APT威胁防御方法

1.1防御方法分析

技术层面来说,为了应对APT攻击,新的技术也是层出不穷,主要防御技术还是基于DPI(字符特征检测)与DFI(实时动态流量检测)。
从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。
根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、蠕虫行为、监测网络异常数据等多个环节入手。
而不论从哪个环节入手,都主要涉及以下几类新型技术手段:
1.1.1基于沙箱的恶意代码检测技术——未知威胁检测
要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效。沙箱技术简单说就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过监控可疑文件所有的真正的行为(程序外在的可见的行为和程序内部调用系统的行为)判断是否为恶意文件。
沙箱技术的模拟环境可以是真实的模拟环境,也可以是一个虚拟的模拟环境。而虚拟的模拟环境可以通过虚拟机技术来构建(KVM),或者通过一个特制程序来虚拟(docker)。
1.1.2基于异常的流量检测技术——IDS(已知的特征库的检测)
传统的IDS都是基于特征的技术去进行DPI分析(入侵检测系统),检测能力的强弱主要看ids库的能力(规则库要广泛还要及时更新),主要是安全分析人员要从各种开源机构或自发渗透挖掘出利用代码或恶意代码,来加入ids规则库来增强检测能力。这种防御技术的方法显而易见对已知的网络威胁检测时可以的,对未知的威胁就尴尬了。
面对新型威胁,有的ids也加入了DFI技术,来增强检测能力。基于Flow,出现了一种基于异常的流量检测技术,通过建立流量行为轮廓和学习模型来识别流量异常,进而识别0day攻击、C&C通讯,以及信息渗出。本质上,这是一种基于统计学和机器学习的技术。
1.1.3全包捕获与分析技术
应对APT攻击,需要做好最坏的打算。万一没有识别出攻击并遭受了损失怎么办?对于某些情况,我们需要全包捕获及分析技术(FPI)。借助天量的存储空间和大数据分析(BDA)方法,FPI能够抓取网络中的特定场合下的全量数据报文并存储起来,进行历史分析或者准实时分析。通过内建的高效索引机制及相关算法,协助分析师剖丝抽茧,定位问题。
有了全流量然后用机器学习—检测建模—数据挖掘—引擎分析,做全面的大数据安全分析。
1.1.4信誉技术
信誉技术早已存在,在面对新型威胁的时候,可以助其他检测技术一臂之力。无论是WEB URL信誉库、文件MD5码库、僵尸网络、恶意IP、恶意邮件,还是威胁情报库,都是检测新型威胁的有力武器。而信誉技术的关键在于信誉库的构建,这需要一个强有力的技术团队来维护。
一般是借助第三方情报平台:如国内的有“烽火台”、“微步在线”等,实时的收集互联网上的最新威胁情报,实时的更新情报库。
1.1.5关联分析技术
把前述的技术关联在一起,进一步分析的威胁的方法。我们已经知道APT攻击是一个过程,是一个组合,如果能够将APT攻击各个环节的信息综合到一起,有助于确认一个APT攻击行为。通过ids+情报+沙箱+机器学习等综合的判断网络数据是否有威胁,
综合分析技术要能够从零散的攻击事件背后透视出真正的持续攻击行为,包括组合攻击检测技术、大时间跨度的攻击行为分析技术、态势分析技术、情境分析技术,等等。
1.1.6安全人员的挖掘,提升安全防御技术
要实现对这种有组织隐蔽性极高的攻击攻击,除了监测/检测技术之外,还需要依靠强有力的专业分析服务做支撑,通过专家团队和他们的最佳实践,不断充实安全知识库,进行即时的可疑代码分析、渗透测试、漏洞验证,等等。安全专家的技能永远是任何技术都无法完全替代的。

2 新型威胁的最新技术发展动向

APT攻击自身也在不断发展进化,以适应新的安全监测、检测与防御技术带来的挑战。以下简要分析新型威胁采取的一些新技术。
2.1精准钓鱼
精准钓鱼是一种精确制导的钓鱼式攻击,比普通的定向钓鱼(spear phishing)更聚焦,只有在被攻击者名单中的人才会看到这个钓鱼网页,其他人看到的则是404 error。也就是说,如果你不在名单之列,看不到钓鱼网页。如此一来,一方面攻击的精准度更高,另一方面也更加保密,安全专家更难进行追踪(因为你不知道名单,且不在名单之列)。
2.2高级隐遁技术
高级隐遁技术这个术语最初源自2010年芬兰的Stonesoft公司(2013年5月被McAfee收购)的一个研究成果。高级隐遁技术(AET,Advanced Evasion Technology)是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。
高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。
3.3沙箱逃避
新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。还有的沙箱用到了虚拟机方式来执行,那么恶意代码的制作者就会想办法去欺骗虚拟机。
3.4水坑式攻击
所谓“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。
本文参考:http://blog.csdn.net/cnbird2008/article/details/1445496

你可能感兴趣的:(网络安全-APT)