何為APT攻擊?APT攻擊流程及防御 |
發(fā)布時間: 2012/6/23 17:57:20 |
何為APT攻擊 APT(Advanced Persistent Threat)高級持續(xù)性威脅顧名思義,這種攻擊行為首先具有極強的隱蔽能力,通常是利用企業(yè)或機構(gòu)網(wǎng)絡(luò)中受信的應(yīng)用程序漏洞來形成攻擊者所需 C&C網(wǎng)絡(luò);其次APT攻擊具有很強的針對性,攻擊觸發(fā)之前通常需要收集大量關(guān)于用戶業(yè)務(wù)流程和目標(biāo)系統(tǒng)使用情況的精確信息,情報收集的過程更是 社工藝術(shù)的完美展現(xiàn);當(dāng)然針對被攻擊環(huán)境的各類0day收集更是必不可少的環(huán)節(jié)。 在已經(jīng)發(fā)生的典型的APT攻擊中,攻擊者經(jīng)常會針對性的進(jìn)行為期幾個月甚至更長時間的潛心準(zhǔn)備,熟悉用戶網(wǎng)絡(luò)壞境,搜集應(yīng)用程序與業(yè)務(wù)流程中 的安全隱患,定位關(guān)鍵信息的存儲位置與通信方式,整個驚心動魄的過程絕不遜于好萊塢巨制《偷天換日》。當(dāng)一切的準(zhǔn)備就緒,攻擊者所鎖定的重要信息便會從這 條秘密通道悄無聲息的轉(zhuǎn)移。例如,在某臺服務(wù)器端成功部署Rootkit后,攻擊者便會通過精心構(gòu)造的C&C網(wǎng)絡(luò)定期回送目標(biāo)文件進(jìn)行審查。 也許很多IT管理者認(rèn)為APT攻擊這種長期而復(fù)雜的攻擊方式不可能幸運的發(fā)生在您所負(fù)責(zé)網(wǎng)絡(luò)中,但在西方先進(jìn)國家APT攻擊已經(jīng)成為國家網(wǎng)絡(luò) 安全防御戰(zhàn)略的重要環(huán)節(jié)。例如,美國國防部的High Level網(wǎng)絡(luò)作戰(zhàn)原則中,明確指出針對APT攻擊行為的檢測與防御是整個風(fēng)險管理鏈條中至關(guān)重要也是最基礎(chǔ)的組成部分。 對于APT攻擊我們需要高度重視,正如看似固若金湯的馬奇諾防線,德軍只是改變的作戰(zhàn)策略,法國人的整條防線便淪落成擺設(shè),至于APT攻擊, 任何疏忽大意都可能為信息系統(tǒng)帶來災(zāi)難性的破壞。相信您迫切想了解傳統(tǒng)的網(wǎng)絡(luò)犯罪集團與APT攻擊行為到底有哪些異同,下面的表格或許能讓您找到答案。 不難看出APT攻擊更像一支配備了精良武器的特種部隊,這些尖端武器會讓用戶網(wǎng)絡(luò)環(huán)境中傳統(tǒng)的IPS/IDS、防火墻等安全網(wǎng)關(guān)失去應(yīng)有的防 御能力。無論是0day或者精心構(gòu)造的惡意程序,傳統(tǒng)的機遇特征庫的被動防御體系都無法抵御定向攻擊的入侵。即便是業(yè)界熱議的NGFW,利用CA證書自身 的缺陷也可讓受信的應(yīng)用成為網(wǎng)絡(luò)入侵的短板。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |