APT攻击之过程解析 - APT防御产品

APT攻击之过程解析

随着大数据时代的来临,数据安全、信息安全的问题频频发生,使许多大小企业为之头疼。
今年的全球著名信息安全峰会RSA 2013共有350家安全厂商参展,厂家数量超过了以往的RSA年会。单从技术热点来看,这两年的RSA峰会热点并没有太多变化,依然还是围绕数据安全、企业安全管理、合规性、应用程序安全、DLP等热点,而围绕数据和企业安全的APT检测成为了今年RSA大会的最热门话题。
APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御APT方面效果很不理想,因此,各安全厂商都在研究新的方法并提出了多种多样的解决方案。山丽网安在今年RSA峰会现场收集了各安全厂商所宣传的APT安全解决方案并进行了梳理。在下文中,我们先回顾一下整个APT攻击过程,对APT安全解决方案进行分类,然后阐述一下应对解决的办法。
APT进攻过程解析:
整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤:
1、定向情报收集;
即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多,包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT攻击手法来看,大多数APT攻击都是从组织员工入手,因此,攻击者非常注意搜集组织员工的信息,包括员工的微博、博客等,以便了解他们的社会关系及其爱好,然后通过社会工程方法来攻击该员工电脑,从而进入组织网络。
2、单点攻击突破;
即攻击者收集了足够的信息后,采用恶意代码攻击组织员工的个人电脑,攻击方法包括:
1)社会工程学方法,如通过email给员工发送包含恶意代码的文件附件,当员工打开附件时,员工电脑就感染了恶意代码;
2)远程漏洞攻击方法,比如在员工经常访问的网站上放置网页木马,当员工访问该网站时,就遭受到网页代码的攻击。这些恶意代码往往攻击的是系统未知漏洞,现有杀毒和个人防火墙安全工具无法察觉,最终结果是,员工个人电脑感染恶意代码,从而被攻击者完全控制。
3、控制通道构建;
即攻击者控制了员工个人电脑后,需要构建某种渠道和攻击者取得联系,以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道,这个命令控制通道目前多采用HTTP协议构建,以便突破组织的防火墙,比较高级的命令控制通道则采用HTTPS协议构建。
4、内部横向渗透;
一般来说,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器,因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。
5、数据收集上传;
即攻击者在内部横向渗透和长期潜伏过程中,有意识地搜集各服务器上的重要数据资产,进行压缩、加密和打包,然后通过某个隐蔽的数据通道将数据传回给攻击者。
APT进攻的防护解决办法:
企业要想防止APT进攻,单单一些防火墙、杀毒软件是不够的,重要的还是加密软件。一款好的加密软件能够防止很多黑客的进攻。防火墙相当于一扇门,一扇防盗门,想要阻止盗取信息的黑客攻击的时候,它只能抵挡些技术不高的黑客的进攻,对于那些技术高超的黑客这扇门形同虚设。所以就需要一款好的加密软件对信息数据进行更有力的防护,它就相当于一个个保险箱,把所有重要的数据信息都锁在里面,大大的提高了黑客攻击的难度。
在加密软件这一方面国内做的最好的就那么几家,山丽网安就是其中之一,山丽网安的防水墙技术已经申请为专利产品。在其他加密软件公司还停留在透明加密、不透明加密、加密1.0、2.0的时候,山丽网安早早的进入了加密3.0多模加密的时代。更超前的技术会为您带来更丰厚的利润,使企业公司的收益得到良好的保障。
这是从技术方面来说,从经济角度来说山丽防水墙系统采用32模块自由组合方式出售,不同于其他加密软件的单一性,它是随客户需求可自由组合的,让客户在降低成本的同时达到了防护自己企业数据信息的目的,可谓是一举两得。


转载请注明出处 APT防御产品 » APT攻击之过程解析

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址