"動靜"結(jié)合 APT防護需建立整體應(yīng)對體系

責(zé)任編輯:editor005

作者:董建偉

2015-02-03 14:39:43

摘自:it168網(wǎng)站

剛剛過去的2014年是信息安全形勢極為復(fù)雜的一年,大量影響到我們切身生活的信息安全事件頻繁出現(xiàn),尤其是各種APT攻擊事件趨于爆發(fā)式增長,傳統(tǒng)的安全威脅方式已經(jīng)漸漸消失

剛剛過去的2014年是信息安全形勢極為復(fù)雜的一年,大量影響到我們切身生活的信息安全事件頻繁出現(xiàn),尤其是各種APT攻擊事件趨于爆發(fā)式增長,傳統(tǒng)的安全威脅方式已經(jīng)漸漸消失,具有持續(xù)性、針對性和隱蔽性的新一代網(wǎng)絡(luò)安全威脅日趨常態(tài)化,越來越多的出現(xiàn)在我們的周圍,影響到我們的信息系統(tǒng)安全。企業(yè)如何有效防范APT攻擊成為現(xiàn)階段的最主要難題,為此我們采訪了安恒信息APT和大數(shù)據(jù)安全分析平臺產(chǎn)品經(jīng)理王輝,他談到,“攻擊者已經(jīng)不再滿足于技術(shù)炫耀,更多的以商業(yè)利益和網(wǎng)絡(luò)戰(zhàn)為目的。因此應(yīng)對APT攻擊必須要對網(wǎng)絡(luò)系統(tǒng)進行整體評估,分析所有可能被利用的網(wǎng)絡(luò)系統(tǒng)弱點。”

攻擊者已經(jīng)不再滿足于技術(shù)炫耀,更多的以商業(yè)利益和網(wǎng)絡(luò)戰(zhàn)為目的,不惜大量的人力和財力來挖掘各種0day漏洞,并利用這些漏洞秘密潛入重要系統(tǒng)竊取情報,這些網(wǎng)絡(luò)間諜行動往往針對國家重要的基礎(chǔ)設(shè)施和單位進行,包括能源、電力、金融、國防等;有些則屬于商業(yè)黑客犯罪團伙入侵企業(yè)網(wǎng)絡(luò),搜集一切有商業(yè)價值的信息。尤其是涉及到高新技術(shù)的企事業(yè)單位,存在大量的機密技術(shù)信息,往往容易成為APT攻擊的目標。一旦被鎖定為攻擊目標,最終可能導(dǎo)致大量隱私信息和機密技術(shù)信息泄露。如果是國家、政府和軍隊等受到攻擊,可能會導(dǎo)致國家機密信息泄露,后果不堪設(shè)想。

因此,應(yīng)對APT攻擊必須要對網(wǎng)絡(luò)系統(tǒng)進行整體評估,分析所有可能被利用的網(wǎng)絡(luò)系統(tǒng)弱點,包括各種WEB服務(wù)器、郵件服務(wù)器和辦公網(wǎng)絡(luò)等網(wǎng)絡(luò)系統(tǒng)入口,這些弱點都可能會被利用作為APT攻擊的入口,攻擊者通常會結(jié)合各種WEB攻擊、郵件攻擊、惡意文件攻擊、社工類攻擊和0day攻擊等多種攻擊方式控制這些中轉(zhuǎn)目標,并以這些中轉(zhuǎn)目標為跳板向更多內(nèi)網(wǎng)主機進行滲透,最終通過精心構(gòu)造的RAT工具進行控制和回連,達到竊取機密信息的目的。

對于企業(yè)而言,APT攻擊的規(guī)律和特點決定了采用單一的應(yīng)對機制通常難以進行有效應(yīng)對,而應(yīng)對APT攻擊最大的難點在于如何有效發(fā)現(xiàn)APT攻擊,一旦發(fā)現(xiàn)APT攻擊就可以通過多種手段進行阻斷,因此,我們必須建立一套完整的安全應(yīng)對體系,對所有可能存在的安全風(fēng)險進行分析,包括WEB、郵件和文件等多種緯度網(wǎng)絡(luò)流量的持續(xù)監(jiān)控和深度解析,利用靜態(tài)分析和動態(tài)分析相結(jié)合的機制,對所有已知和未知的攻擊行為進行分析,并挖掘其中的關(guān)聯(lián)性,還原APT攻擊路徑,及時感知可能出現(xiàn)的APT攻擊行為,然后再針對攻擊的方式利用防火墻、WAF、殺毒軟件等現(xiàn)有安全資源進行阻斷,將損失影響降低到最小。

  ▲APT攻擊整體應(yīng)對方案

安全攻防之間的對抗一定是一個動態(tài)的過程,對于企業(yè)的CSO來說,要做好防御APT攻擊也一定是一個動態(tài)的過程,必須通過整體化的應(yīng)對方案持續(xù)監(jiān)控可能存在的安全威脅,及時感知其中真正對我們有影響的威脅,再采用針對性的應(yīng)對防護措施,然后不斷加固和完善整體網(wǎng)絡(luò)安全防護體系,通過持續(xù)循環(huán)的動態(tài)安全應(yīng)對過程,不斷增強安全對抗能力。

圖說:知己知彼,應(yīng)對APT攻擊

  圖說:知己知彼,應(yīng)對APT攻擊

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號