0day漏洞在被发现后的短短3天时间里,已经开始被黑客利用进行传播病毒。
1164 0
|
云安全 安全 应用服务中间件
威胁快报|首爆新型ibus蠕虫,利用热门漏洞疯狂挖矿牟利
一、背景 近日阿里云安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。
3360 0
|
安全
俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选
本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选,近日,挪威外交部、情报部、国家辐射防护局、工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击。挪威官方称尚未有敏感数据泄露。
1414 0
|
安全
卡巴斯基遭遇APT攻击 隐藏数月未被发现
本文讲的是 卡巴斯基遭遇APT攻击 隐藏数月未被发现,作为全世界领先的安全公司卡巴斯基,经常会披露它发现的各大机构被攻击的安全事件,但现在可以谈谈自己了。
1006 0