完美的世界 1993 电影,完美的世界 1993 电影

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

知名“白帽”方興解讀APT

近幾年，安全威脅發(fā)生了很大變化，提到新興威脅APT攻擊不是什么新鮮事。隨著IT發(fā)展，攻擊者可以通過APT攻擊得到更多的有價值的資產(chǎn)。

創(chuàng)新互聯(lián)長期為上千客戶提供的網(wǎng)站建設(shè)服務(wù)，團隊從業(yè)經(jīng)驗10年，關(guān)注不同地域、不同群體，并針對不同對象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺，與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為樂東黎族企業(yè)提供專業(yè)的網(wǎng)站制作、成都網(wǎng)站建設(shè)，樂東黎族網(wǎng)站改版等技術(shù)服務(wù)。擁有十多年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。

本文中，南京瀚海源CEO方興對新興威脅攻防的本質(zhì)進行了剖析，并針對APT攻擊進行了深度解讀。

新興威脅攻防核心本質(zhì)

◆新興威脅的核心

新興威脅的核心是網(wǎng)絡(luò)間諜行為，和傳統(tǒng)間諜行為的最大區(qū)別是把傳統(tǒng)手段和數(shù)字攻擊手段相結(jié)合。攻擊者可使用針對數(shù)字系統(tǒng)的攻擊手段，獲得數(shù)字資產(chǎn)或通過數(shù)字系統(tǒng)可控的資產(chǎn)。

其實，傳統(tǒng)間諜手段很早就已經(jīng)存在了，發(fā)展到現(xiàn)在已經(jīng)形成了攻守平衡的形勢。現(xiàn)在，為什么要把數(shù)字手段融合進去呢?因為我們?nèi)鄙僭跀?shù)字手段上的對抗檢測技術(shù)，導致攻擊者使用數(shù)字手段的攻擊比使用傳統(tǒng)間諜手段時成本更低。從攻擊者角度來講，因為他可以用低成本低的攻擊手法拿到更多數(shù)字，所以很自然的把新技術(shù)融合在傳統(tǒng)間諜手段當中一起來獲得更高的收入。

◆解讀新興威脅APT

目前，針對新興威脅APT攻擊我們可以這樣解讀APT：

A ：

1.高價值資產(chǎn)的嚴密防護能力下，只有復雜攻擊路徑才能達到繞過檢測和最終目標觸發(fā)。

2.這一系列要求必須多種攻擊向量組合和高技術(shù)能力與手段。

P ：

1.攻擊難度、復雜路徑，技術(shù)手段需要時間。

2.攻擊價值與攻擊難度需要不斷嘗試但不會輕易放棄。

T ：

1.攻擊一旦成功將造成巨大損失但難以發(fā)現(xiàn)。

2.攻擊進入后，很難徹底清除。

◆APT攻擊特性

APT攻擊主要呈現(xiàn)以下特性：

可利用性：達到最終目標的路徑設(shè)計 ;讓路徑上的每個受害者都愿意或可能觸發(fā);受害者觸發(fā)后穩(wěn)定植入攻擊者惡意代碼以實現(xiàn)攻擊者意圖;惡意代碼行為可滿足攻擊者目的。

隱蔽性：受害者觸發(fā)無感覺;受害者觸發(fā)時主機或網(wǎng)絡(luò)環(huán)境設(shè)備檢測不到;其后惡意代碼行為讓受害者主機或網(wǎng)絡(luò)環(huán)境設(shè)備檢測不到異常或檢測到異常后無法發(fā)現(xiàn)真實原因。

抗追查：發(fā)現(xiàn)攻擊后難以追查攻擊源頭;追查到攻擊源頭難以確定攻擊者;確定到攻擊者也可以否認。

潛伏性：可控攻擊行為;深度滲透在部分清除后可以恢復。

針對性：高價值資產(chǎn);定向攻擊路徑。

◆APT攻擊核心技術(shù)環(huán)節(jié)與手段

從上圖我們分析可知，從攻擊角度上，攻擊者首先進行信息收集，根據(jù)信息做好入侵準備，然后通過社會工程吸引，注入木馬等手段實現(xiàn)信息入侵，實現(xiàn)實時入侵，控制內(nèi)網(wǎng)系統(tǒng)甚至是資產(chǎn)后，進行破壞或者進行有價值資產(chǎn)的竊取。整個攻擊過程的核心技術(shù)主要有：漏洞利用、木馬種植，基于供應(yīng)鏈植入以及后門植入，種植后攻擊者通過隱蔽的通道竊取數(shù)據(jù)。

常見的技術(shù)概念主要有：SHELLCODE、EXP、漏洞、木馬、后門、隱蔽通道。

未來，針對APT攻擊，作為安全防護人員首先要考慮的就是以上幾個技術(shù)點。當然短期內(nèi)很難用技術(shù)對抗傳統(tǒng)間諜手段，但是我們只要能夠把技術(shù)手段抬高到一定門檻，攻擊者在APT新興威脅上就不再占有這種成本的優(yōu)勢。

所以在以后的安全防護道路上，我們需要新的技術(shù)手段。#p#

新興威脅攻防對抗思考與展望

◆傳統(tǒng)安全漏洞利用檢測攻防

針對傳統(tǒng)安全漏洞體系檢測主要側(cè)重IDS/IPS與增強殺毒兩個方向，傳統(tǒng)的檢測點包含NDAY漏洞觸發(fā)特征簽名庫識別與固定利用代碼識別，它們都存在一定的漏洞誤報率或者其他的問題。

方興表示，現(xiàn)在的新型檢測技術(shù)除了追求原來NDAY漏洞觸發(fā)簽名，還有深度內(nèi)容識別。在他看來未來的APT還有很多新型的技術(shù)可以進行對抗(見下圖)，比如：對抗NDAY漏洞簽名，在深度層面可以不斷變化編碼，進行加密。

展望漏洞利用(SHELLCODE)檢測對抗

◆傳統(tǒng)木馬檢測攻防

傳統(tǒng)的木馬檢測方式包含：木馬簽名庫識別惡意URL來源; 針對進程、文件、應(yīng)用入口點的本地異常點檢查;惡意功能和行為識別(本地)。

但是以上檢測面臨很多問題，在惡意工程上可以通過信任程序，專門加載底層控制繞過誤報、人工識別。未來我們需要更多新型的對抗木馬的技術(shù)，在此，方興帶我們展望了這場木馬對抗戰(zhàn)的未來。

展望木馬檢測對抗

◆傳統(tǒng)隱通道檢測攻防

在傳統(tǒng)隱蔽通道攻防上，主要是通過已知的惡意IP或者URL識別來實現(xiàn)的，或者是審計設(shè)備識別敏感關(guān)鍵字，識別已知的私有協(xié)議，或者是通過流量和網(wǎng)絡(luò)行為異常來識別。

目前，我們面臨著攻擊者未知手段的新型威脅，未來該如何對抗隱蔽通道攻擊呢?

展望隱通道檢測對抗

綜上所述，方興表示，在他看來“攻防對抗沒有終結(jié)點，始終是人和人的對抗，新興對抗手段有些已經(jīng)出現(xiàn)，還有很多沒有出現(xiàn)，但是作為防護者，心里要很清楚即使有了新型技術(shù)，APT也不一定有終結(jié)點。未來，不僅在技術(shù)上要和攻擊者做對抗，也要在更高的層次去找到好的解決方法。”#p#

新興威脅應(yīng)對思考

針對新興威脅的應(yīng)對，方興做了以下小結(jié)：

◆多維度全檢測體系：針對攻擊者的每個手段建立檢測點，形成網(wǎng)狀檢測體系，即使攻擊者能逃脫一兩個檢測點，但不一定能夠逃脫全部檢測點。

◆入侵全生命周期覆蓋：APT攻擊是由多個環(huán)節(jié)多個攻擊手段組合而成。針對每個環(huán)節(jié)每個手段形成縱深檢測體系，可以最大限度發(fā)現(xiàn)APT攻擊，提高攻擊者門檻。

◆多維度全生命周期體系：APT攻擊每個檢測手段都因為原理性能易用性誤報率等因素都存在對抗技術(shù)。針對每個APT攻擊手段手段用多種檢測方法形成多維度檢測體系，可以最大限度檢測APT攻擊手段，并且縱深覆蓋，形成多維度網(wǎng)狀檢測體系。

◆縱深、多維度、端、云協(xié)同感知與大數(shù)據(jù)挖掘的威脅感知：通過智能事件關(guān)聯(lián)進行攻擊確認，發(fā)現(xiàn)可疑事件，經(jīng)過數(shù)據(jù)深度內(nèi)容可疑分析和云端數(shù)據(jù)分析形成檢測體系。

云端數(shù)據(jù)分析：攻擊共享、攻擊著歸i組特征、攻擊者資源特征。

智能事件關(guān)聯(lián)分析：攻擊確認、事件關(guān)聯(lián)可疑發(fā)現(xiàn)、因果溯源。

◆協(xié)同運維：APT攻擊是人和人的斗智斗勇，必須有專業(yè)的團隊分析響應(yīng)才能應(yīng)對APT。

最后，方興表示：“APT是人和人在數(shù)字空間的智力對抗，所以一定是沒有終極的辦法的，因為人是活的，手段是無窮的，檢測與防御還需要考慮成本、性能、用戶體驗、用戶感知等一系列問題。所以APT檢測產(chǎn)品，需要的是在以上限制條件下最大程度提高攻擊者成本和門檻，降低損失，形成一個新的攻守平衡線?！?/p>
本文名稱：知名“白帽”方興解讀APT
網(wǎng)站網(wǎng)址：http://www.fisionsoft.com.cn/article/ccecsdc.html

新聞中心

其他資訊