内容目录
0 引 言
1 外部攻击模式与薄弱点利用要点分析
·侦察跟踪阶段
·武器构建阶段
·突防利用与安装植入阶段
·通信控制与达成目标阶段
2 构建数据驱动的自适应安全防护体系 ·预测阶段·安全防护阶段·安全检测阶段·安全响应阶段
3 结 语
00
引 言
随着APT 攻击事件的日益增多,其组织化、潜伏性、持续性、利用0day 漏洞的攻击特点,导致大多数企业采用的传统的基于防火墙、IPS 等边界防护以及病毒恶意特征代码检测等静态安全防护体系已经越来越不能适应外部攻击者和攻击手段的变化,也越来越不能适应更加开放、边界更加模糊、日益复杂而又漏洞百出的各类系统和应用程序的发展趋势 。
基于攻击能力随着时代的变化而显著提升,改进、重构已经相对滞后的攻击防御体系已势在必行 。
本文依据对典型APT 攻击事件过程的分析,提炼出的被攻击者安全防护体系的薄弱环节,并依据业界最新提出的PPDR 安全防护体系建设理论,结合作者多年工作实际经验,阐述了传统信息安全防护体系的未来建设发展的目标与方法,实现从静态特征检测到动态异常检测的转变、从边界防护向全网防护的转变、从被动防御到充分利用威胁情报进行主动防护的转变 。
01
外部攻击模式与薄弱点利用要点分析
根据近几年比较著名的APT 攻击事件的分析,黑客攻击的过程主要分为以下几个阶段:
侦察跟踪阶段
主要是发现确认目标,收集目标网络、服务状态、相关人员电子邮件、社交信任关系,确定入侵可能的渠道 。例如台湾第一银行ATM 吐钞事件中,恶意代码是来自第一银行英国伦敦分行电脑主机和2 个存储电话录音的硬盘,而并非台湾总行直接被入侵 。这表明,黑客通过前期侦察准确的定位伦敦分行作为入侵的初始目标,并了解其内部网络互联互通的情况 。
武器构建阶段
主要是创建用于攻击的武器,比如邮件中的恶意代码附件、假冒网站或网站挂马、远程控制通信服务器等 。台湾第一银行ATM 事件中,黑客创建的恶意代码主要包括控制ATM 吐钞的程序、读取ATM 系统和卡夹信息的程序、清除痕迹的程序以及与黑客后台远程通信的程序 。
突防利用与安装植入阶段
主要是利用系统或网络漏洞、管理机制漏洞、人性弱点等将恶意代码投递到内部目标,获得对系统的控制权 。台湾第一银行事件中,就是利用伦敦分行作为突破口,将恶意代码植入 。
通信控制与达成目标阶段
主要是与外部黑客远程控制服务器进行连接,周期性的确认其存活状态,接受指令完成数据窃取、信息收集、破坏等最终任务 。台湾第一银行事件中,黑客通过远程命令操控,将恶意代码植入了ATM 版本升级的主机服务器,并利用ATM 升级的契机,将恶意代码下发至第一银行各ATM,最后在指定时间下达了吐钞指令 。
根据以上作案过程的分析,有以下几个主要的薄弱点环节:
1. 传统的边界隔离措施无法对抗精准的APT 攻击
传统的边界隔离主要是依靠防火墙、路由器ACL 等对不同安全等级的网络区域进行划分,比如生产、办公、测试、开发、互联网、第三方等 。
一方面,由于客观上总是存在外部接入内部的网络渠道,而且随着互联网的发展,内外部互联互通信息的需求越来越多,攻击者总能找到入侵内部的一条可以用的通道,可能是邮件、貌似正常的web 网页数据上传、第三方数据传输通道、企业各分支机构管理不善开了例外的终端等等;
另一方面,到目前为止,已经开通的防火墙和ACL 策略由于管理不善、信息更新滞后等原因,也可能存在少量未及时调整和删除的冗余策略、范围过大策略等边界收紧不到位的情况 。因此,基于防火墙和路由器的边界隔离措施面对信息收集能力和针对性很强的APT 攻击者,是无能为力的 。
2. 传统的基于特征码的恶意代码监测存在滞后性和局限性
一是类似IPS、WAF 和防病毒这样的防护工具,属于对已知固定恶意代码进行特征识别的一种静态分析方法,无法有效应对恶意代码变形、加壳等隐蔽手段;
二是APT攻击通常利用看似合法的输入和非明显恶意特征但非常针对性的程序代码 。因此,在事发之前,我们不可能提前识别出全部的恶意代码特征,这种传统的基于恶意代码静态监测的方式存在较大不足 。
3. 突破边界后的内部网络防护能力不足
推荐阅读
- 明明是200M宽带,可网络为啥还是那么差?教你轻松突破网速限制
- 如何基于TCP/IP协议进行MFC Socket网络通讯编程
- 网络安全普及:为何一条不明链接,就能让电脑换了主人?
- IP地址和子网掩码的计算
- 淘宝达人推广靠谱吗 怎样成为淘宝达人
- BIAS:蓝牙冒充攻击
- 浅谈分布式存储中的网络通信
- 虚拟网络VPN的实现技术
- 网络安全防护-虚拟专用网技术概述
- 看看有哪些 Web 攻击技术