威胁与攻击

威胁与攻击（精选四篇）

威胁与攻击 篇1

12月10日, 华为与DDo S防护服务市场领导者Black Lotus签署合作备忘录, 确立双方将在技术研发、产品服务、市场开发和营销等领域展开多项合作, 共同向企业客户提供专业的DDo S防护产品和服务, 让企业更高效和快速地应对新型DDo S攻击。

据介绍, 在技术研究领域, 华为与Black Lotus将共同研究新型DDo S攻击, 联合输出《全球攻击趋势研究报告》。双方也将在市场开发上确立合作计划, 以西欧市场为起点, 逐步覆盖到南太、澳洲、北美等区域, 共同为全球企业提供专业的DDo S防护安全服务。目前, 双方正在筹建荷兰阿姆斯特丹流量清洗中心, 并将在澳洲、亚太等区域合作构建流量清洗中心。通过双方的合作, 客户将可以受益于华为专业的Anti-DDo S产品和能力, 以及Black Lotus的专业的Anti-DDo S服务能力。

DDo S防护需要“软硬夹击”

随着互联网和移动互联网逐渐渗透至人们的生活、社交与工作中, 用户对于电子商务、社交网站以及在线支付等应用的依赖度已在逐年升高, 但互联网在为人们带来便利的同时也加大了DDo S攻击的威胁。来自IDC的一项新研究发现, 分布式拒绝服务 (DDo S) 攻击和Do S攻击防御解决方案市场在2012年到2017年间预计将增长18.2%, 达到8.7亿美元的开支。

另据福布斯中文网11月报道, 当前DDo S攻击的规模已经达到空前程度, 每秒达50 0G的速度。面对攻击流量越来越庞大, 应用型攻击占据主导地位, 基于云的“犯罪即服务” (Cybercrime-as-a-Service:Caa S) 越来越普遍等趋势, 不论是企业用户还是云服务提供商都需要随时为DDo S攻击做好准备, 部署专业的DDo S防护方案。

更重要的是, 全球化的DDo S攻击不仅攻击形式更加泛滥, 而且其攻击力度也呈现更加猛烈的态势, 在攻击类型、受害范围以及攻击流量方面都是加剧的趋势。其中, 数据中心已经成为DDo S攻击的重灾区, 攻击目标主要是数据中心的各类在线业务。有研究发现, 利润率越高的在线业务系统, 遭受攻击的频率就越高, 攻击也越持久。

此外, DDo S的攻击对象也从原来面向网络带宽转向了会话及应用, 此类攻击手段流量小, 隐蔽性强。一般而言, 都是经过事先踩点和策划, 以很小的流量即可使业务系统全面瘫痪, 即便停止攻击也很难迅速恢复。

面对如此严峻的安全威胁, DDo S的防护手段也需要升级。只是企业单方面购买DDo S设备已经远远不能有效防御流量型攻击, 或者是应对频繁复杂的应用型攻击, DDo S防护还需要结合云端的力量, 不断及时地针对流量型攻击进行引流清洗, 以及提供实时的响应服务, 利用软硬夹击的原理才能够根本防御DDo S攻击的威胁。

正是基于这样的发展趋势, 才有了华为与DDo S防护服务提供商Black Lotus的合作。Black Lotus市场与业务领域副总裁Frank Ip表示:“Black Lotus的混合DDo S攻击防护服务提供可扩展的基于云的DDo S防护, 并采用华为的Anti-DDo S应急响应服务和设备, 确保客户能够防御任意规模的多重维度DDo S攻击。”

“华为Anti-DDo S方案拥有全球活跃僵尸网络库和IP信誉库信息, 提供业界性能较高的Anti-DDo S产品, 已应用于腾讯、阿里巴巴、欧洲ISP联盟NBIP等云服务提供商。相信通过与Black Lotus合作, 华为AntiDDo S的产品和全球威胁应急响应能力将服务于全球更多企业客户, 共同打造更加安全的网络环境。”华为交换机与企业通信产品线副总裁刘立柱表示。

技术互补才能合作共赢

作为全球化ICT解决方案提供商, 华为多年来在抗击DDo S威胁方面已经做出了大量贡献, 目前华为的DDo S防护产品已经广泛应用于大流量DDo S防护、应用型DDo S防护、移动DDo S防护以及从内向外的DDo S防护等方面, 并且做到了T级防护性能、秒级攻击响应。

就在去年“双十一”当天, 阿里巴巴凭借华为提供的DDo S安全防护方案, 成功抵御了多轮的DDo S攻击事件, 其中峰值攻击流量甚至一度超过了19Gbit/s, 其中最小的攻击流量也在500Mbit/s左右, 由此才顺利创下双十一当天高达350亿元人民币的交易额。

不过, 尽管有着性能卓越的产品技术和广泛大量的客户群体, 华为自身也深刻认识到, 在提供全球化DDo S应用防护方面, 自己还是存在着不足, 比如在及时响应和快速服务方面, 想要为客户提供全方位的DDo S安全防护, 华为需开放合作, 与产业伙伴携手扬长避短, 才能为客户提供基于云端和企业侧的DDo S安全防御解决方案。

因此, 在华为与Black Lotus签署合作之后, 双方将在DDo S解决方案方面提供更深层次的技术能力, 比如在云端为客户提供云清洗服务, 在整个安全产品服务中提供7×24小时的有效响应服务等等。而对于未来双方的合作, 华为刘立柱则表示, 我们将在欧洲、亚太乃至北美等有商业潜力的地域展开深度合作, 此次Mo U的签署仅仅是双方合作的起点。

据介绍, Black Lotus是一家专注于为大中小型企业客户提供专业的DDo S防护服务的网络安全公司, 创立于1999年, 并在全球范围内建立了第一个DDo S防护托管网络, 第一个IPv6 DDo S防护环境以及第一个高效的7层攻击防御战略。目前, Black Lotus在美国加利福尼亚州洛杉矶、弗吉尼亚州阿什本和荷兰阿姆斯特丹建设了三大世界级流量清洗中心, 并在洛杉矶设立了安全运营中心。

威胁与攻击 篇2

作者：(张海航)

该攻击方式称为分布式D.O.S(Distributed Denial Of Service)攻击，国外一些高性能的商业网络和教育网络遭受到了这种攻击。它利用攻击者已经侵入并控制的主机（可能是数百台），对某一单机发起攻击。在悬殊的带宽力量对比下，被攻击的主机会很快失去反应。这种攻击方式被证实是非常有效的，而且非常难以抵挡。

一般的人比较难以顺利实现这些攻击。因为攻击者必须熟悉一些入侵技巧。出现在一些 网站上的两个已知工具可以帮助实现这种攻击。它们是trin00和Tribe Flood Network。源代码包的安装使用过程是比较复杂的，因为编译者首先要找一些internet上有漏洞的主机，通过一些典型而有效的远程溢出漏洞攻击程序，获取其系统控制权，然后在这些机器上装上并运行分布端的攻击守护进程，下面简单地介绍一下trin00的结构：

trin00由三部分组成：

1、客户端

2、主控端(master)

3、分布端(broadcast)---攻击守护进程

------------------------------------

1、客户端可以是telnet之类的常用连接软件，客户端的作用是向主控端(master)发送命令。它通过连接master的27665端口，然后向master发送对目标主机的攻击请求。

2、主控端(master)侦听两个端口，其中27655是接收攻击命令，这个会话是需要密码的。缺省的密码是“betaalmostdone”。master启动的时候还会显示一个提示符：“??”，等待输入密码。密码为 “gOrave”，另一个端口是31335，等候分布端的UDP报文。

在7月份的时候这些master的机器是:

129.237.122.40

207.228.116.19

209.74.175.130

3、分布端是执行攻击的角色。分布端安装在攻击者已经控制的机器上,分布端编译前植入了主控端master的IP地址，分布端与主控端用UDP报文通信，发送到主控端的31355端口，其中包含“*HELLO*”的字节数据。主控端把目标主机的信息通过27444 UDP端口发送给分布端，分布端即发起flood攻击。

攻击者-->master-->分布端-->目标主机

通信端口：

攻击者 to Master(s): 27665/tcp

Master to 分布端: 27444/udp

分布端 to Master(s): 31335/udp

从分布端向受害者目标主机发送的D.O.S都是UDP报文，每一个包含4个空字节，这些报文都从一个端口发出，但随机地袭击目标主机上的不同端口。目标主机对每一个报文回复一个ICMP Port Unreachable的信息，大量不同主机发来的这些洪水般的报文源源不断，目标主机将很快慢下来，直至剩余带宽变为0。

DDos式攻击的步骤

透过寻常网路(网络)连线，使用者传送讯息要求服务器予以确认。服务器于是将连线许可回传给使用者。使用者确认后，获准登入服务器。

但在“拒绝服务”式攻击的情况下，使用者传送众多要求确认的讯息到服务器，使服务器充斥这种垃圾讯息。所有的讯息都附上捏造的地址，以至于服务器设图回传确认许可时，无法找到使用者。服务器于是暂时等候，有时超过一分钟，然后再切断连线。服务器切断连线时，骇客再度传送新一波佯装成要求确认的讯息，再度启动上述过程，导致服务器无法动弹，服务无限期停摆。这种攻击行动使网站服务器充斥大量要求答覆的讯息，导致系统不胜负荷以至于当机。

这种分布式拒绝服务攻击示意图如下：

*----------*

| |

| 攻击者 |

| |

*----------*

|

|

*----------*

| |

| 主控端 |

| |

*----------*

|

(指挥各个分节点进行攻击)

|

*------------*------*------*------------*

| | | |

| | | |

v v v v

*----------* *----------* *----------* *----------*

| | | | | | | |

| 代理端 | | 代理端 | | 代理端 | | 代理端 |

| | | | | | | |

*----------* *----------* *----------* *----------*

/ /

/ /

/ /

(大量的垃圾数据包进行攻击)

/ /

/ /

/ /

V V V V

*-----------------------*

| |

| 被攻击服务器 |

| |

*-----------------------*

根据网络通讯异常现象监测分布式拒绝服务攻击

许多人或工具在监测分布式拒绝服务攻击时常犯的错误是只搜索那些DDoS工具的缺省特征字符串、缺省端口、缺省口令等，

要建立网络入侵监测系统（NIDS）对这些工具的监测规则，必须着重观察分析DDoS网络通讯的普遍特征，不管是明显的，还是模糊的。

DDoS工具产生的网络通讯信息有两种：控制信息通讯（在DDoS客户端与服务器端之间）和攻击时的网络通讯（在DDoS服务器端与目标主机之间）。

根据以下异常现象在网络入侵监测系统建立相应规则，能够较准确地监测出DDoS攻击。

异常现象0：虽然这不是真正的“DDoS”通讯，但却能够用来确定DDoS攻击的来源。根据分析，攻击者在进行DDoS攻击前总要解析目标的主机名。BIND域名服务器能够记录这些请求。由于每台攻击服务器在进行一个攻击前会发出PTR反向查询请求，也就是说在DDoS攻击前域名服务器会接收到大量的反向解析目标IP主机名的PTR查询请求。

异常现象1：当DDoS攻击一个站点时，会出现明显超出该网络正常工作时的极限通讯流量的现象。现在的技术能够分别对不同的源地址计算出对应的极限值。当明显超出此极限值时就表明存在DDoS攻击的通讯。因此可以在主干路由器端建立ACL访问控制规则以监测和过滤这些通讯。

异常现象2：特大型的ICP和UDP数据包。正常的UDP会话一般都使用小的UDP包，通常有效数据内容不超过10字节。正常的ICMP消息也不会超过64到128字节。那些尺寸明显大得多的数据包很有可能就是控制信息通讯用的，主要含有加密后的目标地址和一些命令选项。一旦捕获到（没有经过伪造的）控制信息通讯，DDoS服务器的位置就暴露出来了，因为控制信息通讯数据包的目标地址是没有伪造的。

异常现象3：不属于正常连接通讯的TCP和UDP数据包。最隐蔽的DDoS工具随机使用多种通讯协议（包括基于连接的协议）通过基于无连接通道发送数据。优秀的防火墙和路由规则能够发现这些数据包。另外，那些连接到高于1024而且不属于常用网络服务的目标端口的数据包也是非常值得怀疑的。

异常现象4：数据段内容只包含文字和数字字符（例如，没有空格、标点和控制字符）的数据包。这往往是数据经过BASE64编码后而只会含有base64字符集字符的特征。TFN2K发送的控制信息数据包就是这种类型的数据包。TFN2K（及其变种）的特征模式是在数据段中有一串A字符（AAA……），这是经过调整数据段大小和加密算法后的结果。如果没有使用BASE64编码，对于使用了加密算法数据包，这个连续的字符就是“”。

高级持续性威胁攻击及预防的探索 篇3

关键词：高级持续性攻击,威胁,隐蔽性

0引言

高级持续性威胁攻击(Advanced Persistent Threat,APT), 它以黑客攻击、窃取核心资料为目的,针对目标客户所发起的网络攻击和侵袭行为。APT具有非常强的隐蔽性,在业内也称这种攻击为“恶意商业间谍威胁”。

APT不同于通常的网络攻击行为,常见的网络攻击属于泛洪式的攻击模式,比较有名的攻击如DDOS(拒绝服务攻击), 能够造成攻击目标大面积瘫痪,影响的范围比较广。而APT攻击具有非常明确的攻击目标,针对特定对象进行长期、有计划和组织性地窃取有价值的数据。

1网络攻击概述

Internet自上个世纪产生并发展至今,已经延伸到各行各业中,特别是21世纪,随着虚拟化、数据中心、物联网等技术从实验室陆续商用、民用。不管是企业还是个人,都加快了改变数据固有属性的步伐,从“本地化“到”网络化“、“平台化”、“共享化”。互联网的发展在改善了企业和个人的方方面面的同时, 也引入了让人头疼的问题,那就是“网络攻击”。它伴随的网络的发展而发展。

网络攻击(Network Attack)就是利用网络存在的漏洞和安全缺陷对系统和资源进行的攻击。主要分为主动攻击和被动攻击两大类。

主动攻击:包含攻击者访问所需要信息的故意行为;

被动攻击:主要是收集信息而不进行访问,数据的合法用户对这种活动一点也不会察觉到,被动攻击包括:

窃听:包括键击记录、网络监听、非法访问数据、获取密码文件。

欺骗:包括获取口令、恶意代码、网络欺骗。

拒绝服务:包括导致异常型、资源耗尽型、欺骗型。

数据驱动攻击:包括缓冲区溢出、格式化字符串攻击、输入验证攻击、同步漏洞攻击、信任漏洞攻击。

2网络攻击的发展

在网络攻击发展的历史长河中,不得不提到两个名词,那就是“骇客”和“黑客”。

骇客就是利用现有的一些程序进入别人的计算机系统后发现安全漏洞,并且利用这些漏洞破坏你的网站,让你出洋相; 还有那些专门破译软件密码的从而制作盗版软件的人也是骇客的一种,可以说中国盗版如此严重也是骇客的“功劳”。骇客并没有想象中可怕,很多人一提到他们就联想到网络犯罪,这完全是没必要的。骇客们也只不过是为了炫耀自己的技术,大多数人并没有恶意。他们未必具有很高的技术,但有老顽童周伯通的心理,老是喜欢跟你开玩笑,通常用一些简单的攻击手段去搞一搞BBS、聊天室之类的。

然而黑客的做法则与骇客有着本质的区别,他们通常情况下会受到经济利益的驱使,利用自己掌握的电脑技术,入侵相关系统,窃取有价值的数据从而给自己带来经济上或者其他方面的好处,他们不是一群技术的炫耀者,而是网络世界里的“小偷”。

随着互联网的发展,网络攻击也经历这前所未有的发展, 在过去,具有高超电脑技术的毕竟是少数,他们热衷于电脑技术,去专研。通常情况下,要成功入侵目标系统需要经过系统的分析过程,从踩点、信息收集、隐藏到最后成功实施入侵, 需要经过漫长和复杂的过程。而随着互联网的发展,给相关技术的传播提供了广阔的平台,现在要实施一起入侵攻击行为, 对于入侵者的要求则远远的低于之前,现在只需要网络、简单的工具就可以完成一次入侵攻击。

入侵技术的发展如图1所示,红线代表入侵者的水平。

随着现在入侵攻击手段越来越隐蔽,以及攻击成本的低廉, 很多破坏者的入侵步骤越来越简单,如图2所示:

Internet上的安全是相互依赖的,每个Internet系统遭受攻击的可能性取决于连接到全球Internet上其他系统的安全状态。 由于攻击技术的进步,一个攻击者可以比较容易地利用分布式系统,对一个受害者发动破坏性的攻击。随着部署自动化程度和攻击工具管理技巧的提高,威胁将继续增加。

网络攻击的发展趋势主要体现在:攻击工具越来越复杂、 发现安全漏洞越来越快、防火墙渗透率越来越高、自动化和攻击速度提高和对基础设施威胁增大这几个方面。

3高级持续性威胁(APT)由来及威胁

自2010年Google承认遭受严重黑客攻击之后,APT高级持续性威胁便成为信息安全圈子人尽皆知的“时髦名词”,当然对于像Google、RSA、Comodo等深受其害的公司而言APT无疑是一场噩梦,噩梦的结果便是对现有安全防御体系的深入思考。

APT是指高级的持续性的渗透攻击,是针对特定组织的多方位的攻击;这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需的相关信息;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。

在已经发生的典型的APT攻击中,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络坏境, 搜集应用程序与业务流程中的安全隐患,定位关键信息的存储位置与通信方式。当一切的准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。

对于APT攻击我们需要高度重视,正如看似固若金汤的马奇诺防线,德军只是改变的作战策略,法国人的整条防线便沦落成摆设,至于APT攻击,任何疏忽大意都可能为信息系统带来灾难性的破坏(如表1)。

不难看出APT攻击更像一支配备了精良武器的特种部队, 这些尖端武器会让用户网络环境中传统的IPS/IDS、防火墙等安全网关失去应有的防御能力。无论是0day或者精心构造的恶意程序,传统的机遇特征库的被动防御体系都无法抵御定向攻击的入侵。即便是业界热议的NGFW,利用CA证书自身的缺陷也可让受信的应用成为网络入侵的短板。

一个完整的APT攻击流程主要分为6个阶段:

(1)情报收集阶段

获得有关目标的IT环境和组织机构的战略信息,31%的雇主会对员工在社交网站上发布攻击机密数据的行为给予纪律处分。

入口点。通过电子邮件、即时消息、社交网络或软件漏洞进入目标网络,87%的目标组织受到了URL的欺骗。

命令和控制通信。确信受攻击的主机与C&C服务器(控制服务器)之间保持链接通信,主要APT活动利用web端口与C&C服务器通信。

横向移动。寻找将敏感信息存储在目标网络内的重要主机, 所用的技术包括“passing the hash”,该技术可将攻击者的权限提升为管理员权限,从而获得访问关键目标的权限。

资产/数据发现。识别需要隔离的重要数据,以便将来达到数据隐蔽泄漏的目的。

数据隐蔽泄漏。将数据传输至威胁实施者控制的问题。

典型的APT攻击,通常会通过如下途径入侵到您的网络当中:

1通过SQL注入等攻击手段突破面向外网的Web Server;

2通过被入侵的Web Server做跳板,对内网的其他服务器或桌面终端进行扫描,并为进一步入侵做准备;

3通过密码爆破或者发送欺诈邮件,获取管理员帐号,并最终突破AD服务器或核心开发环境;

4被攻击者的私人邮箱自动发送邮件副本给攻击者;

5通过植入恶意软件,如木马、后门、Downloader等恶意软件,回传大量的敏感文件(WORD、PPT、PDF、CAD文件等);

(2)通过高层主管邮件,发送带有恶意程序的附件,诱骗员工点击并入侵内网终端。

APT目前已经成为信息资产最大的威胁,很多企业在远程传输数据或本地存储数据的同时,为了确保数据的完整性和机密性,通常情况下会采用加密算法,使其数据不具备通用的可读性,只有知道密钥的访问者才能正常的读取相关数据。但是任何一种加密算法都是可以破解的,只要给入侵者时间和计算资源。随着目前云计算的推出,高性能的计算资源放在云端, 民众可以方便的获取,入侵者可以利用高性能的计算资源,处理更加复杂的加密算法,破解一套加密算法的时间将大大缩短。

APT攻击目前已经成为入侵者攻击特定目标的重要手段, 2009年底的“极光行动”,通过收集google员工在Facebook、 Twitter等社交网上发布的信息,利用动态DNS供应商建立托管伪造照片网站的Web服务器,google员工收到来自信任的人发来的网络链接并且点击,通过加载恶意代码获取google员工访问google服务器的权限,进而获取google邮件服务器的权限, 进而不断获取特定Gmail账户的邮件内容。最著名的应属于发生在2011年的RSA Secur ID窃取攻击,EMC公司下属的RSA公司遭受入侵,部分Secur ID技术及客户资料被窃取。其后果导致很多使用Secur ID作为认证凭据建立VPN网络的公司受到攻击,重要资料被窃取。最后导致RSA公司花费600万美元来修复系统漏洞。

(3)APT防御初探

在实施一次APT攻击时,攻击者会花上几个月甚至更长的时间对锁定的“目标”网络进行踩点,针对性地进行信息收集, 目标网络环境探测,线上服务器分布情况,业务系统的弱点分析,业务状况的梳理,相关员工信息的收集等等。当攻击者收集到足够的信息,就会对目标发起攻击。在攻击过程中,攻击者会对目标网络和业务系统再一次进行深入的分析和研究,所以这种攻击的成功率非常高。

(4)RSA Secur ID窃取攻击

2011年3月,EMC公司下属的RSA公司遭受入侵,部分Secur ID技术及客户资料被窃取。其后果导致很多使用Secur ID作为认证凭据建立VPN网络的公司受到攻击,重要资料被窃取。

(5)暗鼠行动

2011年8月,Mc Afee和Symantec公司发现并报告了暗鼠行动。该攻击从2006年启动,在长达数年的持续攻击过程中,渗透并攻击了全球多达72个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。

(6)极光行动

极光行动是2009年12月中旬可能源自中国的一场网络攻击,Google在它的官方博客上披露了遭到该攻击的时间。此外还有20多家公司也遭受了类似的攻击。

APT攻击自2011年全面爆发,石油、天然气和防务公司已经成为了这一复杂攻击的目标,这些公司的行业秘密和机密合同谈判等信息均遭到了窃取。对于一些关系到国民、经济等领域的公司,成为了APT攻击的主要目标。

APT不是一种新的攻击手法,因此无法通过阻止一次攻击就让问题消失。APT在前期收集情报的过程中,大量会采用社会工程学的手段,从外围或与特定目标相关的人或事寻找突破口,再进入突破口的时候,同样也会选择不管紧要的机器先入侵,以此作为网络攻击的跳板,横向扩展,如果企业中缺失对网络环境中细微变化的审计及监控措施,很容易会忽略网络中细微的变化,“千里之堤,毁于蚁穴”。针对目标明确、及其隐蔽的APT攻击模式,需要进行“内外兼修”的方式,建立立体、 全方位的防御体系,关注网络环境发生的任何细微的变化。对于APT攻击如何有效的防御?

(1)加强信息安全意识培训

针对企业的员工,经常组织有关信息安全意识方面的培训, 提升雇员在如何保护信息资产方面的能力,通过培训,可以有效杜绝使用社会工程学等方式的踩点攻击,同时也能够提升在遇到信息安全威胁后,员工的处理威胁的能力。

(2)健全信息安全防护系统

对于不同的重要级别的信息系统,定期进行信息安全风险评估的测试,发现目前系统中可能存在的相关漏洞信息,进行系统补丁升级。加强网络层面和应用层面防护体系的建设,通过部署防火墙、防毒墙、IDS/IPS、审计类等安全设备,形成立体的防护体系。

(3)静态检测方式

从攻击样本中提取攻击特征与功能特性,对攻击样本逆向分析;

(4)动态检测方式

模拟用户环境,执行APT代码段,捕获并记录APT攻击的所有行为;审计网络中应用程序的带宽占用情况。发现攻击后,进行APT攻击溯源;

(5)产业链跟踪

实时跟踪分析网络犯罪团伙的最新动向。多维度的安全防御体系,正如中医理论中倡导的防患于未然思想,在威胁没有发生前,为企业IT生产环境进行全面的安全体检,充分掌握企业所面临的安全风险。

(6)建立信息安全管理体

俗话说“七分管理、三分技术”,技术上不能解决所有的问题,必须加强信息安全管理体系的搭建,规范信息系统在使用过程中的规则,从信息的创建、加工、传输、存储、销毁几个方面规范操作行为,确保信息资产在可控的框架下服务。

4总结

在2013年的全球RSA大会上,APT防御再次成为热点议题。在APT防范领域,国内外厂商也展出了最优秀的APT解决方案,他们的防范策略和解决方案可以概括为四类:

(1)主机文件保护类

不管不管攻击者通过何种渠道执行攻击文件,必须在员工的个人电脑上执行。因此,能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况,从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案,典型代表厂商包括国内的金山网络和国外的Bit9。

(2)大数据分析检测APT类

该类APT攻击检测方案并不重点检测APT攻击中的某个步骤,而是通过搭建企业内部的可信文件知识库,全面收集重要终端和服务器上的文件信息,在发现APT攻击的蛛丝马迹后,通过全面分析海量数据,杜绝APT攻击的发生,采用这类技术的典型厂商是RSA。

(3)恶意代码检测类

该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤,因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以进入目标网络,因此,恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的,典型代表厂商包括Fire Eye。

(4)网络入侵检测类

通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多,但是,恶意代码网络通信的命令和控制通信模式并不经常变化,因此, 可以采用传统入侵检测方法来检测APT通信通道。典型代表厂商有飞塔。

APT攻击是近年流行的杀伤力很大,并且很难防御的一种攻击模式,是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性的进行的一系列攻击行为的整个过程。 主要就针对企业的商业机密信息和国家重要的基础设施进行, 包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。

威胁与攻击 篇4

近日,赛门铁克发现,移动恶意软件开发者对威胁攻击进行更新,现可攻击安卓最新运行系统Marshmallow中的授权模式。

在安装移动应用时,安卓系统的授权模式会向所安装的应用授予权限,但并不是直接接受所有的安装要求。然而,Android.Bankosy和Android.Cepsohord等恶意软件如今已适应了这种授权模式,它们会设法获得所需的权限,从而进行恶意活动。网络攻击者的下一步计划是通过自动更新来躲避Google移动操作系统上的新型安全措施。

赛门铁克建议用户采用以下措施防御移动威胁:确保软件为最新版本;避免从未知网站下载应用,只安装来自可靠来源的应用;密切注意应用申请的权限;安装一款合适的移动安全应用来保护您的设备和数据;定期备份重要数据。