碼上快樂

相關內容    簡體    繁體

APT攻擊原理和防范

本文轉載自   查看原文   2022-04-18 21:18   1199    物聯網

近年來APT攻擊成為主要焦點:APT攻擊是黑客以竊取核心資料為目的,針對企業發生的攻擊和侵襲行業,APT攻擊整合了情報技術、黑客技術、社會工程學等各種手段,對特定目標進行長期持續性網絡攻擊,項目的是訪問企業鋼絡、獲取數據、並長期秘密監視目標計算機系統。
APT攻擊過程四分4步:搜集信息、滲透駐點、獲取權限、實施破壞、數據外傳

一、 收集信息:攻擊者收集所有與目標有關的信息,這個信息涉及目標的組織架構、辦公地址、產品服務、員工通訊錄、管理層郵件地址、高層領導會議日程、門戶網站目錄結構、內部網絡架構、已部署的安全網絡設備、對外開放端口、企業員工使用的辦公軟件和郵箱系統、公司的web服務器使用的版本和系統。
二、 滲透駐點:攻擊者利用釣魚郵件、WEB服務器、U盤、通過社會工程學等手段,將提前做好的惡意程序植入目標網絡內部,然后耐心等待用戶打開郵件附件、URL鏈接、U盤文件或水坑網站。
三、 獲取權限:一旦潘多拉魔盒被打開,惡意程序便會借屍還魂,完成一系統的自動操作,便於黑客控制內部設備等手段。
四、 實施破壞或數據外傳:一些木馬具有圖像截圖、鍵盤記錄等功能,來獲取用戶密碼等隱私資料,有了賬號密碼就可以利用已中招的傀儡主機遠程登陸公司內部各種服務器上,把一些有價值的資料外傳出去給黑客。
ARP為代表的高級威脅給業界帶來了前所未有的挑戰,迫切需要新的威脅檢測手段和技術來應對,傳統的方法有3個不足地方:1、威脅檢測周期長,傳統的檢測工具很難對隱藏在加密流量下的惡感威脅檢測,另外惡意代碼變異很快,對傳統的安全防御技術套路很清楚,使得發更長的時間和周期才能發現。2、單點被動防御,傳統的安全防御系統都部署在網絡的邊界處,當威脅發生時只能各自為戰,很難控制已在內部中毒后的蔓延和泛濫。3、安全業務管理復雜,過對於網元管理,各廠家標准不統一,配置 依賴手工操作,易用性差,同時各網元管理復雜,需要IP地址、端口、物理位置等 信息,用戶上手難度大,此外傳統的管理方法也無法提供個性法的安全定制。
相對於傳統的安全防御,基於大數據和AI的安全協防是從離散的樣本轉向全息化的大數據分析,從傳統的人工轉為自動化分析,以行為、意圖分析為主,為客戶提供全面的、系統的安全防御體系,來保證園區網的業務安全。
大數據安全協防的核心理念是從每個網元中收集大量的與安全相關的資源信息,同時依靠大數據分析平台進行綜合分析,進而可以准確識別出安全威脅事件,然后聯動網絡控制器進行安全處理,讓園區網有主動安全防御能力。
基於大數據和AI的安全協防對抗APT攻擊:

企業基於大數據和AI的安全分析器,把網絡基礎設施轉化為傳感器,作為傳感器,路由交換防火牆等網絡設備為分析器提供流量、日志、文件等,同時基於網絡拓撲和威脅場景,制作劇本,研究入侵的意圖和傳播途徑,以此為建立安全威脅模型和規則,通過全網監控,有異常上報CIS安全分析器,進行分析聯動處理和誘捕技術,實現安全隔離,對網絡行為數據進行深度挖掘,及時發現威脅並閉環處理,幫助企業提升安全分析和運維智能化、自動化的程度,使企業的關鍵基礎設施穩固,業務永續。
安全協防的總體架構:

核心監控技術Telemetry探針:
1、 可視化運維。
2、傳統用SNMP監控,秒級監控,而telemetry是毫秒級,用tcp協議,新設備都內置了探針芯片,如AP、AC、路由交換,用emdi監控音視頻效果,可以查是不是丟幀用UDP協議。

網絡安全之數據加密安全和誘捕,混淆技術,仿真交互:
數據加密后發送,木馬藏匿於加密流量中,從而避開安全檢測,實施惡意活動。
老方法是用中間人技術,分析其中的行為和內容,再次加密后發送,但是有局限性,破壞了數據的完整性,耗時久,網絡性能下降。
eca技術(加密通訊檢測),在不破壞數據完整性和隱私型前提下,識別加密流量非加密流量,提取加密流量的特征並發送至cis安全分析器進行安全流量檢測,快速發現隱藏在加密流量中的威脅,及時有效的處理。eca該技術架構分為eca流探針和eca分析系統。eca流探針主要負責提取加密流量特征,然后發送到eca分析系統進行判定,eca可以單獨部署,也可以防火牆內,交換機內三種方式。eca分析系統集成於cis安全分析器內,通過結合eca檢測分類模型發現惡意加密流量。
網絡誘捕技術:可以和攻擊源進行主動交互,通過網絡欺騙和業務仿真,在攻擊源發起內網掃描階段就識別出來,然后發送給cis通過聯動快速隔離,以免真實業務受到影響。誘捕組件架構:誘捕探針,誘捕器,cis安全分析器等。
網絡混淆:向攻擊者展現大量虛假資源,使攻擊者無法獲取真實的資源和漏洞信息,有效的遲滯了掃描器,蠕蟲等自動攻擊程序的攻擊行為,該方案,誘捕探針置於交換機中,在網絡中廣泛部署,相比傳統蜜罐成本低,密度大,范圍廣,防御效果佳。
仿真交互:通過虛假資源實現攻擊交互,來准確識別攻擊意圖,使攻擊者暴露,比如掃描器,爬蟲行為,誘捕器當初支持對http,smb,rdp,ssh的仿真交互。
————————————————
版權聲明:本文為CSDN博主「yenggd」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/ydaxia110/article/details/108075550


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 CC攻擊原理及防范方法 Sync 攻擊原理及防范技術 CC攻擊原理及防范方法和如何防范CC攻擊 網絡XSS攻擊和CSRF攻擊原理及防范 UDP反射DDoS攻擊原理和防范 web安全之XSS攻擊原理及防范 django-xss攻擊原理與防范 XSS攻擊原理、示例和防范措施 -- web安全防范之SQL注入攻擊、攻擊原理和防范措施 -- 關於csrf跨站請求偽造攻擊原理,與csrftoken防范原理
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM