高級持續性威脅(Advanced Persistent Threat,APT),又(yòu)叫高級長期威脅,是一(yī)種複雜(zá)的、持續的網絡攻擊,包含三個要素:高級、長期、威脅。
-
高級是指執行APT攻擊需要比傳統攻擊更高的定制程度和複雜(zá)程度,需要花費(fèi)大(dà)量時間和資(zī)源來研究确定系統内部的漏洞;
-
長期是爲了達到特定目的,過程中(zhōng)“放(fàng)長線”,持續監控目标,對目标保有長期的訪問權;
-
威脅強調的是人爲參與策劃的攻擊,攻擊目标是高價值的組織,攻擊一(yī)旦得手,往往會給攻擊目标造成巨大(dà)的經濟損失或政治影響,乃至于毀滅性打擊。
APT攻擊者通常是一(yī)個組織,從瞄準目标到大(dà)功告成,要經曆多個階段,在安全領域這個過程叫做攻擊鏈。每個廠家對于攻擊鏈的步驟定義略有差異,但本質上相差不大(dà)。
.png)
APT攻擊鏈
1.Google極光攻擊
Google Aurora極光攻擊是由一(yī)個有組織的網絡犯罪團夥精心策劃的有針對性的網絡攻擊,攻擊團隊向Google發送了一(yī)條帶有惡意連接的消息,當Google員(yuán)工(gōng)點擊了這條惡意連接時,會自動向攻擊者的C&C Server(Command and Control Server)發送一(yī)個指令,并下(xià)載遠程控制木馬到電腦上,再利用内網滲透、暴力破解等方式獲取服務器的管理員(yuán)權限,員(yuán)工(gōng)電腦被遠程控制長達數月之久,其被竊取的資(zī)料數不勝數,造成不可估量的損失。
2. SolarWinds供應鏈事件
2020年12月網絡安全公司 FireEye披露其公司購置的網管軟件廠商(shāng)SolarWinds相關軟件中(zhōng)存在後門,該後門通過HTTP與第三方服務器進行通信。SolarWinds對全球客戶展開(kāi)排查,經排查發現,多家大(dà)公司均被攻擊者通過該軟件作爲入口而成功滲透。此外(wài),多個政府機構也可能已經淪陷;世界500強企業中(zhōng),也有超過9成受到影響;全球至少30萬家大(dà)型政企機構受到影響。
1.攻擊者組織嚴密
通常是一(yī)個組織發起的攻擊,可能具有軍事或政治目的,有時會與某個國家關聯在一(yī)起,而且背後往往有強大(dà)的資(zī)金支持。
2. 針對性強
攻擊者不會盲目攻擊,一(yī)般會有針對性的選擇一(yī)個攻擊目标,該目标往往具有軍事、政治、經濟上的較高價值。
3.手段高超
APT攻擊的惡意代碼變種多且升級頻(pín)繁,結合尚未發布的零日漏洞,使得基于特征匹配的傳統檢測防禦技術很難有效檢測出攻擊。
4.隐蔽性強
APT攻擊者具有較強的隐蔽能力,不會像DDoS攻擊一(yī)樣構造大(dà)量的報文去(qù)累垮目标服務器,基于流量的防禦手段很難發揮作用;在整個過程中(zhōng)都會使用高級逃逸技術來刻意躲避安全設備的檢查,在系統中(zhōng)并無明顯異常,基于單點時間或短時間窗口的實時檢測技術和會話(huà)頻(pín)繁檢測技術也難以成功檢測出異常攻擊。
5.持續時間長
滲透過程和數據外(wài)洩階段往往會持續數月乃至數年的時間。
高級威脅通常利用定制惡意軟件、0Day漏洞或高級逃逸技術,突破防火(huǒ)牆、IPS、AV等基于特征的傳統防禦檢測設備,針對系統未及時修複的已知(zhī)漏洞、未知(zhī)漏洞進行攻擊。爲了應對和防範APT技術,可以參考以下(xià)措施,來降低風險:
1.多層網絡安全防護
增加網絡堡壘、IDS/IPS、堡壘機等安全設備,建立多層防禦體(tǐ)系。使用下(xià)一(yī)代防火(huǒ)牆,部署入侵檢測/預防系統、安全信息事件管理(SIEM)系統等,提高對網絡流量的實時監測和異常檢測能力。
2.深度防禦策略
實施深度防禦策略,控制網路入口和出口,使用新一(yī)代防火(huǒ)牆、入侵檢測、預防系統等安全設備。建立漏洞管理系統,及時發現和修複安全漏洞。嚴格控制訪問權限,避免使用弱口令和共享賬号。實施多因素身份驗證,如指紋、面部識别等,确保隻有授權人員(yuán)能夠訪問敏感數據。
3.加強數據保護和備份
确保重要數據得到充分(fēn)保護和備份,以防數據被竊取或損壞。同時,定期測試備份數據的可用性和完整性。
4.使用沙箱技術
通過将可疑文件或代碼隔離(lí)在沙箱中(zhōng)運行,以檢測和防禦APT攻擊中(zhōng)的惡意軟件。
5.加強郵件和附件的安全性
使用電子郵件過濾器、安全附件解壓縮等功能,以防止惡意附件的傳播和感染。
6.情報收集與分(fēn)析
加強情報收集與分(fēn)析,了解攻擊者的行爲模式和工(gōng)具特點。利用威脅情報分(fēn)享平台和合作夥伴關系。獲取更多的情報信息,提高對APT攻擊的預警和響應能力。
7.建立安全事件應急響應機制
制定詳細的安全事件應急預案,明确應急響應流程和責任人。及時發現、處置和報告安全事件,防止攻擊者進一(yī)步滲透和利用系統。
8.合作夥伴關系與國際合作
與安全廠商(shāng)、國家安全機構等建立合作夥伴關系,共同應對APT攻擊。共享威脅情報、技術交流和協作,提高整體(tǐ)網絡安全防護能力,加強國際合作,共同打擊跨國犯罪。
注:本文素材來自華爲及AI,版權歸作者所有