|
那些应对APT攻击的最新技术
http://www.cww.net.cn 2013年11月7日 14:03
高级隐遁技术。高级隐遁技术是一种通过伪装和/或修饰网络攻击以躲避信息安全系统的检测和阻止的手段。高级隐遁技术是一系列规避安全检测的技术的统称,可以分为网络隐遁和主机隐遁,而网络隐遁又包括协议组合、字符变换、通讯加密、0day漏洞利用等技术。 沙箱逃避。新型的恶意代码设计越来越精巧,想方设法逃避沙箱技术的检测。例如有的恶意代码只有在用户鼠标移动的时候才会被执行,从而使得很多自动化执行的沙箱没法检测到可疑行为。有的恶意代码会设法欺骗虚拟机,以逃避用虚拟机方式来执行的沙箱。 新型威胁的应对之策 一、总体思路 2012年8月,RSA发布了著名的报告——《当APT成为主流》。报告提及了现在组织和企业中现有的安全防护体系存在一些缺陷,导致很难识别APT攻击。现有的防护体系包括FW、AV、IDS/IPS、SIEM/SOC、CERT和组织结构,以及工作流程等等都存在不足。报告指出,应对APT需要采取一种与以往不同的信息安全策略及方法。该方法更加注重对核心资产的保护,以数据为中心,从检测威胁的角度去分析日志,注重攻击模式的发现和描述,从情报分析的高度来分析威胁。 报告提出了7条建议: 1、 进行高级情报收集与分析。让情报成为战略的基石。 2、 建立智能监测机制。知道要寻找什么,并建立信息安全与网络监控机制,以寻找所要寻找之物。 3、 重新分配访问控制权。控制特权用户的访问。 4、 认真开展有实效的用户培训。培训用户以识别社会工程攻击,并迫使用户承担保证企业信息安全的个人责任。 5、 管理高管预期。确保最高管理层认识到,抗击高级持续性攻击的本质是与数字军备竞赛战斗。 6、 重新设计IT架构。从扁平式网络转变为分隔式网络,使攻击者难以在网络中四处游荡,从而难以发现最宝贵的信息。 7、 参与情报交换。分享信息安全威胁情报,利用其他企业积累的知识。 Verizon发布的《2013年数据破坏调查报告》中则更加简明扼要的概括了应对APT的最高原则——知己,更要知彼,强调真正的主动安全是料敌先机,核心就是对安全威胁情报的分析与分享。二、技术手段分析 从具体的技术层面来说,为了应对APT攻击,新的技术也是层出不穷。 从监测和检测的角度,为了识别APT,可以从APT攻击的各个环节进行突破,任一环节能够识别即可断开整个链条。 根据APT攻击过程,我们可以从防范钓鱼攻击、识别邮件中的恶意代码、识别主机上的恶意代码、识别僵尸网络(C&C)通讯、监测网络数据渗出等多个环节入手。 而不论从哪个环节入手,都主要涉及以下几类新型技术手段: 基于沙箱的恶意代码检测技术。要检测恶意代码,最具挑战性的就是利用0day漏洞的恶意代码。因为是0day,就意味着没有特征,传统的恶意代码检测技术就此失效。沙箱技术通俗的讲就是构造一个模拟的执行环境,让可疑文件在这个模拟环境中运行起来,通过可疑文件触发的外在行为来判定是否是恶意代码。 来源:通信世界网 编 辑:高娟
猜你还喜欢的内容
文章评论【查看评论()】
|
企业黄页 会议活动 |