针锋相对 四招防御APT攻击.doc

针锋相对四招防御APT攻击
APT即“Adavanced Persistent Threat”,是指针对明确目标的持续的、复杂的网络攻击。在2010年Google公司承认遭受严重黑客攻击后,APT攻击成为信息安全行业热议的话题之一。
APT攻击的主要特点
APT就像网络世界神秘莫测的刺客,以其自身的特点威慑着目标系统的安全。
· 针对性:与传统的网络攻击相比,APT攻击针对性很强。传统的网络攻击一般会选择相对容易的攻击目标,而APT攻击在选定攻击目标后,一般不会改变,整个攻击过程都经过攻击者的精心策划,攻击一旦发起,攻击者会针对目标网络尝试不同的攻击技术、攻击手段,不达目的绝不罢休。
· 隐蔽性:APT攻击具有极强的隐蔽性,攻击者往往会利用丰富的经验、先进的技术、超凡的耐性来掩盖自己的行踪,躲避常规安全产品的检测,并且整个攻击过程时间跨度较大,给APT攻击的防御带来极大的挑战。
· 复杂性:在APT攻击过程中,攻击者往往会利用多种攻击技术、攻击手段,不仅会利用已知安全漏洞、木马***,还可能会利用0DAY漏洞、特种木马,通常会结合社会工程学的相关知识,并且攻击路径复杂,下图为APT攻击可能利用的攻击手段。
针锋相对四招防御APT攻击
APT攻击的一般过程
尽管每起APT攻击事件都有不同的企图、不同的攻击目标,但是准备和实施APT攻击有一个通用的过程,一般可以划分为4个阶段,即搜索阶段、进入阶段、渗透阶段、收获阶段。
针锋相对四招防御APT攻击
APT攻击的一般过程
搜索阶段:APT攻击与普通网络攻击相比,在信息搜索的深度和广度上有明显不同。APT攻击的攻击者会花费大量的时间和精力用于搜索目标系统的相关信息。他们会了解企业的背景、公司文化、人员组织,还会收集目标系统的网络结构、业务系统、应用程序版本等信息。随后攻击者会制定周密的计划,识别有助于攻击目标达成的系统、人员信息,收集、开发或购买攻击工具,APT攻击可能会利用特种木马、0DAY漏洞利用工具、口令猜测工具,以及其它渗透测试工具。
进入阶段:攻击者会进行间断性的攻击尝试,直到找到突破口,控制企业内网的第一台计算机。常见的方法如下:
· 恶意文件:精心构造,并以邮件、IM软件等形式向内部员工发送携带恶意代码的PDF、Word文档;
· 恶意链接:以邮件、IM软件等形式向内部员工发送携带恶意代码的URL链接,诱使员工点击;
· 网站漏洞:利用网站系统的漏洞,例如SQL注入、文件上传、远程溢出等等,控制网站服务器作为跳板,对企业内部进行渗透、攻击;
· 购买“***”:这是一种最便捷的攻击方式,即从地下黑市直接购买企业内部已经被其它黑客攻陷的计算机。
渗透阶段:攻击者利用已经控制的计算机作为跳板,通过远程控制,对企业内网进行渗透,寻找有价值的数据,与进入阶段类似,本阶段一样会考验攻击者的耐心、技术、手段。
收获阶段:攻击者会构建一条隐蔽的数据传输通道,将已经获取的机密数据传送出来。其实本阶段的名字叫“收获阶段”,但却没有时间的限制,因为APT攻击的发起者与普通攻击者相比是极端贪婪的,只要不被发现,攻击行为往往不会停止,持续的尝试窃取新的敏感数据与机密信息。
如何防御APT攻击
正所谓“知己知彼,百战百胜”,在我们对APT攻击有一定