面对APT攻击,应从单一作战转向协同应对

时间:2019-08-20 来源:www.jaircm.com

互联网程序员2010.3.70我想分享

这种酷炫的场景经常出现在黑客电影中:黑客将U盘大小的工具插入电脑,快速敲击键盘,在显示屏上闪烁一行代码,并不断弹出窗口“成功”十分钟后,黑客突破了防火墙的层层,顺利入侵了公司的内部系统,下载了重要数据,然后戴上太阳镜,戴上电脑,冷静地离开。公司内部很安静,没有意识到。

image.php?url=0Mmi28oOBX

当然,电影中的大多数故事都被夸大了,但我们不能否认类似的场景不会出现在现实生活中。

前段时间,美国国家航空航天局总检察长办公室(OIG)发布了一份长达49页的报告,显示2018年4月,黑客通过未经授权使用受攻击的外部用户系统或绕过安全审查进入NASA。由喷气推进实验室(JPL)管理的火星任务信息网络从23个文件中窃取了大约500 MB的数据,其中两个包含与火星科学实验室任务相关的国际武器控制信息。令人震惊的是,这次攻击的切入点是连接到NASA JPL IT网络的树莓派计算机,只需35美元。

什么样的工具是这个覆盆子派计算机泄漏了数百兆的秘密,只值35美元?

Raspberry Pi的大小与信用卡的大小差不多。它于2012年3月正式发布。它被称为最小的台式电脑。它也被称为卡片计算机。麻雀很小但很完整,基于Linux系统,并具有计算机的基本功能。在此基础上,其低能耗,移动和便携功能使普通计算机难以做到,但它非常适合,如VPN路由网关,Git私有服务器,iBeacon基站等。同时,Raspberry Pi还可以用作植入PT渗透测试的间谍机器,使用隧道技术和伪装技术将控制流伪装成HTTPS流,以实现Raspberry Pi和C& C之间的隐蔽通信渗透期间的服务器。然后使用Tor网络实现对渗透者的匿名控制,从而实现隐藏效果。有一个叫做Raspberry Pi的段落,你是黑客行走,黑色在哪里。

image.php?url=0Mmi28uukb

除了进入JPL任务网络之外,黑客还访问了JPL的DSN IT网络,但在入侵的同时,NASA的其他组织切断了与DSN和JPL的网络连接,以防止进一步的攻击。

在国外媒体的报道中,一些安全专家表示,在攻击背后,更多的高科技专利可能会遭到破坏。美国宇航局官员还认为,黑客可以进行更深入的攻击并最终入侵任务系统来操纵定制太空任务的通信信号。

根据OIG发布的报告,这次黑客攻击有两个原因:首先,JPL未能将其内部网络分成多个区域,导致“一站式行动”;其次,该部门没有及时更新信息数据安全数据库(ITSDB)导致其长期存在的潜在安全漏洞。为了应对这次袭击,NASA OIG将其称为持续10个月的高级持续性威胁。

高级持续攻击,简称APT攻击,近年来已出现在人们的视野中。它们以重要的国家信息基础设施、重点研究机构和大型商业公司为基础。他们非常好斗,隐藏起来。长期、有组织、有计划地窃取机密文件,扰乱特定目标网络基础设施建设,对政府和企业构成重大威胁。

例如,在2016年的“缓冲行动”APT攻击中,一家技术公司在2016年7月捕获了一个疑似特洛伊病毒的样本,该样本被伪装成一份文字文档,并以电子邮件附件的形式发送给目标,以进行矛攻击。在54个反病毒软件中,只有8个检测到它是一个威胁。安全研究人员对样本进行了深入分析,发现它与多个C&C服务器和样本相关。从研究结果来看,样本来源于东南亚国家一个隐藏组织发起的APT攻击。目标主要是中国、巴基斯坦等国的科研机构和军事机构,窃取相关信息。对样本相关时间的分析和归纳发现,最早的攻击时间可追溯到2015年3月或更早。

近日,腾讯安全发布《2019年上半年高级持续性威胁研究报告》指出,2019年上半年,全球42家安全厂商共发布了442份APT攻击报告,其中7家中国安全厂商发布了43份攻击报告,报告同步数在年增长近50%。2018年,共涉及26个APT攻击组织。

从地理分布来看,2019年上半年中国大陆最容易遭受攻击的地区是广西、北京,以及辽宁、云南、海南、四川、广东和上海。

0×251e

在产业布局上,主要目标是国有企业、民营企业、政府部门和科研机构。

0×251f

面对日益频繁的APT攻击,我们该如何抗拒?

与原始的单一APT攻击方法相比,APT攻击更加多样化,复杂化和隐蔽性。传统的漏洞检测和阻塞防御模式无法完全解决问题。政府和企业需要在事件发生之前,期间和之后的不同时期制定不同的应对策略。

事先进行多维分析,加密核心资产和信息,加强网络系统保护

企业必须建立自己的大数据安全分析平台,并通过分析内部安全日志进行多维分析,结合多源威胁情报和沙箱动态来判断它是否是一个高级威胁,因为许多APT攻击从一个非常小的入口点开始,慢慢潜伏。许多防病毒软件根本无法检测到它。

并了解创宇“创宇云威胁感知系统”,作为专门针对网络高级威胁的攻击检测系统,采用机器学习和综合沙箱分析和入侵指标(IOC)确认技术,通过BDE行为检测引擎和SDE规则检测引擎分析网络流量实时并深入监控所有可疑活动链接。帮助用户识别未知的高级威胁,以便采取进一步的预防措施,以消除APT等高级攻击。

二是信息加密处理。 APT攻击的一大特点是大多数时候你不知道攻击的存在。当您发现时,您的重要信息已被盗。如果您无法保证您的资产和核心信息是安全的,那么请尝试让攻击者窃取您的资产和核心信息然后使用它,信息加密是关键步骤。

当然,仍然必须部署安全防御产品,并且必须部署它们。这就像一扇门。我们当然无法为黑客轻松进入打开大门。同时,安全防御产品的部署是检测威胁的重要智能来源。

实时监控事件中的攻击趋势,跟踪和追溯,改变被动局面

当检测到APT攻击行为存在时,通过对网络设备的实时监控,网络系统流量的动态监控,部署安全运维数据,进行综合分析处理,依靠高效,快速的方式帮助政府。大数据集成模式和威胁感知技术。业务部门找到威胁的来源并及时解决。

了解了创宇云防御态势感知指挥平台,它是一个众所周知的由创宇创建的大数据可视化威胁分析系统。它基于Chuangyu Shield,Acceleration Music和Anti-D Insurance等防御系统。它专注于数据可视化,使用起来直观。丰富的分析图形,与GIS系统相结合,可视化数据中隐含的问题。其次,从完整情境到问题分类到原始基础数据,人与人之间的交互追踪线索,逐步触摸屏幕实现数据,以确保其真实性和及时性。同时,根据攻击区域,攻击类型,攻击IP,攻击域名,防御进程,防御结果等进行多维安全状态显示。实现“可见,清晰”,真正实现了解自己,相互了解。

image.php?url=0Mmi28MZe4

之后,网络保护将应用于易受攻击和易受攻击的弱节点。

根据多维动态监测和分析,APT攻击解决后,攻击隐藏的网络需要进行网络强化。同时,根据不同的功能区域或信息重要性级别来保护网络免受多个层的影响。为了防止整个网络系统因暂时疏忽而感到尴尬。

面对日益复杂多样的APT攻击,不仅政府和企业需要增加安全投资,还需要在国家层面建立安全信息共享机制,整合安全厂商的力量,并与先进的一起持续威胁。对峙,知道创宇一直在积极行动。

收集报告投诉