APT攻击原理和防范
近年来APT攻击成为主要焦点:APT攻击是黑客以窃取核心资料为目的,针对企业发生的攻击和侵袭行业,APT攻击整合了情报技术、黑客技术、社会工程学等各种手段,对特定目标进行长期持续性网络攻击,项目的是访问企业钢络、获取数据、并长期秘密监视目标计算机系统。
APT攻击过程四分4步:搜集信息、渗透驻点、获取权限、实施破坏、数据外传
一、 收集信息:攻击者收集所有与目标有关的信息,这个信息涉及目标的组织架构、办公地址、产品服务、员工通讯录、管理层邮件地址、高层领导会议日程、门户网站目录结构、内部网络架构、已部署的安全网络设备、对外开放端口、企业员工使用的办公软件和邮箱系统、公司的web服务器使用的版本和系统。
二、 渗透驻点:攻击者利用钓鱼邮件、WEB服务器、U盘、通过社会工程学等手段,将提前做好的恶意程序植入目标网络内部,然后耐心等待用户打开邮件附件、URL链接、U盘文件或水坑网站。
三、 获取权限:一旦潘多拉魔盒被打开,恶意程序便会借尸还魂,完成一系统的自动操作,便于黑客控制内部设备等手段。
四、 实施破坏或数据外传:一些木马具有图像截图、键盘记录等功能,来获取用户密码等隐私资料,有了账号密码就可以利用已中招的傀儡主机远程登陆公司内部各种服务器上,把一些有价值的资料外传出去给黑客。
ARP为代表的高级威胁给业界带来了前所未有的挑战,迫切需要新的威胁检测手段和技术来应对,传统的方法有3个不足地方:1、威胁检测周期长,传统的检测工具很难对隐藏在加密流量下的恶感威胁检测,另外恶意代码变异很快,对传统的安全防御技术套路很清楚,使得发更长的时间和周期才能发现。2、单点被动防御,传统的安全防御系统都部署在网络的边界处,当威胁发生时只能各自为战,很难控制已在内部中毒后的蔓延和泛滥。3、安全业务管理复杂,过对于网元管理,各厂家标准不统一,配置 依赖手工操作,易用性差,同时各网元管理复杂,需要IP地址、端口、物理位置等 信息,用户上手难度大,此外传统的管理方法也无法提供个性法的安全定制。
相对于传统的安全防御,基于大数据和AI的安全协防是从离散的样本转向全息化的大数据分析,从传统的人工转为自动化分析,以行为、意图分析为主,为客户提供全面的、系统的安全防御体系,来保证园区网的业务安全。
大数据安全协防的核心理念是从每个网元中收集大量的与安全相关的资源信息,同时依靠大数据分析平台进行综合分析,进而可以准确识别出安全威胁事件,然后联动网络控制器进行安全处理,让园区网有主动安全防御能力。
基于大数据和AI的安全协防对抗APT攻击:
企业基于大数据和AI的安全分析器,把网络基础设施转化为传感器,作为传感器,路由交换防火墙等网络设备为分析器提供流量、日志、文件等,同时基于网络拓扑和威胁场景,制作剧本,研究入侵的意图和传播途径,以此为建立安全威胁模型和规则,通过全网监控,有异常上报CIS安全分析器,进行分析联动处理和诱捕技术,实现安全隔离,对网络行为数据进行深度挖掘,及时发现威胁并闭环处理,帮助企业提升安全分析和运维智能化、自动化的程度,使企业的关键基础设施稳固,业务永续。
安全协防的总体架构:
核心监控技术Telemetry探针:
1、 可视化运维。
2、传统用SNMP监控,秒级监控,而telemetry是毫秒级,用tcp协议,新设备都内置了探针芯片,如AP、AC、路由交换,用emdi监控音视频效果,可以查是不是丢帧用UDP协议。
网络安全之数据加密安全和诱捕,混淆技术,仿真交互:
数据加密后发送,木马藏匿于加密流量中,从而避开安全检测,实施恶意活动。
老方法是用中间人技术,分析其中的行为和内容,再次加密后发送,但是有局限性,破坏了数据的完整性,耗时久,网络性能下降。
eca技术(加密通讯检测),在不破坏数据完整性和隐私型前提下,识别加密流量非加密流量,提取加密流量的特征并发送至cis安全分析器进行安全流量检测,快速发现隐藏在加密流量中的威胁,及时有效的处理。eca该技术架构分为eca流探针和eca分析系统。eca流探针主要负责提取加密流量特征,然后发送到eca分析系统进行判定,eca可以单独部署,也可以防火墙内,交换机内三种方式。eca分析系统集成于cis安全分析器内,通过结合eca检测分类模型发现恶意加密流量。
网络诱捕技术:可以和攻击源进行主动交互,通过网络欺骗和业务仿真,在攻击源发起内网扫描阶段就识别出来,然后发送给cis通过联动快速隔离,以免真实业务受到影响。诱捕组件架构:诱捕探针,诱捕器,cis安全分析器等。
网络混淆:向攻击者展现大量虚假资源,使攻击者无法获取真实的资源和漏洞信息,有效的迟滞了扫描器,蠕虫等自动攻击程序的攻击行为,该方案,诱捕探针置于交换机中,在网络中广泛部署,相比传统蜜罐成本低,密度大,范围广,防御效果佳。
仿真交互:通过虚假资源实现攻击交互,来准确识别攻击意图,使攻击者暴露,比如扫描器,爬虫行为,诱捕器当初支持对http,smb,rdp,ssh的仿真交互。
APT攻击原理和防范相关推荐
- 局域网三大攻击工具的攻击原理及其防范
局域网三大攻击工具的攻击原理及其防范 局域网终结者.网络执法官.网络剪刀手的攻击原理 我们知道一个局域网中不可以同时有两个相同的ip.否则就会发生冲突,结果必然是其中的一台机器无法上网.假设在一个局 ...
- 详解SYN Flood攻击原理与防范
详解SYN Flood攻击原理与防范 SYN Flood是当前最流行的DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击)的方式之一,它是利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被 ...
- Sync 攻击原理及防范技术
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法.相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SY ...
- SYN 攻击原理以及防范技术
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法.相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SY ...
- syn flood攻击原理及防范
sync攻击原理 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻击,其目的是使计算机或网络无法提供正常的服务.最常见的DoS攻击有计算机网络带宽攻击和 ...
- SYN攻击原理以及防范技术
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法.相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SY ...
- CC攻击原理及防范方法和如何防范CC攻击
一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数 ...
- CC攻击原理及防范方法
一. CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃.CC主要是用来消耗服务器资源的,每个人都有这样的体验:当一个网页访问的人数 ...
- DNS攻击原理与防范
编者注:这是一篇旧文,来源已不可考,但是依旧有参考价值,分享给诸君. 随着网络的逐步普及,网络安全已成为INTERNET路上事实上的焦点,它关系着INTERNET的进一步发展和普及,甚至关系着 INT ...
最新文章
- [转载]日历设计之重复事件规则设计
- docker删除所有容器_如何在Linux上创建,列出和删除Docker容器
- ssh连接服务器出现:ssh: connect to host 192.168.1.107 port 22: Connection refused 的解决方法
- python的clock函数,Python3 time clock()方法
- 简单的数学问题 洛谷 P1414 又是毕业季II
- android淡入淡出动画_在Android中淡入动画示例
- mac下自动保存 Git SSH Key 密码
- 机器学习笔记-XGBoost
- python企业微信群聊_python调用企业微信接口发送群聊消息代码参考
- ios tabtar 使用方法_Appium界面自动化测试(13)(iOS/Python):元素定位及操作
- html日期函数,YEAR 函数 (时间日期函数)
- 快递查询网站php源码,全国快递查询PHP源码单号自动识别支持国内上百家快递
- Windows调出软键盘
- 如何用css实现彩带样式,CSS3 彩色丝带
- Hadoop集群性能优化一
- 【IoT】蓝牙 GAP 和 GATT 协议简析
- csgo显示服务器失败,csgo服务器失败
- 德纳:Mecha《机甲变形》NFT元宇宙链游开发技术详情
- 阿里云AI训练营第一天
- 盘点阿里云服务器活动【最新活动】2核4G 1M带宽 40G高效云盘 云服务器【19/月,269/年,699/3年】