高级持续性威胁(Advanced Persistent Threat,APT),又叫高级长期威胁,是一种复杂的、持续的网络攻击,包含三个要素:高级、长期、威胁。
-
高级是指执行APT攻击需要比传统攻击更高的定制程度和复杂程度,需要花费大量时间和资源来研究确定系统内部的漏洞;
-
长期是为了达到特定目的,过程中“放长线”,持续监控目标,对目标保有长期的访问权;
-
威胁强调的是人为参与策划的攻击,攻击目标是高价值的组织,攻击一旦得手,往往会给攻击目标造成巨大的经济损失或政治影响,乃至于毁灭性打击。
APT攻击者通常是一个组织,从瞄准目标到大功告成,要经历多个阶段,在安全领域这个过程叫做攻击链。每个厂家对于攻击链的步骤定义略有差异,但本质上相差不大。
.png)
APT攻击链
1.Google极光攻击
Google Aurora极光攻击是由一个有组织的网络犯罪团伙精心策划的有针对性的网络攻击,攻击团队向Google发送了一条带有恶意连接的消息,当Google员工点击了这条恶意连接时,会自动向攻击者的C&C Server(Command and Control Server)发送一个指令,并下载远程控制木马到电脑上,再利用内网渗透、暴力破解等方式获取服务器的管理员权限,员工电脑被远程控制长达数月之久,其被窃取的资料数不胜数,造成不可估量的损失。
2. SolarWinds供应链事件
2020年12月网络安全公司 FireEye披露其公司购置的网管软件厂商SolarWinds相关软件中存在后门,该后门通过HTTP与第三方服务器进行通信。SolarWinds对全球客户展开排查,经排查发现,多家大公司均被攻击者通过该软件作为入口而成功渗透。此外,多个政府机构也可能已经沦陷;世界500强企业中,也有超过9成受到影响;全球至少30万家大型政企机构受到影响。
1.攻击者组织严密
通常是一个组织发起的攻击,可能具有军事或政治目的,有时会与某个国家关联在一起,而且背后往往有强大的资金支持。
2. 针对性强
攻击者不会盲目攻击,一般会有针对性的选择一个攻击目标,该目标往往具有军事、政治、经济上的较高价值。
3.手段高超
APT攻击的恶意代码变种多且升级频繁,结合尚未发布的零日漏洞,使得基于特征匹配的传统检测防御技术很难有效检测出攻击。
4.隐蔽性强
APT攻击者具有较强的隐蔽能力,不会像DDoS攻击一样构造大量的报文去累垮目标服务器,基于流量的防御手段很难发挥作用;在整个过程中都会使用高级逃逸技术来刻意躲避安全设备的检查,在系统中并无明显异常,基于单点时间或短时间窗口的实时检测技术和会话频繁检测技术也难以成功检测出异常攻击。
5.持续时间长
渗透过程和数据外泄阶段往往会持续数月乃至数年的时间。
高级威胁通常利用定制恶意软件、0Day漏洞或高级逃逸技术,突破防火墙、IPS、AV等基于特征的传统防御检测设备,针对系统未及时修复的已知漏洞、未知漏洞进行攻击。为了应对和防范APT技术,可以参考以下措施,来降低风险:
1.多层网络安全防护
增加网络堡垒、IDS/IPS、堡垒机等安全设备,建立多层防御体系。使用下一代防火墙,部署入侵检测/预防系统、安全信息事件管理(SIEM)系统等,提高对网络流量的实时监测和异常检测能力。
2.深度防御策略
实施深度防御策略,控制网路入口和出口,使用新一代防火墙、入侵检测、预防系统等安全设备。建立漏洞管理系统,及时发现和修复安全漏洞。严格控制访问权限,避免使用弱口令和共享账号。实施多因素身份验证,如指纹、面部识别等,确保只有授权人员能够访问敏感数据。
3.加强数据保护和备份
确保重要数据得到充分保护和备份,以防数据被窃取或损坏。同时,定期测试备份数据的可用性和完整性。
4.使用沙箱技术
通过将可疑文件或代码隔离在沙箱中运行,以检测和防御APT攻击中的恶意软件。
5.加强邮件和附件的安全性
使用电子邮件过滤器、安全附件解压缩等功能,以防止恶意附件的传播和感染。
6.情报收集与分析
加强情报收集与分析,了解攻击者的行为模式和工具特点。利用威胁情报分享平台和合作伙伴关系。获取更多的情报信息,提高对APT攻击的预警和响应能力。
7.建立安全事件应急响应机制
制定详细的安全事件应急预案,明确应急响应流程和责任人。及时发现、处置和报告安全事件,防止攻击者进一步渗透和利用系统。
8.合作伙伴关系与国际合作
与安全厂商、国家安全机构等建立合作伙伴关系,共同应对APT攻击。共享威胁情报、技术交流和协作,提高整体网络安全防护能力,加强国际合作,共同打击跨国犯罪。
注:本文素材来自华为及AI,版权归作者所有
沪公网安备 31010702006392号