剖析APT攻擊 綠盟NGTP構建下一代防禦體系

2021-09-23 07:08:45 字數 2334 閱讀 4361

網際網路的普及也帶來了網路病毒的肆意,傳統的網路安全軟體可以有效的防範蠕蟲病毒、間諜軟體、木馬、釣魚等網路攻擊威脅。然而,採用未知威脅為手段的apt攻擊則是針對資料庫、大量資料進行蒐集,且所有的apt已知威脅只是對過去的積累和收集,很多新興威脅沒有樣本可循,這增加了apt威脅的攻擊力,並讓我們越發難測,由於apt攻擊的存在,企業暴露在未知威脅影響下的時間也越來越多,風險越來越大。

此外,由於雲計算和移動網際網路的普及,智慧型終端讓任何接入點都可能變成系統漏洞,企業資料中心也變成乙個彈性的外圍,很多閘道器/邊界式防護都會因此存在防護的缺失。網路威脅背後的推動力是金錢利益與商業犯罪,其發展演變一定還會持續,所以一定要構築乙個面向apt威脅的綜合防護的體系,實現企業自身的安全進化。

apt是黑客以竊取核心資料為目的,針對客戶所發動的網路攻擊和入侵行為,是一種蓄謀已久的「惡意商業間諜威脅」。這種行為往往經過長期的經營與策劃,並具備高度的隱蔽性。所謂知己知彼百戰百勝,防範apt,先從了解它入手。

apt是這麼「來」的

apt的攻擊手法在於隱匿自己,針對特定物件,長期、有計畫和有組織地竊取資料,這種發生在數字空間的偷竊資料、蒐集情報的行為,實際上是一種「網路間諜」的行為。apt入侵的途徑多種多樣,主要包括以下幾方面:

首先是「水坑攻擊」,攻擊者在特定的**上進行掛馬,而這些**是受害者經常訪問的,從而導致惡意軟體入侵。[l1] 其次是「魚叉攻擊」,以社交工程的惡意郵件是許多apt攻擊成功的關鍵因素之一。隨著社交工程攻擊手法的日益成熟,這些郵件幾乎真假難辨。從一些受到apt攻擊的大型企業事件中可以發現,這些企業受到威脅的關鍵因素都與普通員工遭遇社交工程的惡意郵件有關。黑客剛一開始,都是針對某些特定員工傳送釣魚郵件,以此作為使用apt手法進行攻擊的源頭。再次是利用防火牆、伺服器等系統漏洞繼而獲取訪問企業網路的有效憑證資訊是使用apt攻擊的另一重要手段。

總而言之,apt正在通過一切方式,繞過基於**的傳統安全方案,例如防病毒軟體、防火牆、ips等,且更長時間地潛伏在系統中,讓傳統防禦體系難以偵測。

apt是這麼「做」的

「潛伏性和持續性」是apt攻擊主要特點。「潛伏性」,這些新型的攻擊和威脅可能在使用者環境中存在一年甚至更久,會不斷收集各種資訊,直到收集到重要情報。而發動apt攻擊的目的往往不是為了在短時間內獲利,而是把「被控主機」當成跳板,持續搜尋,直到能徹底掌握所針對的目標人、事、物。「持續性」apt攻擊具有持續性,甚至可能長達數年,讓人無從察覺。在此期間,這種「持續性」體現在攻擊者不斷嘗試的各種攻擊手段以及滲透到網路內部後長期蟄伏。

同時,apt攻擊還具有「鎖定特定目標」和「安全遠端控制工具」的本事,「鎖定特定目標」針對特定使用者,長期進行有計畫性、有組織性的竊取情報行為,針對被鎖定物件寄送以假亂真的社交工程惡意郵件,例如冒充客戶的來信,取得在計算機植入惡意軟體的第乙個機會。「安裝遠端控制工具」攻擊者建立乙個類似殭屍網路botnet的遠端控制架構,會定期傳送有潛在價值檔案的副本給命令和控**務器(c&c server)審查,過濾後的敏感機密資料利用加密的方式外傳。

有的放矢 綠盟「下一代威脅防禦解決方案」為apt而生

綠盟科技為了應對日益增多apt高階持續性威脅,推出下一代威脅防禦解決方案(簡稱ngtp),解決方案由多個模組組成,包括綠盟全球威脅信譽系統、威脅分析系統、入侵防護模組、郵件過濾模組、終端安全模組。

威脅進不來

把威脅抵擋在企業之外是ngtp解決方案的重點。根據上面apt威脅嘗試進入的分析,針對「水坑攻擊」和「魚叉攻擊」這些高階攻擊手法,在網路,web,郵件和終端多個層面進行縱深檢測和防禦。在網路層面,尤其是web上網訪問,採用威脅分析系統tac產品和ips產品聯動的方式進行;在郵件層面,採用威脅分析系統tac和郵件安全網關聯動方式進行。

擴散藏不住

對於極少數成功進入企業的惡意軟體,通過機器學習建立模型,查詢惡意軟體向外進行cnc回連、對內進行擴散的企圖。另外,大資料安全分析技術,對各種網路安全裝置告警,作業系統日誌進行統計、關聯,既為威脅態勢提供巨集觀檢視,也為惡意軟體擴散行為提供微觀細節展示。

綠盟科技ngtp方案,通過綠盟全球威脅情報系統(nti)實現威脅資訊的共享與實時推送,在具體防護方法上,以檢測未知威脅為核心,利用智慧型網管和大資料分析技術,對來自終端、安全閘道器、作業系統的告警資訊進行綜合分析、視覺化呈現和管控,降低安全運維成本,構建下一代防禦安全防禦體系。

綠盟面試經歷

本人普通高校小碩一名,從2018年9月開始找工作,第一家面試的公司就是成都綠盟科技,總共3輪面試,第一輪 第二輪都是技術面,第三輪是北京綠盟的boss面。因為是投的是提前批,正式校招還沒開始,三輪面試都是 面,所以還是有操作的機會。最後由於薪資沒談好,沒收到offer,感覺綠盟科技 成都 最多能開到...

綠盟前端筆試題

1.set cookie屬於響應頭欄位,cookie屬於請求頭欄位 2.為什麼使用網頁驗證碼,說明其原理 3.var mypromise1 new promise function resolve,reject var mypromise2 new promise function resolve,...

綠盟漏洞公升級nginx

nginx 11月6日的安全更新中,修補了三個可導致拒絕服務的漏洞 cve 2018 16843,cve 2018 16844和cve 2018 16845。位於nginx http 2 模組和流 mp4模組。cve 2018 16843,cve 2018 16844漏洞存在於ngx http v2...