IT技术互动交流平台

ATP攻击将成为黑客攻击主流 传统防御难以抗衡

作者:嘉文  发布日期:2012-05-23 19:26:05

2011年,SONY、RSA等国际公司的数据泄露事件还让人心有余悸。许多政治、经济体纷纷沦为APT(Advanced Persistent Threat,高级持续性威胁)的目标。趋势科技近日发布的2012年安全预测报告指出,ATP攻击将成为黑客攻击主流,除此之外,虚拟化和云安全问题、企业对BYOD移动设备的管理也将面临挑战。

  什么是APT攻击?

  据趋势科技介绍,高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间碟威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。“APT的攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性的窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“网络间谍”的行为。“ 趋势科技(中国区)资深产品经理林义轩说。

  APT入侵客户的途径多种多样,主要包括:

  · 以智能手机、平板电脑和USB等移动设备为目标和攻击对象继而入侵企业信息系统的方式。

  · 社交工程的恶意邮件是许多APT攻击成功的关键因素之一,随着社交工程攻击手法的日益成熟,邮件几乎真假难辨。从一些受到APT攻击的大型企业可以发现,这些企业受到威胁的关键因素都与普通员工遭遇社交工程的恶意邮件有关。黑客刚一开始,就是针对某些特定员工发送的钓鱼邮件,以此作为使用APT手法进行攻击的所有源头。

  · 利用防火墙、服务器等系统漏洞继而获取访问企业网络的有效凭证信息是使用APT攻击的另一重要手段。

  总之,高级持续性威胁(APT)正在通过一切方式,绕过基于代码的传统安全方案(如防病毒软件、防火墙、IPS等),并更长时间的潜伏在系统中,让传统防御体系难以侦测。

  APT攻击的特性

  “潜伏性和持续性”是APT攻击最大的威胁,其主要特征包括:

  · 潜伏性:这些新型的攻击和威胁可能在用户环境中存在一年以上或更久,他们不断收集各种信息,直到收集到重要情报。而这些发动APT攻击的黑客目的往往不是为了在短时间内获利,而是借助“被控主机”当成跳板,持续的搜索,直到能彻底掌握所针对的目标人、事、物,所以这种APT 攻击模式, 实质上是一种“恶意商业间碟威胁”。

  · 持续性:由于APT攻击具有持续性,甚至长达数年的特征,这让企业的管理人员无从察觉。在此期间,这种“持续性”体现在攻击者不断尝试的各种攻击手段,以及渗透到网络内部后长期蛰伏。

  · 锁定特定目标:针对特定政府或企业,长期间进行有计划性、组织性窃取情报行为,针对被锁定对象寄送几可乱真的社交工程恶意的邮件,如冒充客户的来信,取得在计算机植入恶意软件的第一个机会。

  · 安装远程控制工具:攻击者建立一个类似僵尸网络Botnet 的远程控制架构攻击者会定期传送有潜在价值文件的副本给命令和控制服务器(C&C Server)审查。将过滤后的敏感机密数据,利用加密的方式外传。

  传统的防御体系难以侦测APT

  随着APT侵袭的愈演愈烈,其攻击手段的日益成熟和攻击途径的日趋多变,传统的防御体系已经难以对其进行有效侦测,并遇到了诸多挑战。趋势科技建议,面对黑客为达目的、不择手段的攻击方式,企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。

  据了解,国内金融、科研机构等行业已经出现了APT攻击案例,趋势科技(中国区)资深产品经理林义轩介绍了一个典型的APT真实攻击案例:黑客通过攻击十几台跳板主机、在主机服务器植入后门、利用邮件端口转换、进而发送带有Poison IVY远程控制程序的邮件最终控制通信窃取信息。

  如何防范APT?

  天极网安全频道建议:

  1、个人养成良好的电脑、移动设备的使用习惯,尽量避免开启来路不明的邮件附件文件,尤其是压缩包。

  2、 安装出色的安全软件,并定期进行系统的更新和扫描

  3、为了预防员工成为黑客攻击企业内部的跳板,建议企业应该建立全方位的安全体系,建立预警系统监控可疑联机及计算机、对企业内部的敏感数据建立读取权限

 

  趋势科技发布新一代TDA 抗击APT

  趋势科技所推出的新一代威胁管理软硬一体化设备TDA 10000,专注于检测和分析针对性攻击、应用层攻击,其突破性的性能设计旨在帮助大型企业和政府组织抗击高级持续性威胁(APT)和针对性攻击(Targeted Attacks)。据趋势科技(中国)产品经理蒋世琪介绍,TDA 10000主要定位于大型企业和政府部门,TDA 10000专注于 APT高级持续性威胁和针对性攻击的检测,具体方法是在攻击序列的各个阶段识别疑是高级恶意软件或攻击者活动的恶意内容、通信和行为。主要功能包括:

  · 增强的威胁引擎和多级关联规则具有一流的检测功能,可以最大程度全面威胁发现的能力。

  · 虚拟分析程序使用沙盒模拟技术,对全新威胁进行检测和彻底的取证分析。

  · 云安全智能防护网络的专家系统情报和专业威胁研究人员提供不断更新的检测情报和关联规则,以识别攻击与解决威胁。

 


 

[图示:趋势科技TDA 10000实时的网络可见性、洞察力和控制]

 

  TDA 10000威胁仪表板能够以直观的多样形式提供实时威胁可见性和深入分析,以便企业安全专业人员可专注于实际风险、进行深入的取证分析并快速实施抑制和补救措施。主要功能包括:

  · 威胁分析仪表板,配有快速访问模块组件设计、提供深入的威胁信息汇总以及恶意通信的地理位置。

  · 重要资产观察名单功能,密切监控严重性高的威胁和高价值资产。

  · 云安全百科门户,TDA 10000的专家系统就特定攻击或恶意软件提供直接情报的详细内容与处理方案。

  据了解,TDA 10000可采用旁路安装、开箱即用,可与IPS/IDS或趋势科技防毒墙搭配使用。上至数千兆位的公司主干网,下至远程办公地点均可用。

延伸阅读:

Tag标签: ATP攻击   黑客攻击主流  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规