APT攻击原理和防范

近年来APT攻击成为主要焦点:APT攻击是黑客以窃取核心资料为目的,针对企业发生的攻击和侵袭行业,APT攻击整合了情报技术、黑客技术、社会工程学等各种手段,对特定目标进行长期持续性网络攻击,项目的是访问企业钢络、获取数据、并长期秘密监视目标计算机系统。
APT攻击过程四分4步:搜集信息、渗透驻点、获取权限、实施破坏、数据外传
APT攻击原理和防范_第1张图片
一、 收集信息:攻击者收集所有与目标有关的信息,这个信息涉及目标的组织架构、办公地址、产品服务、员工通讯录、管理层邮件地址、高层领导会议日程、门户网站目录结构、内部网络架构、已部署的安全网络设备、对外开放端口、企业员工使用的办公软件和邮箱系统、公司的web服务器使用的版本和系统。
二、 渗透驻点:攻击者利用钓鱼邮件、WEB服务器、U盘、通过社会工程学等手段,将提前做好的恶意程序植入目标网络内部,然后耐心等待用户打开邮件附件、URL链接、U盘文件或水坑网站。
三、 获取权限:一旦潘多拉魔盒被打开,恶意程序便会借尸还魂,完成一系统的自动操作,便于黑客控制内部设备等手段。
四、 实施破坏或数据外传:一些木马具有图像截图、键盘记录等功能,来获取用户密码等隐私资料,有了账号密码就可以利用已中招的傀儡主机远程登陆公司内部各种服务器上,把一些有价值的资料外传出去给黑客。
ARP为代表的高级威胁给业界带来了前所未有的挑战,迫切需要新的威胁检测手段和技术来应对,传统的方法有3个不足地方:1、威胁检测周期长,传统的检测工具很难对隐藏在加密流量下的恶感威胁检测,另外恶意代码变异很快,对传统的安全防御技术套路很清楚,使得发更长的时间和周期才能发现。2、单点被动防御,传统的安全防御系统都部署在网络的边界处,当威胁发生时只能各自为战,很难控制已在内部中毒后的蔓延和泛滥。3、安全业务管理复杂,过对于网元管理,各厂家标准不统一,配置 依赖手工操作,易用性差,同时各网元管理复杂,需要IP地址、端口、物理位置等 信息,用户上手难度大,此外传统的管理方法也无法提供个性法的安全定制。
相对于传统的安全防御,基于大数据和AI的安全协防是从离散的样本转向全息化的大数据分析,从传统的人工转为自动化分析,以行为、意图分析为主,为客户提供全面的、系统的安全防御体系,来保证园区网的业务安全。
大数据安全协防的核心理念是从每个网元中收集大量的与安全相关的资源信息,同时依靠大数据分析平台进行综合分析,进而可以准确识别出安全威胁事件,然后联动网络控制器进行安全处理,让园区网有主动安全防御能力。
基于大数据和AI的安全协防对抗APT攻击:
APT攻击原理和防范_第2张图片
企业基于大数据和AI的安全分析器,把网络基础设施转化为传感器,作为传感器,路由交换防火墙等网络设备为分析器提供流量、日志、文件等,同时基于网络拓扑和威胁场景,制作剧本,研究入侵的意图和传播途径,以此为建立安全威胁模型和规则,通过全网监控,有异常上报CIS安全分析器,进行分析联动处理和诱捕技术,实现安全隔离,对网络行为数据进行深度挖掘,及时发现威胁并闭环处理,帮助企业提升安全分析和运维智能化、自动化的程度,使企业的关键基础设施稳固,业务永续。
安全协防的总体架构:
APT攻击原理和防范_第3张图片
核心监控技术Telemetry探针:
1、 可视化运维。
2、传统用SNMP监控,秒级监控,而telemetry是毫秒级,用tcp协议,新设备都内置了探针芯片,如AP、AC、路由交换,用emdi监控音视频效果,可以查是不是丢帧用UDP协议。

网络安全之数据加密安全和诱捕,混淆技术,仿真交互:
数据加密后发送,木马藏匿于加密流量中,从而避开安全检测,实施恶意活动。
老方法是用中间人技术,分析其中的行为和内容,再次加密后发送,但是有局限性,破坏了数据的完整性,耗时久,网络性能下降。
eca技术(加密通讯检测),在不破坏数据完整性和隐私型前提下,识别加密流量非加密流量,提取加密流量的特征并发送至cis安全分析器进行安全流量检测,快速发现隐藏在加密流量中的威胁,及时有效的处理。eca该技术架构分为eca流探针和eca分析系统。eca流探针主要负责提取加密流量特征,然后发送到eca分析系统进行判定,eca可以单独部署,也可以防火墙内,交换机内三种方式。eca分析系统集成于cis安全分析器内,通过结合eca检测分类模型发现恶意加密流量。
网络诱捕技术:可以和攻击源进行主动交互,通过网络欺骗和业务仿真,在攻击源发起内网扫描阶段就识别出来,然后发送给cis通过联动快速隔离,以免真实业务受到影响。诱捕组件架构:诱捕探针,诱捕器,cis安全分析器等。
网络混淆:向攻击者展现大量虚假资源,使攻击者无法获取真实的资源和漏洞信息,有效的迟滞了扫描器,蠕虫等自动攻击程序的攻击行为,该方案,诱捕探针置于交换机中,在网络中广泛部署,相比传统蜜罐成本低,密度大,范围广,防御效果佳。
仿真交互:通过虚假资源实现攻击交互,来准确识别攻击意图,使攻击者暴露,比如扫描器,爬虫行为,诱捕器当初支持对http,smb,rdp,ssh的仿真交互。

你可能感兴趣的:(笔记,网络工程,网络)