剖析APT攻击 绿盟NGTP构建下一代防御体系彩世界彩
分类:彩世界彩票注册平台官网

彩世界彩票注册平台官网 1

NAC是一种网络资源访问限制的解决方案,也就是说,只有符合某些规则或策略后访问网络资源。举例说明,如果一台计算机设备最近没有打补丁,NAC可以做策略限制将该设备隔离在子网直至其打了补丁后才可以访问网络资源。

绿盟科技NGTP方案,通过绿盟全球威胁情报系统(NTI)实现威胁信息的共享与实时推送,在具体防护方法上,以检测未知威胁为核心,利用智能网管和大数据分析技术,对来自终端、安全网关、操作系统的告警信息进行综合分析、可视化呈现和管控,降低安全运维成本,构建下一代防御安全防御体系。

域生成算法:某些恶意软件防御措施包含已知C&C服务器的地址,可以阻断这些服务器之间的信息传送。然而,具备域生成功能的恶意软件可以通过定期修改C&C地址细节并使用未知地址来解决这个问题。战胜了Web安全网关、终端检测响应和沙盒。

正确的识别敏感数据并有效地实施DLP解决方案是公司机构能够高效的保护敏感的数据避免泄漏的方法。

扩散藏不住

彩世界彩票注册平台官网 2

主动打补丁:

威胁进不来

彩世界彩票注册平台官网 3

彩世界彩票注册平台官网 4

互联网的普及也带来了网络病毒的肆意,传统的网络安全软件可以有效的防范蠕虫病毒、间谍软件、木马、钓鱼等网络攻击威胁。然而,采用未知威胁为手段的APT攻击则是针对数据库、大量数据进行搜集,且所有的APT已知威胁只是对过去的积累和收集,很多新兴威胁没有样本可循,这增加了APT威胁的攻击力,并让我们越发难测,由于APT攻击的存在,企业暴露在未知威胁影响下的时间也越来越多,风险越来越大。

那么,企业要如何应对呢?其实,战胜零日规避式恶意软件并不容易,但企业可以采取下面几个重要措施来严格限制这些恶意软件的影响:

一些公司对雇员提供的是基于本地的管理权限,便于随时管理安全驱动或软件。这样的权限管理是一把双刃剑,一方面是减少了技术支持的经理且赋予了雇员更多的IT自由度,另一方面会导致网络系统轻易的被黑客访问或安装恶意软件,以及在受害人计算机系统安装远程访问工具(也就是RAT:remote access tools)。细化管理权限也有助于攻击的防御。

绿盟科技为了应对日益增多APT高级持续性威胁,推出下一代威胁防御解决方案(简称NGTP),解决方案由多个模块组成,包括绿盟全球威胁信誉系统、威胁分析系统、入侵防护模块、邮件过滤模块、终端安全模块。

无文件恶意软件:许多恶意软件防御工具会通过关注静态文件和操作系统进程来检测恶意活动。然而,越来越多的攻击者采用了只在运行时内存中执行的无文件恶意软件技术,不会在目标主机上留下任何痕迹,因此对基于文件的防御措施是透明的。无文件恶意软件战胜了IPS/IDS、用户与实体行为分析、杀毒软件和沙盒。

双因子验证:

首先是“水坑攻击”,攻击者在特定的网站上进行挂马,而这些网站是受害者经常访问的,从而导致恶意软件入侵。[l1] 其次是“鱼叉攻击”,以社交工程的恶意邮件是许多APT攻击成功的关键因素之一。随着社交工程攻击手法的日益成熟,这些邮件几乎真假难辨。从一些受到APT攻击的大型企业事件中可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,都是针对某些特定员工发送钓鱼邮件,以此作为使用APT手法进行攻击的源头。再次是利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

主机欺诈:伪造头文件信息可以混淆数据的真实目的地,因此可以绕过针对已知C&C服务器地址的防御措施。战胜了Web安全网关、IPS/IDS和沙盒。

防火墙与入侵防御技术的部署是综合有效安全防御策略的开始;反灰色软件技术,结合数据防泄漏以及基于角色的安全策略配置也应用综合防御应包括的重要部分。同时,反垃圾邮件与网页过滤的解决方案,也是应用控制机制的进一步落实,在攻击的每个阶段步骤都具有有效的防御,才是APT攻击防御的万全之策。

彩世界彩票注册平台官网 5

进行流量分析:数据窃取恶意软件攻击以整个网络为目标,窃取敏感数据。尽管感染可能来自用户端点,但攻击者通常会将其扩展到网络资源中。因此,恶意软件防御解决方案不仅要关注网络中的某个区域或资源类型,还要全盘考虑整个网络,并分析正在发生的攻击事件。

网络隔离:

APT是这么“来”的

采用多层防御措施:保护企业防御规避式恶意软件并不是一件一劳永逸的事情。相反,这是一项持续的工作,需要将端点防御和防火墙、Web安全网关等网络层防护措施结合起来。只有多层防护措施才能实现完全的安全覆盖。

我们能够很明确的是,一些组织是不惜一切代价将感兴趣的数据弄到手,同时也没有一种万能的方法消除APT攻击的风险; 企业或公司机构可以采取风险最小化的多层以及融合性防御战略。

【编辑推荐】

这是为什么呢?现代恶意软件的出现就是为了规避传统的恶意软件防御措施的。当前的恶意软件是复杂的多矢量攻击武器,采用了一系列的规避攻击和伪装技术来规避检测措施。在攻击者和防御者的博弈中,黑客会不断寻找始终领先现有防御系统一步的新方法。这里,我们为各位归纳了5种现代恶意软件常见的规避技术,以及它们是如何战胜传统恶意软件防御措施的。

如今雇员使用网络服务的现象相当普遍,例如Facebook、Twitter以及Skype。许多公司是不对这些应用的访问作控制与管理的,如此自由的访问与应用可会将公司暴露在新一代的基于web的威胁与灰色软件之下。应用控制功能可以识别与控制网络中的应用,无论是基于端口、协议或者IP地址。通过行为分析工具、最终用户关联与应用分类可以识别并阻断潜在的恶意应用与灰色软件。

加密有效负载:某些恶意软件防御措施采用了内容扫描来拦截敏感数据泄露。攻击者会通过加密被感染主机和命令控制服务器之间的信息传送来躲过这一措施。加密有效负载战胜了DLP、终端检测响应和Web安全网关。

基于云端的技术与资源进化得更为丰富了,“移交”式分析与检测成为检测潜在威胁的一种好工具。基于云端的沙盒可以在可控的系统中执行未知的文件与URL,所述可控的系统可以分析这些文件与URL的行为规则以检测可疑或异常的活动。

把威胁抵挡在企业之外是NGTP解决方案的重点。根据上面APT威胁尝试进入的分析,针对“水坑攻击”和“鱼叉攻击”这些高级攻击手法,在网络,Web,邮件和终端多个层面进行纵深检测和防御。在网络层面,尤其是Web上网访问,采用威胁分析系统TAC产品和IPS产品联动的方式进行;在邮件层面,采用威胁分析系统TAC和邮件安全网关联动方式进行。

利用大数据:检测零日恶意软件的一个关键因素就是能够从长期积累的海量信息中采集数据。这就使得防御者可以检测全球范围内的恶意软件活动,并将看似无关的活动关联起来,追踪恶意软件的发展和演变。

例如Dropbox这样的服务是享有广泛的应用的,不管是在家或是在办公室。如同USB驱动访问,限制策略是必要的。基于云端的文件共享与同步应用使攻击者先攻击家用的计算机,并在用户同步文件到公司网络时将恶意软件带到公司网络中有机可趁。

对于极少数成功进入企业的恶意软件,通过机器学习建立模型,查找恶意软件向外进行CnC回连、对内进行扩散的企图。另外,大数据安全分析技术,对各种网络安全设备告警,操作系统日志进行统计、关联,既为威胁态势提供宏观视图,也为恶意软件扩散行为提供微观细节展示。

多态恶意软件:许多传统的恶意软件防御措施可以针对已知的恶意软件特征码进行防御。现代的数据窃取恶意软件可以通过不断的伪装或变形来解决这一点。只需简单地改变代码,攻击者就可以轻松地为文件生成一个全新的二进制特征码。变形的零日恶意软件战胜了杀毒软件、电子邮件过滤、IPS/IDS和沙盒等基于特征码的防御措施。

如同一个APT攻击需要突破多个网络层才可以成功一样,如果企业不希望沦为APT的猎物必须实施能够进行多层网络防御的安全策略。也就是说单一的网络安全功能是不能够防御APT攻击的。

有的放矢 绿盟“下一代威胁防御解决方案”为APT而生

关注零日恶意软件:在目前常见的恶意软件中,零日恶意软件占了50%。现有的恶意软件防御措施通常都无法检测到零日恶意软件,这是造成数据丢失的主要原因。因此,企业亟需能够明确识别并检测到零日恶意软件的恶意软件防御机制。

网络攻击者选定的最终用户攻击目标,一定是攻击目标存在可以发动首次攻击的最佳机会。这如同银行劫匪的“座右铭”,“钱在哪我们就在哪”的道理是一样的。 引导并教育最终用户正确地使用社交媒体保护隐私以及机密信息防止被利用是安全防御中重要的一环。同样关键的是,在公司机构具有访问敏感数据的雇员应受到数据处理方面的专门培训。定期对公司雇员进行内部的安全风险防范意识培训可减少被攻击的机率。

“潜伏性和持续性”是APT攻击主要特点。“潜伏性”,这些新型的攻击和威胁可能在用户环境中存在一年甚至更久,会不断收集各种信息,直到收集到重要情报。而发动APT攻击的目的往往不是为了在短时间内获利,而是把“被控主机”当成跳板,持续搜索,直到能彻底掌握所针对的目标人、事、物。“持续性”APT攻击具有持续性,甚至可能长达数年,让人无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段以及渗透到网络内部后长期蛰伏。

【PConline 杂谈】恶意软件是数据泄露的重要载体。研究表明,无论是最初的入侵、在网络中扩展或者是窃取数据,51%的数据泄露都使用了恶意软件。然而,尽管恶意软件是关键的攻击矢量,企业却无法抵御在网络中肆意运行的数据窃取恶意软件。事实上,某些规模最大、最广为人知的数据泄露都是由未检测到的恶意软件造成的。

入侵防御(IPS)/入侵检测(IDS):

彩世界彩票注册平台官网 6

白名单:

总而言之,APT正在通过一切方式,绕过基于代码的传统安全方案,例如防病毒软件、防火墙、IPS等,且更长时间地潜伏在系统中,让传统防御体系难以侦测。

网络访问控制:

彩世界彩票注册平台官网 7

安全协助:

APT的攻击手法在于隐匿自己,针对特定对象,长期、有计划和有组织地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,实际上是一种“网络间谍”的行为。APT入侵的途径多种多样,主要包括以下几方面:

基于云端的沙盒:

同时,APT攻击还具有“锁定特定目标”和“安全远程控制工具”的本事,“锁定特定目标”针对特定用户,长期进行有计划性、有组织性的窃取情报行为,针对被锁定对象寄送以假乱真的社交工程恶意邮件,例如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。“安装远程控制工具”攻击者建立一个类似僵尸网络Botnet的远程控制架构,会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查,过滤后的敏感机密数据利用加密的方式外传。

旧有的基于客户端的反病毒与反灰色软件防御解决方案仍可提供可靠的病毒与灰色软件防御。但是多数客户端应用不能防御零日攻击,可以阻断的是黑客使用过去的相同或相似的攻击手段。

APT是这么“做”的

终端控制/AV:

APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和入侵行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。所谓知己知彼百战百胜,防范APT,先从了解它入手。

IPS与IDS产品可以作为另一层监控网络流量可疑活动的防御体系。好的IPS与IDS系统同样会对IT人员报警潜在的威胁。

此外,由于云计算和移动互联网的普及,智能终端让任何接入点都可能变成系统漏洞,企业数据中心也变成一个弹性的外围,很多网关/边界式防护都会因此存在防护的缺失。网络威胁背后的推动力是金钱利益与商业犯罪,其发展演变一定还会持续,所以一定要构筑一个面向APT威胁的综合防护的体系,实现企业自身的安全进化。

白名单顾名思义是明确被允许执行或访问资源的名单,黑名单同理是设置阻断对不安全的资源、网络或应用访问的名单。

最终用户的引导:

基于云端文件共享的访问限制:

黑名单:

攻击者不会止步于获取更多的目标来彰显其“荣誉”,所以公司机构的安全策略与防御体系也不是一日之功。公司机构需要可靠的IT雇员了解最新的威胁与潜在的攻击路径,与网络安全组织保持近距离的接触,在必要的时候可获得帮助。

白名单功能的使用有很多方法可言。例如,网络白名单可设置只允许一些内部流量访问网络资源。这可以避免攻击者侵入内部网络。网络白名单还可以防止用户访问那些没有明确被允许的网站。应用白名单可设置一个只允许在计算机设备运行的应用名单,阻断其他软件在设备的运行。这样可避免攻击方在目标用户的计算机系统运行新的程序。

通常使用的双因子认证方式包括标准的用户名与密码,加上基于硬件或软件的认证密钥,该密钥是用于提供一次性有效的数字串,在用户名与密码输入后必须输入的密钥数字。

计算机设备的安全有赖于所运行的软件的安全,所以及时的打补丁是非常必要的。关键补丁不及时安装的话,公司机构的网络系统就存在着可被攻击的漏洞。对于业务环境要求苛刻、不间断运行的用户,保持测试设备能够运行补丁测试关键应用的环境很重要,这样才能够不影响到主网络环境。

融合性防御

数据防泄漏(DLP):

应用控制:

如果一个雇员没有来由地访问了可能包含敏感数据的特别资源,那么基本的网络隔离可以协助防御在内部网络之间的流传。对内部网络资源进行用户访问细分,可潜在的避免攻击者。

管理权限的限制:

通过使用当前的IP信誉数据与web过滤规则的解决方案,可能会阻挡一些攻击。举例说明,如果会计团队没来由地去访问地球另一端国家的网站或者IP地址,创建web访问过滤规则可以有效防止可能中招被攻击网站的访问。通过使用IP信誉服务,可以避免一些攻击者使用攻击其他公司的伎俩,来故伎重演的攻击下一个目标公司。

Web过滤/IP信誉:

适用于最终用户可选的有很多种双因子认证方式。通过对远程用户或需要访问敏感数据的用户实行双因子认证,也可以有效防御数据的丢失或信用状被窃取,因为攻击者需要提供另一种方式的识别才能够进行网络访问。

多数的计算机设备是没有任何限制运行USB及其中的自动的应用。在驱动中嵌入恶意代码也是黑客常用的攻击手段之一。严格禁止USB的使用是相对最安全的做法,但是如果USB的使用是必需的,那么可以配置策略阻断自动运行的驱动程序。

UDB使用限制:

本文由彩世界注册首页发布于彩世界彩票注册平台官网,转载请注明出处:剖析APT攻击 绿盟NGTP构建下一代防御体系彩世界彩

上一篇:“零售新物种”发展模式探讨——从盒马鲜生、 下一篇:没有了
猜你喜欢
热门排行
精彩图文