挫敗APT攻擊從網路安全基礎工作做起
高階持續性威脅(APT)是當今公司企業面臨的最危險的網路攻擊之一。我們都聽說過Stuxnet蠕蟲以及其他備受關注的攻擊,其中包括2014年索尼影業娛樂公司被黑事件,一名觀察人士稱之為“完美的APT”。而在去年,專門針對金融機構的Carbanak攻擊登上了媒體頭條。
APT會影響貴公司嗎?ISACA的《2015年高階持續性威脅安全意識調查》發現,74%的調查物件認為,他們會受到APT的攻擊,28%已經受到了攻擊。問題在於,就其性質而言,APT極其複雜。它們旨在隱匿起來、逃避檢測,從而讓它們能夠在網路上傳播數週、甚至數月之久而不被發現。
緩解APT的風險似乎意味著要部署非常複雜的網路安全措施,這似乎超出了大多數普通企業組織的能力範圍。事實並非如此。實際上,你只要做好基本工作,對於降低APT風險大有幫助:瞭解這種攻擊是如何規劃和部署的基礎知識,瞭解貴企業組織的網路結構如何助長或阻礙這種攻擊。簡而言之,瞭解如何減小你暴露在惡意黑客面前的攻擊面。
APT結構
不管有多複雜,所有APT攻擊通常遵循相似的路徑。
偵察:攻擊者通常會使用多種手段來獲取情報,瞭解公司的網路實際上是什麼樣子,以便搞清楚實施了什麼樣的安全策略和應用程式,或者找出可以為他們提供入口點的遠端訪問功能。常見的手法包括如下:
·開源情報包括掃描對外開放的服務,以查詢安全漏洞。
·人力資源情報針對關鍵員工,以獲取訪問資訊。
·資產摸底識別企業組織在使用哪些版本的軟體或資源,以便了解網路基礎設施的概況。
漏洞投放:一旦攻擊者找到了攻擊你網路的相應的入口點,就會投放一個惡意工具或應用程式,讓他們得以滲入到你的網路。選擇的攻擊途徑可能包括電子郵件附件、所謂的“水洞”攻擊(攻擊者危及他們知道受害者可能會訪問的現有網站),或者甚至是將漏洞投放到被感染的U盤上。
探查和橫向擴充套件:成功潛入到你的網路裡面後,攻擊者試圖在你的網路裡面橫向移動,最終獲取你那寶貴的業務資料。但這些資料通常在另一個計算機系統上,所以攻擊者需要找到一條路徑。這種橫向移動正是APT的永續性發揮作用的地方。探查需要一段時間――在此期間,個人使用者可以重啟系統,更改安全簽名,或者以其他方式讓攻擊者很難重新訪問其機器。
因此,攻擊者理想情況下旨在將軟體直接部署到一臺臺機器上,讓他們得以隨時可以回來,即便使用者重啟了機器或打上了補丁。要做到這一點,最常見的方式就是通過遠端管理員工具(RAT)――這是用於遠端排查故障或求助臺功能的同一種型別的工具。
最後,攻擊者獲取他們一直在尋找的寶貴資訊可能有兩種手段,一是將這些資訊與正當流量混合起來、通過HTTP傳送,另一種是對這些資訊加密,以便很難被發現,比如說通過HTTPS傳送。
減小網路攻擊面
雖然很難防止攻擊者在整個APT過程中執行第一個階段――畢竟,許多OSINT掃描方法沒有什麼特別隱祕之處,但是可以防止攻擊者在你的網路上橫向移動、搜尋你的寶貴資料,可以藉助一些迴歸基本面的網路安全原則:
·對網路進行分段。根據使用模式以及在每個區域裡面處理的資料類別,將你那個扁平的內部網路劃分成多個區域。隨後,這種分段機制可以防止APT從充當“踏腳石”的一個機器跳到另一個機器。
·部署防火牆,以便過濾那些區域的之間流量。必須在區域之間部署防火牆之類的“阻塞點”,過濾進出的流量。換句話說,防火牆必部署在內部橫向移動路徑上,而不是僅僅部署在網路邊界。
·制定那些防火牆執行的限制性安全策略。Gartner研究公司表明,99%的防火牆安全漏洞是由防火牆配置不當,而不是防火牆本身缺陷造成的。傳達的資訊很明確:你的防火牆必須準確、巧妙地加以配置,才能分析並阻止表明APT的那種內部流量。
你在設計網路的分段機制時,應考慮將所有網路都應該分成兩種區域型別。首先,為處理和儲存支付及信用卡資料、員工記錄、公司財務資料、智慧財產權和受監管資料的系統識別和定義敏感資料區域。其次,識別和定義含有人類可訪問的桌上型電腦、筆記本、平板電腦和智慧手機的真人使用者區域。你可能已經對無線訪問區域進行了分段,但是有線訪問桌上型電腦同樣應該加以分段。由於APT的第一個攻擊點通常是這樣一種桌上型電腦,這種分段隨後就能防止APT的橫向移動。
如果這聽起來異常簡單,那是因為它本來就很簡單。要牢記的重要一點是,不管APT有多麼狡猾,它都是在你的地盤作崇。發覺網路裡面APT的跡象可能頗有難度,但是如果做好安全基本工作,對於防止橫向移動大有幫助,進而可以立即阻止API。
====================================分割線================================
本文轉自d1net(轉載)
相關文章
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- 【網路安全基礎課程】DDOS攻擊方式有哪些?
- SQL隱碼攻擊漏洞威脅網路安全 防禦措施應從編碼開始做起SQL
- APT攻擊APT
- 網路安全中什麼是APT攻擊?主要特點是什麼?APT
- 【網路安全基礎教程】SQL隱碼攻擊防範方法有哪些?SQL
- 網路安全再迎新規、英美警告APT駭客攻擊|11月18日全球網路安全熱點APT
- 維護網路安全環境需從人人做起
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- APT攻擊備忘APT
- 什麼是CC攻擊?CC攻擊型別【網路安全教程】型別
- 逃脫APT攻擊魔抓需網路安全防禦體系一層套一層APT
- 網路攻擊
- 網路安全基礎
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- 網路安全DOS攻擊有什麼方式
- 網路安全中攻擊溯源有哪些方法?
- 【網路安全知識】網路安全需注意攻擊型別有哪些型別
- 企業網路安全:防範駭客要從公司高層做起
- FireEye遭APT攻擊?!針對企業的APT攻擊是如何發生的?APT
- 懂你網路系列10之網路安全中的CSRF攻擊
- 【網路安全】7種網路攻擊手段,你知道幾個?
- 【網路安全知識】DDOS攻擊和CC攻擊有什麼區別?
- 網路攻擊手段
- APT攻擊有何變化?APT
- 網路安全——常見的幾種WEB攻擊:Web
- 三種使用AI攻擊網路安全的方法AI
- 網路安全中*具威脅的攻擊方式!
- 安全公司FireEye再被攻擊!劍指俄羅斯APT組織APT
- 再現在野0day攻擊--BITTER APT攻擊事件APT事件
- 【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
- 網路安全中主動攻擊、被動攻擊分別是什麼意思?
- 瞭解常見網路攻擊方式,做好網路安全防範!
- 攻擊面管理預防網路攻擊原理?
- 從SolarWinds攻擊事件中看安全事件
- 俄烏戰爭中的俄羅斯APT網路攻擊部隊行為分析APT