APT(Advanced Persistent Threat)--------高级持续性威胁

原文链接: https://www.baidu.com/s?ie=UTF-8&wd=0day

APT(Advanced Persistent Threat)--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。

1.概述

APT(Advanced Persistent Threat)--------高级持续性威胁。 利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行准确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络,并利用0day漏洞进行攻击。

1.1.攻击特点

1).极强的隐蔽性

对此可这样理解,APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合,在组织内部,这样的融合很难被发现。例如,2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞,伪造了合法的数字证书,冒充正规软件实现了欺骗攻击。

2).潜伏期长,持续性强

APT攻击是一种很有耐心的攻击形式,攻击和威胁可能在用户环境中存在一年以上,他们不断收集用户信息,直到收集到重要情报。他们往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到充分掌握目标对象的使用行为。所以这种攻击模式,本质上是一种“恶意的商业间谍威胁”,因此具有很长的潜伏期和持续性。

3).目标性强

不同于以往的常规病毒,APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒,要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户,而是拥有高价值敏感数据的高级用户,特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、 甚至各种工业控制系统。

4).利用0day攻击

在APT攻击中,经常使用0day对目标发起攻击。很多APT中不惜使用多个高级的0day,所以在APT攻击中利用0day也是一个非常重要的特点。

 

2.现有的检测技术

目前,很多企业采用多种网络安全防御技术检测攻击,如采用网络防火墙、IDS、应用防火墙、日志审计等措施,然而这些检测已知漏洞攻击的方式难以有效的发现APT攻击 。

2.1.传统网络防火墙

第一代网络防火墙可以控制对网络的访问,管理员可以创建网络访问控制列表(ACLs)允许或阻止来自某个源地址或发往某个目的地址及相关端口的访问流量。传统的防火墙无法发现APT攻击,不论这些攻击来自防火墙内部的还是外部,因为防火墙只是基于网络层和会话层的攻击,而APT攻击一般都基于更高的协议层次, 防火墙无法对这些流量和攻击进行进一步的细分,只能通过ACL列表做一个最简单的控制。

状态检测防火墙是防火墙技术的重大进步,这种防火墙在网络层的ACLs基础上增加了状态检测方式,它监视每一个连接状态,并且将当前数据包和状态信息与前一时刻的数据包和状态信息进行比较,从而得到该数据包的控制信息,来达到保护网络安全的目的。它能根据TCP会话异常及攻击特征阻止网络层的攻击,通过IP分拆和组合也能判断是否有攻击隐藏在多个数据包中。然而,状态防火墙无法侦测很多应用层的攻击,如果一个攻击隐藏在合法的数据包中,它仍然能通过防火墙到达应用服务器 

2.2.入侵检测系统(IDS)

入侵检测系统是一个典型的探测设备。它不跨接多个物理网段(通常只有一个监听端口),无须转发任何流量,只需要在网络上被动的、无声息的收集它所关心的报文即可。对收集来的报文,入侵检测系统提取相应的流量统计特征值,并利用内置的入侵知识库,与这些流量特征进行智能分析比较匹配。根据预设的阀值,匹配耦合度较高的报文流量将被认为是进攻,入侵检测系统将根据相应的配置进行报警或进行有限度的反击。

入侵检测系统使用特征识别技术记录并报警潜在的安全威胁。只是基于已知漏洞进行检测,不能对未知的攻击进行报警。目前大多数攻击特征数据库都是网络层的攻击。此外,可以通过加密,TCP碎片攻击以及其他方式绕过入侵检测系统的防御。

2.3.防病毒网关

防病毒网关是一种网络设备,用以保护网络内(一般是局域网)进出数据的安全。主要体现在病毒杀除、关键字过滤(如色情、反动)、垃圾邮件阻止等功能,同时部分设备也具有一定防火墙(比如划分VLAN)的功能。

对于企业网络,一个安全系统的首要任务就是阻止病毒通过电子邮件与附件入侵。当今的威胁已经不单单是一个病毒,经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。网关作为企业网络连接到另一个网络的关口,就象是一扇大门。一旦大门敞开,企业的整个网络信息就会暴露无遗。从安全角度来看,对网关的防护得当,就能起到“一夫当关,万夫莫开”的作用。反之,病毒和恶意代码就会从网关进入企业内部网,为企业带来巨大损失。基于网关的重要性,企业纷纷开始部署防病毒网关,主要的功能就是阻挡病毒进入网络。

这种网关防病毒产品能够检测进出网络内部的数据,对HTTP、FTP、SMTP、IMAP四种协议的数据进行病毒扫描,但所有的检测基本都基于文件类型,并且只能根据特征匹配已知的病毒木马攻击,对于利用0day进行的APT攻击就无能为力。 

3.安全需求

目前针对企业、政府、金融、工业等攻击越来越多,也别是针对一些重要部门的攻击,不惜使用大量的0day和花费大量的时间对一个目标进行深度长期的攻击。而这块的检测手段有限,目前的设备无法有效的发现这些安全攻击事件。所以我们需要一种能检测此类攻击的设备。

4.WEB威胁深度检测
Web流量和应用进行深度检测,提供了全面的入侵检测能力。 
能解码所有进入的请求,检查这些请求是否合法或合乎规定;仅允许正确的格式或RFC遵从的请求通过。已知的恶意请求将被阻断,非法植入到Header、Form 和URL中的脚本将被阻止。APT攻击(网络战)预警平台还能进行Web地址翻译、请求限制、URL格式定义及Cookie安全。
实现阻止那些的攻击如跨站点脚本攻击、缓冲区溢出攻击、恶意浏览、SQL注入等。

5.APT产品能力和价值

5.1.预警重要信息系统发生的安全事件

5.1.1.及时发现网站存在WEBSHELL后门被利用的行为

APT不仅可以从流量中发现WEBSHELL页面,还可及时预警活动的WEBSHELL利用行为,同时定位到网站服务器、路径和具体页面,帮助进一步快速解决问题。

5.1.2.快速预警高危恶意代码样本传播

一些高危的恶意代码通常杀毒软件是无法处理的,一旦进入内网影响较大,比如一些包含shellcode、勒索病毒的样本,APT产品可以快速的发现并预警这些攻击。

5.1.3.对内部主机被控制回连的行为进行监控

APT内置了一部分黑IP黑域名库,同时通过沙箱提取样本中包含的C&C IP/URL,实现动态的自学习更新黑IP黑域名库,监控内部主机存在被控制回连的行为。

5.2.完善核心系统安全防护能力

5.2.1.发现各种隐蔽威胁

通过深度和全面的行为分析能力,可以发现网络中的隐蔽攻击威胁,避免内网出现恶意代码传播和感染等危害。

5.2.2.分析当前安全防护的弱点

当前安全防护的产品都是基于特征的,极易出现绕过和漏掉的攻击,通过及时发现漏掉的这些威胁,可以分析当前安全防护的弱点。

5.2.3.完善安全防护策略

FW、IPS等安全设备在部署的时候通常都是默认策略,极为容易出现漏掉的攻击,APT可以发现并分析攻击的数据包特征,持续完善当前安全防护策略。

5.3.对攻击进行取证溯源分析

安恒APT产品不仅可以分析出当前存在的威胁,还可以记录威胁的来源、攻击手段、攻击过程、攻击目标、攻击影响等信息,实现对攻击的过程分析和溯源分析,确定内部主机的遭受的威胁程度。

5.3.1.记录详细的攻击行为

通过对攻击威胁的详细分析和行为记录,不仅可以快速发现威胁,并可对威胁的详细行为进行记录,便于进一步取证和追溯。

5.3.2.发现并定位僵尸主机

一旦出现极易被感染为僵尸主机,且难以发现,APT可以发现由内向外的异常流量,定位内网存在的僵尸主机,可以定位到具体的IP、MAC、区域等信息。

5.3.3.对攻击进行跟踪溯源

根据被攻击者遭受的所有威胁进行关联,跟踪所有对被攻击者发起的威胁信息和攻击源信息,发现其中的高危攻击。

5.4.感知安全威胁趋势规律

基于统一智能威胁分析平台,可以实现安全威胁统一分析,感知当前的安全威胁趋势和规律,通过可视化的方式进行展现,便于及时快速的掌握当前的安全动态和威胁指数。

5.4.1.全面的威胁指数分析

通过对主机威胁、文件威胁和邮件威胁多个纬度的威胁分析,形成不同纬度的当前威胁指数,实现全面的威胁动态分析。

5.4.2.安全趋势和规律分析

你可能感兴趣的:(网络)