APT攻擊防范策略_第1頁
APT攻擊防范策略_第2頁
APT攻擊防范策略_第3頁
APT攻擊防范策略_第4頁
APT攻擊防范策略_第5頁
已閱讀5頁,還剩8頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

APT攻擊防范策略概述0102防社會(huì)工程Content目錄全面采集行為記錄,避免內(nèi)部監(jiān)控盲點(diǎn)0304IT系統(tǒng)異常行為檢測(cè)01

概述概述

目前的防御技術(shù)、防御體系很難有效應(yīng)對(duì)APT攻擊,導(dǎo)致很多攻擊直到很長(zhǎng)時(shí)間后才被發(fā)現(xiàn),甚至可能還有很多APT攻擊未被發(fā)現(xiàn)。通過前面APT攻擊背景以及攻擊特點(diǎn)、攻擊流程的分析,現(xiàn)階段需要一種新的安全思維,即放棄保護(hù)所有數(shù)據(jù)的觀念,轉(zhuǎn)而重點(diǎn)保護(hù)關(guān)鍵數(shù)據(jù)資產(chǎn),同時(shí)在傳統(tǒng)的縱深防御的網(wǎng)絡(luò)安全防護(hù)基礎(chǔ)上,在各個(gè)可能的環(huán)節(jié)上部署檢測(cè)和防護(hù)手段,建立一種新的安全防御體系。

02

防社會(huì)工程防社會(huì)工程

木馬入侵、社會(huì)工程是APT攻擊的第一個(gè)步驟,防范社會(huì)工程需要一套綜合性措施,既要根據(jù)實(shí)際情況,完善信息安全管理策略,如:禁止員工在個(gè)人微博上公布于工作相關(guān)信息,禁止在社交網(wǎng)站上公布私人身份和聯(lián)絡(luò)信息等;又要采用新型的檢測(cè)技術(shù),提高識(shí)別惡意程序的準(zhǔn)確性。社會(huì)工程是利用人性的弱點(diǎn)針對(duì)人員進(jìn)行的滲透過程。因此提高人員的信息安全意識(shí),是防止社會(huì)攻擊的最基本的方法。傳統(tǒng)的辦法是通過宣講培訓(xùn)的方式來提高安全意識(shí),但是往往效果不好,不容易對(duì)聽眾產(chǎn)生觸動(dòng);而比較好的方法是社會(huì)工程測(cè)試,這種方法已經(jīng)是被業(yè)界普遍接受的方式,有些大型企業(yè)都會(huì)授權(quán)專業(yè)公司定期在內(nèi)部進(jìn)行測(cè)試。防社會(huì)工程

絕大部分社工攻擊是通過電子郵件或即時(shí)消息進(jìn)行的。上網(wǎng)行為管理設(shè)備應(yīng)該做到阻止內(nèi)部主機(jī)對(duì)惡意URL的訪問。垃圾郵件的徹底檢查,對(duì)可疑郵件中URL鏈接和附件應(yīng)該做到細(xì)致認(rèn)真的檢測(cè)。有些附件表面上看起來就是一個(gè)普通的數(shù)據(jù)文件,如PDF或Excel格式的文檔等,惡意程序嵌入在文件中,且利用的漏洞都是未經(jīng)公開的。通常僅通過特征掃描的方式,往往不能準(zhǔn)確識(shí)別出來的。比較有效的方法是沙箱模擬真實(shí)環(huán)境訪問郵件中的URL或打開附件,觀察沙箱主機(jī)的行為變化,可以有效檢測(cè)出惡意程序。03

全面采集行為記錄,避免內(nèi)部監(jiān)控盲點(diǎn)全面采集行為記錄,避免內(nèi)部監(jiān)控盲點(diǎn)

對(duì)IT系統(tǒng)行為記錄的收集是異常行為檢測(cè)的基礎(chǔ)和前提,大部分IT系統(tǒng)行為可以分為主機(jī)行為和網(wǎng)絡(luò)行為兩個(gè)方面,更全面的行為采集還包括物理訪問行為記錄采集。主機(jī)行為采集:主機(jī)行為采集一般是通過允許在主機(jī)上的行為監(jiān)控程序完成。有些行為記錄可以通過操作系統(tǒng)自帶的日志功能實(shí)現(xiàn)輸出。為了實(shí)現(xiàn)對(duì)進(jìn)程行為的監(jiān)控,行為監(jiān)控程序通常工作在操作系統(tǒng)的驅(qū)動(dòng)層,如果在實(shí)現(xiàn)上有錯(cuò)誤,很容易引起底層崩潰。為了避免被惡意程序探測(cè)到監(jiān)控程序的存在,行為監(jiān)控程序應(yīng)盡量工作在驅(qū)動(dòng)層的底部,但是越靠近底部,穩(wěn)定性風(fēng)險(xiǎn)就越高。網(wǎng)絡(luò)行為采集:網(wǎng)絡(luò)行為采集一般是通過鏡像網(wǎng)絡(luò)流量,將流量數(shù)據(jù)轉(zhuǎn)換成流量日志。以Netflow記錄為代表的早期流量日志只包含網(wǎng)絡(luò)層的信息。近年來的異常行為大都幾種在應(yīng)用層,僅憑網(wǎng)絡(luò)層的信息難以分析出有價(jià)值的信息。應(yīng)用層流量日志的輸出,關(guān)鍵在于應(yīng)用的分類和建模。

04

IT系統(tǒng)異常行為檢測(cè)IT系統(tǒng)異常行為檢測(cè)

從前述APT攻擊過程可以看出,異常行為包括對(duì)內(nèi)部網(wǎng)絡(luò)的掃描探測(cè)、內(nèi)部的非授權(quán)訪問、非法外聯(lián)。非法外聯(lián),即目標(biāo)主機(jī)與外網(wǎng)的通信行為,可分為以下3類:下載惡意程序到目標(biāo)主機(jī),這些下載行為不僅在感染初期發(fā)生,在后續(xù)惡意程序升級(jí)時(shí)還會(huì)出現(xiàn)。目標(biāo)主機(jī)與外網(wǎng)的C&C服務(wù)器進(jìn)行聯(lián)絡(luò)。內(nèi)部主機(jī)向C&C服

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論