亚信安全提醒:APT防范要当心“水坑”

简介:

就像是“鳄鱼还是木头”的寓言一样,大多数APT攻击并不会直接暴露真实面目,而是会很好的在用户经常访问的可信网站上或是分支机构中伪装起来,等待粗心的企业用户,这类的攻击也被叫做 “水坑攻击”(Water hole attack)。为了防范此类攻击,亚信安全建议用户改变“单点作战”的传统做法,更加重视威胁情报共享和定制化解决方案。

亚信安全提醒:APT防范要当心“水坑”

瞄准企业网络弱点 “水坑攻击”让人防不胜防

水坑攻击是APT攻击的一种常用手段,黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站弱点,入侵这些防御措施相对薄弱的服务器并植入恶意程序,当用户访问了这些网站,就会遭受感染。就像是鳄鱼捕食的惯用伎俩一样,捕食者埋伏在水里,等待角马喝水时发动攻击。

狡猾的黑客会绕过层层设防的主要入口,选择企业的合作伙伴,或者是分支机构,在必经之路上设置一个“水坑(陷阱)”,这让普通用户甚至是管理员都很难防范。这其中的典型案例就是美国连锁超市TARGET的信息泄露事件。

在TARGET的泄露事件中,黑客通过研究其供应链的各个环节,选定了TARGET 的一家第三方供应商为跳板,使用社交工程钓鱼邮件窃取了该供应商的用户凭证,从而获得进入TARGET 网络系统的权限。随后,黑客通过在POS 系统中植入软件,感染了所有刷卡机,截取了刷卡机上的信用卡信息,最后成功入侵数据中心,窃走了所有的用户信息。

单点防御产品无力鉴别APT风险

针对“水坑攻击”日渐猖獗的情况,亚信安全APT安全专家白日表示:”随着互联网+在各行各业的加速融合,许多企业网络的边界已经模糊化,黑客利用“水坑攻击”手段,以中小企业或合作伙伴为跳板,最终对大型企业发动APT攻击,增加了核心数据的保全难度。这种攻击方式超越了单点防护产品的功能范畴,用户需要在侦测能力上部署更先进、更全面的防护手段。”

“水坑攻击”和“路过式下载攻击”有着很大区别,后者属于一般性攻击,很容易被发现,而利用“水坑”发动的APT攻击则更加隐蔽。攻击者还会利用网络钓鱼电子邮件、包含恶意代码的下载包、零日漏洞来发动攻击,而传统的防火墙、入侵检测、安全网关、杀毒软件和反垃圾邮件系统等主要是采用特征码匹配检测技术对网络边界和主机边界进行已知威胁检测,它们均缺乏对未知攻击的检测能力和对流量的深度分析能力。

有别于传统设备的“单兵作战”,亚信安全提供了深度威胁发现设备(TDA)、深度威胁安全网关(DE)、深度威胁邮件网关(DDEI)、深度威胁分析设备(DDAN)、深度威胁终端取证及行为分析系统(DDES )等产品构成的深度威胁发现平台(Deep Discovery,DD),该平台可以与亚信安全其它的网关、虚拟化、服务器以及终端安全防护产品整合。另外,亚信安全还与趋势科技全球15 个恶意软件实验室、云安全智能保护网络(Smart Protection Network)共享威胁信息 ,形成全覆盖的侦测平台。不论是传统安全威胁,还是“水坑攻击”都能从这里侦测并得到分析,同时还能清晰的描述攻击路径、定位到终端或个人,最终形成威胁的预警信息。

针对“水坑攻击”重点对象,白日还表示:中小企业本身防护意识和能力比较薄弱,被攻击的成功率也就很高,黑客往往会选择这些对象进行“挖坑”。另外,国内大部分的企业对APT攻击都停留在简单认知的层面,只有很少的一部分用户非常了解APT攻击的危害。因此,威胁情报共享和定制化解决方案对于防止和识别针对性攻击而言越来越重要,亚信安全将全力协助企业用户远离此类风险。

原文发布时间为:2016-03-04

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

相关文章
|
缓存 安全 JavaScript
Kimsuky APT组织使用新型的AppleSeed Android组件伪装成安全软件对韩特定目标进行攻击
我们判断该组织已经具有了Windows,MacOs,Android的攻击能力,并且将在未来的一段时期持续的活跃。
|
安全 Linux 网络安全
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
国家信息安全公布:向日葵爆出执行漏洞,还有什么远程工具值得信赖?
|
安全 网络安全
赛门铁克未署名诺顿安全更新 防火墙警报引混乱
赛门铁克日前对旧版的Norton产品发布一项未注明身份和来源的安全更新,结果引发使用者的防火墙警报。 这项安全更新是针对2006年和2007年版Norton Internet Security及Norton Antivirus的"PFST.exe"程序。
1040 0
|
安全
俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选
本文讲的是俄罗斯黑客组织APT 29对挪威政府发动网络攻击,目的不是干预大选,近日,挪威外交部、情报部、国家辐射防护局、工党议会以及一所学校受到了俄罗斯黑客组织APT 29的网络钓鱼攻击。挪威官方称尚未有敏感数据泄露。
1414 0
|
存储 安全 数据安全/隐私保护
深度剖析俄罗斯黑客组织APT29的后门
本文讲的是深度剖析俄罗斯黑客组织APT29的后门,POSTSPY最大程度的利用了内置于Windows系统中的特性来设置隐蔽的后门,这些特性被称为“living off the land”
2573 0
|
安全
卡巴斯基遭遇APT攻击 隐藏数月未被发现
本文讲的是 卡巴斯基遭遇APT攻击 隐藏数月未被发现,作为全世界领先的安全公司卡巴斯基,经常会披露它发现的各大机构被攻击的安全事件,但现在可以谈谈自己了。
1006 0