近年來，眾多知名公司遭受APT攻擊事件被曝光，使得APT攻擊成為業(yè)內(nèi)談?wù)摰母哳l詞匯。所謂APT，(Advanced Persistent Threat)——高級持續(xù)性威脅，可以從三個(gè)方面來理解：

　　(1)高級性。具有非常明確的目標(biāo)，應(yīng)用多種嗅探手段以及全面的情報(bào)搜集。通常利用0day漏洞，采用廣譜性的入侵技術(shù)，由分工明確一組或多組人員協(xié)作完成，多為專業(yè)的網(wǎng)絡(luò)犯罪團(tuán)伙或有組織和國家支持的特種攻擊團(tuán)隊(duì)。

　　(2)持續(xù)性。攻擊的偵查和攻擊過程持續(xù)時(shí)間很長，以不達(dá)目的不罷休的決心，潛伏在網(wǎng)絡(luò)內(nèi)部，等待時(shí)機(jī)竊取數(shù)據(jù)信息。(3)隱蔽性。入侵進(jìn)目標(biāo)系統(tǒng)后，常常采用在系統(tǒng)底層建立隱蔽后門通道，使用增加數(shù)字簽名、使用DLL搜尋路徑劫持等技術(shù)來隱藏自身或偽裝成合法程序運(yùn)行在主機(jī)上。

　　1、APT攻擊過程

　　APT攻擊過程大致上相同，大體上可以分為五個(gè)步驟：(1)攻擊目標(biāo)之前，攻擊者會進(jìn)行嗅探網(wǎng)絡(luò)和搜索有關(guān)于目標(biāo)的情報(bào)。通常利用google搜索和各種掃描工具來搜索收集有用的人員信息，網(wǎng)絡(luò)和主機(jī)信息等等。

　　(2)通過收集的信息，利用0day漏洞，攻擊特定的主機(jī)，并且將惡意程序發(fā)送到主機(jī)上并誘使人員運(yùn)行惡意程序。或向特定的人員發(fā)送含有惡意URL的郵件或消息，目標(biāo)人員打開郵件或?yàn)g覽了惡意的URL，就會執(zhí)行特制的惡意代碼，自動下載惡意程序到本地，并且執(zhí)行。(3)在被控制的主機(jī)和C&C服務(wù)器之間上建立一個(gè)穿過內(nèi)網(wǎng)防火墻的秘密通道。(4)利用通道尋找重要信息，并確立目標(biāo)系統(tǒng)。通過通道搜索高層人員的主機(jī)，獲得高等權(quán)限，能夠訪問存儲數(shù)據(jù)的服務(wù)器。(5)利用通道向本機(jī)或指定機(jī)器傳輸數(shù)據(jù)。攻擊者采用高級規(guī)避技術(shù)將數(shù)據(jù)傳輸?shù)酵饩W(wǎng)。外傳數(shù)據(jù)方法有很多，如偽裝成可信數(shù)據(jù)，DNS流量等。

　　2、APT攻擊防護(hù)措施

　　從APT攻擊過程看出，攻擊經(jīng)過了多個(gè)步驟，同時(shí)也為檢測和防護(hù)提供了機(jī)會。因此，APT攻擊防護(hù)可從防范嗅探網(wǎng)絡(luò)，防范社會工程學(xué)攻擊，網(wǎng)絡(luò)異常行為檢測，防數(shù)據(jù)泄漏等方面來進(jìn)行。

　　2.1 防嗅探網(wǎng)絡(luò)

　　防范攻擊者嗅探網(wǎng)絡(luò)，也就意味著在攻擊者的第一步設(shè)下了障礙，降低了網(wǎng)絡(luò)和主機(jī)信息的泄露幾率，從而保護(hù)了內(nèi)部網(wǎng)絡(luò)的安全。防嗅探網(wǎng)絡(luò)可以從以下幾方面入手：(1)盡量在網(wǎng)絡(luò)中使用交換機(jī)和路由器。由于嗅探只能在當(dāng)前網(wǎng)絡(luò)上進(jìn)行數(shù)據(jù)嗅探，所以將網(wǎng)絡(luò)劃分的越精細(xì)，嗅探到的信息就越少。(2)會話加密。對會話進(jìn)行加密。這樣就不用擔(dān)心數(shù)據(jù)被嗅探，即使嗅探器嗅探到了數(shù)據(jù)，攻擊者也不認(rèn)識嗅探到的數(shù)據(jù)，這些數(shù)據(jù)對其也是沒有用的。(3)使用靜態(tài)IP-MAC地址表。使用靜態(tài)IPMAC地址對應(yīng)，能夠有效的防范IP地址欺騙和MAC地址欺騙在網(wǎng)絡(luò)內(nèi)部進(jìn)行嗅探。(4)部署防火墻。在網(wǎng)絡(luò)邊界處部署防火墻能夠有效的攔截嗅探的數(shù)據(jù)包。同時(shí)，在網(wǎng)絡(luò)內(nèi)部關(guān)鍵節(jié)點(diǎn)部署防火墻，防止來自內(nèi)部的嗅探信息。

　　2.2 防范社會工程學(xué)攻擊

　　社會工程攻擊，主要利用復(fù)雜的人際關(guān)系進(jìn)行攻擊。理論上講，系統(tǒng)以及程序所帶來的安全是可以避免的，而對人性和心理方面來說，對社會工程學(xué)攻擊的防范是很難的。因此提高人的安全意識，才是防范社會工程學(xué)攻擊最基本的方法。如對禁止員工在微信微博上發(fā)布有關(guān)工作的信息，在社交網(wǎng)站上公布自己的私人信息。同時(shí)，要對員工進(jìn)行網(wǎng)絡(luò)安全意識和網(wǎng)絡(luò)安全技術(shù)的培訓(xùn)，培養(yǎng)員工的保密意識。首先，小心從個(gè)人發(fā)出的詢問員工或其他內(nèi)部資料的來路不明的電話，訪問或者電子郵件信息。其次，要強(qiáng)化員工的密碼保護(hù)意識，不要用生日、電話、身份證號作為密碼。最后，對員工進(jìn)行網(wǎng)絡(luò)安全技術(shù)培訓(xùn)，主要從系統(tǒng)漏洞補(bǔ)丁、應(yīng)用程序漏洞補(bǔ)丁、殺毒軟件、防火墻、運(yùn)行可執(zhí)行應(yīng)用程序等方面入手，讓員工主動進(jìn)行網(wǎng)絡(luò)安全的防御，來防范社會工程學(xué)攻擊，進(jìn)而防范APT攻擊。

　　2.3 網(wǎng)絡(luò)異常行為檢測

　　從APT攻擊過程可以看出，網(wǎng)絡(luò)異常行為包括對內(nèi)部網(wǎng)絡(luò)的掃描探測，內(nèi)部的非授權(quán)訪問，對外部的非法下載，非法外聯(lián)。這些網(wǎng)絡(luò)異常行為，包括網(wǎng)絡(luò)層面的異常行為和用戶層面的異常行為。如此以來，就要對內(nèi)部網(wǎng)絡(luò)的情況了如指掌。因此，便需要對網(wǎng)絡(luò)內(nèi)部異常行為監(jiān)控和收集，進(jìn)而對收集的信息進(jìn)行分類和分析。如部署IDS，審計(jì)系統(tǒng)等類似的信息收集和檢測系統(tǒng)。

　　2.4 防數(shù)據(jù)泄露

　　防范APT攻擊的最重要的環(huán)節(jié)就是防數(shù)據(jù)泄露。部署好防范策略，能夠有效的防止機(jī)密信息丟失。

　　(1)識別數(shù)據(jù)并進(jìn)行分類。企業(yè)可以根據(jù)詳細(xì)的完善的數(shù)據(jù)分類機(jī)制，針對不同的數(shù)據(jù)類型來設(shè)計(jì)和實(shí)施相應(yīng)的控制措施。(2)謹(jǐn)慎使用僅限查看訪問。使用數(shù)據(jù)倉庫和建立全公司報(bào)告能力的需求意味著用戶可以更輕松的將之前不相關(guān)的數(shù)據(jù)進(jìn)行整合，而這也導(dǎo)致了更多的人可以訪問非常敏感的數(shù)據(jù)。這也為攻擊者提供了途徑來盜取機(jī)密數(shù)據(jù)。所以，要對訪問查看數(shù)據(jù)進(jìn)行嚴(yán)格的控制，對擁有查看訪問權(quán)限用戶進(jìn)行嚴(yán)格限制。從而防范數(shù)據(jù)被通常用戶及攻擊者查看到。(3)禁止在網(wǎng)絡(luò)上使用未經(jīng)授權(quán)的設(shè)備。禁止未經(jīng)授權(quán)人士進(jìn)入公司場所訪問網(wǎng)絡(luò)資源，禁止內(nèi)部用戶將個(gè)人設(shè)備連接到公司網(wǎng)絡(luò)上等。個(gè)人設(shè)備是最有可能缺少終端安全控制措施的設(shè)備，也是對機(jī)密數(shù)據(jù)威脅最大的設(shè)備。嚴(yán)格的禁止個(gè)人設(shè)備連接到公司網(wǎng)絡(luò)上能有效的防止數(shù)據(jù)遭竊取。(4)禁止將敏感數(shù)據(jù)復(fù)制到可移動媒體上。將終端所有可能移動存儲設(shè)備設(shè)置為禁止寫入，防止人員復(fù)制敏感數(shù)據(jù)。筆記本電腦、智能手機(jī)等移動設(shè)備應(yīng)采用全盤加密，公司應(yīng)適當(dāng)具備在設(shè)備泄露或被盜時(shí)將其遠(yuǎn)程擦除的能力。

　　3、結(jié)語

　　有效防護(hù)APT攻擊需要一套詳細(xì)的完整的防護(hù)體系，可以根據(jù)以上的防護(hù)措施進(jìn)行部署防護(hù)策略，從而做到防御APT攻擊或者減少遭遇APT攻擊的概率。 

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.oesoe.com/

本文標(biāo)題：APT攻擊防護(hù)淺談

本文網(wǎng)址：http://www.oesoe.com/html/support/11121513596.html