【龍田百科】防不勝防的詐騙、攻擊手段——社會(huì)工程學(xué)
發(fā)布時間:2024-01-23
高級持續性威脅(Advanced Persistent Threat,APT),又叫(jiào)高級長(cháng)期威脅,是一種(zhǒng)複雜的、持續的網絡攻擊,包含三個要素:高級、長(cháng)期、威脅。
-
高級是指執行APT攻擊需要比傳統攻擊更高的定制程度和複雜程度,需要花費大量時間和資源來研究确定系統内部的漏洞;
-
長(cháng)期是爲了達到特定目的,過(guò)程中“放長(cháng)線”,持續監控目标,對(duì)目标保有長(cháng)期的訪問權;
-
威脅強調的是人爲參與策劃的攻擊,攻擊目标是高價值的組織,攻擊一旦得手,往往會(huì)給攻擊目标造成(chéng)巨大的經(jīng)濟損失或政治影響,乃至于毀滅性打擊。
APT攻擊者通常是一個組織,從瞄準目标到大功告成(chéng),要經(jīng)曆多個階段,在安全領域這(zhè)個過(guò)程叫(jiào)做攻擊鏈。每個廠家對(duì)于攻擊鏈的步驟定義略有差異,但本質上相差不大。
.png)
APT攻擊鏈
1.Google極光攻擊
Google Aurora極光攻擊是由一個有組織的網絡犯罪團夥精心策劃的有針對(duì)性的網絡攻擊,攻擊團隊向(xiàng)Google發(fā)送了一條帶有惡意連接的消息,當Google員工點擊了這(zhè)條惡意連接時,會(huì)自動向(xiàng)攻擊者的C&C Server(Command and Control Server)發(fā)送一個指令,并下載遠程控制木馬到電腦上,再利用内網滲透、暴力破解等方式獲取服務器的管理員權限,員工電腦被(bèi)遠程控制長(cháng)達數月之久,其被(bèi)竊取的資料數不勝數,造成(chéng)不可估量的損失。
2. SolarWinds供應鏈事(shì)件
2020年12月網絡安全公司 FireEye披露其公司購置的網管軟件廠商SolarWinds相關軟件中存在後(hòu)門,該後(hòu)門通過(guò)HTTP與第三方服務器進(jìn)行通信。SolarWinds對(duì)全球客戶展開(kāi)排查,經(jīng)排查發(fā)現,多家大公司均被(bèi)攻擊者通過(guò)該軟件作爲入口而成(chéng)功滲透。此外,多個政府機構也可能(néng)已經(jīng)淪陷;世界500強企業中,也有超過(guò)9成(chéng)受到影響;全球至少30萬家大型政企機構受到影響。
1.攻擊者組織嚴密
通常是一個組織發(fā)起(qǐ)的攻擊,可能(néng)具有軍事(shì)或政治目的,有時會(huì)與某個國(guó)家關聯在一起(qǐ),而且背後(hòu)往往有強大的資金支持。
2. 針對(duì)性強
攻擊者不會(huì)盲目攻擊,一般會(huì)有針對(duì)性的選擇一個攻擊目标,該目标往往具有軍事(shì)、政治、經(jīng)濟上的較高價值。
3.手段高超
APT攻擊的惡意代碼變種(zhǒng)多且升級頻繁,結合尚未發(fā)布的零日漏洞,使得基于特征匹配的傳統檢測防禦技術很難有效檢測出攻擊。
4.隐蔽性強
APT攻擊者具有較強的隐蔽能(néng)力,不會(huì)像DDoS攻擊一樣(yàng)構造大量的報文去累垮目标服務器,基于流量的防禦手段很難發(fā)揮作用;在整個過(guò)程中都(dōu)會(huì)使用高級逃逸技術來刻意躲避安全設備的檢查,在系統中并無明顯異常,基于單點時間或短時間窗口的實時檢測技術和會(huì)話頻繁檢測技術也難以成(chéng)功檢測出異常攻擊。
5.持續時間長(cháng)
滲透過(guò)程和數據外洩階段往往會(huì)持續數月乃至數年的時間。
高級威脅通常利用定制惡意軟件、0Day漏洞或高級逃逸技術,突破防火牆、IPS、AV等基于特征的傳統防禦檢測設備,針對(duì)系統未及時修複的已知漏洞、未知漏洞進(jìn)行攻擊。爲了應對(duì)和防範APT技術,可以參考以下措施,來降低風險:
1.多層網絡安全防護
增加網絡堡壘、IDS/IPS、堡壘機等安全設備,建立多層防禦體系。使用下一代防火牆,部署入侵檢測/預防系統、安全信息事(shì)件管理(SIEM)系統等,提高對(duì)網絡流量的實時監測和異常檢測能(néng)力。
2.深度防禦策略
實施深度防禦策略,控制網路入口和出口,使用新一代防火牆、入侵檢測、預防系統等安全設備。建立漏洞管理系統,及時發(fā)現和修複安全漏洞。嚴格控制訪問權限,避免使用弱口令和共享賬号。實施多因素身份驗證,如指紋、面(miàn)部識别等,确保隻有授權人員能(néng)夠訪問敏感數據。
3.加強數據保護和備份
确保重要數據得到充分保護和備份,以防數據被(bèi)竊取或損壞。同時,定期測試備份數據的可用性和完整性。
4.使用沙箱技術
通過(guò)將(jiāng)可疑文件或代碼隔離在沙箱中運行,以檢測和防禦APT攻擊中的惡意軟件。
5.加強郵件和附件的安全性
使用電子郵件過(guò)濾器、安全附件解壓縮等功能(néng),以防止惡意附件的傳播和感染。
6.情報收集與分析
加強情報收集與分析,了解攻擊者的行爲模式和工具特點。利用威脅情報分享平台和合作夥伴關系。獲取更多的情報信息,提高對(duì)APT攻擊的預警和響應能(néng)力。
7.建立安全事(shì)件應急響應機制
制定詳細的安全事(shì)件應急預案,明确應急響應流程和責任人。及時發(fā)現、處置和報告安全事(shì)件,防止攻擊者進(jìn)一步滲透和利用系統。
8.合作夥伴關系與國(guó)際合作
與安全廠商、國(guó)家安全機構等建立合作夥伴關系,共同應對(duì)APT攻擊。共享威脅情報、技術交流和協作,提高整體網絡安全防護能(néng)力,加強國(guó)際合作,共同打擊跨國(guó)犯罪。
注:本文素材來自華爲及AI,版權歸作者所有