資源描述:
《apt攻擊防護(hù)方案》由會員上傳分享,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在工程資料-天天文庫�����。
1�、APT攻擊防護(hù)方案:構(gòu)建堡壘網(wǎng)絡(luò)升級安全防護(hù)隨卷信息技術(shù)的萵速發(fā)展,人類的生活跟網(wǎng)絡(luò)緊密地聯(lián)系在Y—塊兒����。在電子商務(wù)�,網(wǎng)絡(luò)支付極其發(fā)展的今天��,各種安全問題也隨之而來�。M絡(luò)安全,己成為當(dāng)今世界越來越關(guān)心的話題之一�。近年來,APT高級持續(xù)性威脅便成為信息安全圈?了?人人皆知的"時(shí)髦名詞對于像Google�����、Facebook�、Twitter,Comodo等深受其害的公司而言,APT無疑是一場噩夢����。于是�,引發(fā)了行業(yè)以及安全從業(yè)者對現(xiàn)冇安全防御體系的深入思考。在APT攻擊中��,攻擊者會花幾個(gè)月其至更長的時(shí)間對"目標(biāo)"網(wǎng)絡(luò)進(jìn)行踩點(diǎn)�,針對性地
2、進(jìn)行信息收集�����,M稱網(wǎng)絡(luò)環(huán)境探測,線上)1務(wù)分布情況�,應(yīng)用程序的弱點(diǎn)分析,了解業(yè)務(wù)狀況����,員工信息等等。當(dāng)攻擊者收集到足夠的信息時(shí)��,就會對Q標(biāo)網(wǎng)絡(luò)發(fā)起攻擊�,我們需要了解的是,這種攻擊具有明確的目的性與針對性��。發(fā)起攻擊前�����,攻擊者通常會精心設(shè)計(jì)攻擊計(jì)劃�����,與此同吋�����,攻擊者會根據(jù)收集到的信息對H標(biāo)網(wǎng)絡(luò)進(jìn)行深入的分析與研宄,所以��,這種攻擊的成功率很高�。當(dāng)然,它的危害也不言而喻���。要預(yù)防這種新型的�,攻擊手法極其靈活的網(wǎng)絡(luò)攻擊���,首先����,應(yīng)該對這種攻擊進(jìn)行深入的探討����、研究,分析APT攻擊可能會發(fā)生的網(wǎng)絡(luò)環(huán)節(jié)或者業(yè)務(wù)環(huán)節(jié)等����;其次耍對我們自己的網(wǎng)絡(luò)進(jìn)行
3��、深入的分析�����,了解網(wǎng)絡(luò)環(huán)境中存在的安全隱患,從而具冇針對性地進(jìn)行防護(hù)��。下圖是個(gè)比較典型的網(wǎng)絡(luò)拓?fù)浜唸D::8EADEAO(圖一)參照這個(gè)網(wǎng)絡(luò)拓?fù)?���,結(jié)合近兒年發(fā)生的APT攻擊,我們來分析下APT攻擊����。1)2010年,Google被攻擊事件:攻擊者收級了Google員工的信息�����,偽造了-封帶有惡意鏈接的郵件���,以信任人的身份發(fā)給了Google員工��,致使該MT的瀏覽器被溢出�����,接著���,攻擊奍獲取了該員工主機(jī)的權(quán)限���,并持續(xù)監(jiān)聽該員工與Google務(wù)器建立的連接,最終導(dǎo)致服務(wù)器淪陷���。前不久發(fā)生的Facebook被攻擊審件��,與這個(gè)極為相似�����。2)20
4����、11年美國《華爾街日報(bào)》報(bào)道的一個(gè)安全事件:攻擊者通過SQL注入漏洞�����,入侵了外網(wǎng)邊緣的WEB服務(wù)器�,然后以WEB服務(wù)器為跳板,對內(nèi)外進(jìn)行嗅探����、掃描,進(jìn)而入侵了內(nèi)外AD服務(wù)器����。攻擊者在已拿到權(quán)限的主機(jī)甩種了自己的木馬,以公司領(lǐng)導(dǎo)的名義給員工發(fā)送了一封帶有惡意附件的郵件�,S終導(dǎo)致大量公司內(nèi)網(wǎng)主機(jī)權(quán)限被攻擊者所擁有。3)RSASecurlD被竊取事件:2011年3月�����,EMC公司下屬的RSA公司遭受入侵�����,部分SecurlD技術(shù)及客戶資料被竊取�����。其記果導(dǎo)致很多使用SecurlD作為認(rèn)證憑據(jù)建立VPN網(wǎng)絡(luò)的公司受到攻擊��,£要資料被竊取�����。
5��、通過以往的APT攻擊實(shí)例,我們可以總結(jié)出���,通常��,典型的APT攻擊會通過如下途徑入侵到您的網(wǎng)絡(luò)當(dāng)中:1.通過WEB漏洞突破面向外網(wǎng)的WebServer.2.通過被入的WebServer做為跳板��,對內(nèi)網(wǎng)的其他服務(wù)器或桌面終端進(jìn)行嗅探�、掃描����,并為進(jìn)一步入侵做準(zhǔn)備。3.通過密碼爆破或者發(fā)送欺詐郵件���,獲取管理員帳號,并最終'欠破AD服務(wù)器或核心開發(fā)環(huán)境����,被攻擊者的郵箱自動發(fā)送郵件副木給攻擊者。4.通過植入惡意軟件����,如木馬、后門��、Downloader等,回傳大量的敏慼文件(WORD�����、PPT�����、PDF����、CAD文件等)����。5.通過髙層主管郵件,
6����、發(fā)送帶有惡意程序的附件,誘騙員工點(diǎn)擊���,入侵內(nèi)網(wǎng)終端���。6.利用Oday.例如:在郵件中添加惡意IRL�,被攻擊者一點(diǎn)擊URL�,瀏覽器被溢出,主機(jī)權(quán)限丟失�����。7.夾雜著社會工程學(xué)的攻擊����。結(jié)合圖一,我們可以淸楚地看到M絡(luò)屮敁宥可能被攻擊的環(huán)節(jié)���。很顯然�,圖一屮的M絡(luò)宥很多問題��。所以����,我們應(yīng)該對現(xiàn)冇的網(wǎng)絡(luò)進(jìn)行調(diào)整(網(wǎng)絡(luò)結(jié)構(gòu)/制度等),下面的網(wǎng)絡(luò)拓?fù)溟w是圖一的改進(jìn)版�。如下閣所示:■o>人■?O??co4rxxi?A^A^z?r9tfJC7oIK2料傳m.廖履文K啜,龍值煤竹為實(shí)19水MTu-■■M鑛?*--.—-—ir3#.M格災(zāi)會爆7、Mir?*-命U.(圖二)網(wǎng)絡(luò)拓?fù)湔f明:1.在外部路由出口架設(shè)大流量吞吐量的防火墻��,可以有效地防御外部黑薺對外部路由進(jìn)行DDoS攻擊,又》J以做訪問控制策略�,實(shí)現(xiàn)初步的安全訪問。2.拓?fù)涞氖杏?jì)系統(tǒng)(堡壘機(jī))����,足為丫保障網(wǎng)絡(luò)和數(shù)據(jù)不受來白外部或者內(nèi)部惡意攻擊者的入佼和破壞,它可以收集和監(jiān)控網(wǎng)絡(luò)環(huán)境中的每個(gè)節(jié)點(diǎn)的系統(tǒng)狀態(tài)���,網(wǎng)絡(luò)活動等。這樣就可以方便管理人員集中監(jiān)控����、記錄、分析����、處理網(wǎng)絡(luò)中的異常情況,對幣個(gè)網(wǎng)絡(luò)的安全���,起到了不可忽視的作川��。3.核心層連的兩臺IDS設(shè)備����,可以冇效地監(jiān)測、頂警網(wǎng)絡(luò)攻擊���,當(dāng)網(wǎng)絡(luò)中出現(xiàn)異常吋�����,IDS會報(bào)瞀
8�、��,并記錄異常狀況���。叫以幫助網(wǎng)絡(luò)管理人?及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)屮存在的M絡(luò)攻擊���,做出相應(yīng)的防護(hù)措施。4.上圖的網(wǎng)絡(luò)拓?fù)溴?���,我們在核?匯聚層與接入層之間部署丫兩臺iptables防火墻,是為丫進(jìn)一步控制網(wǎng)絡(luò)的訪問策略���,以保證接入層的安全控制����。隔離區(qū)的各種服務(wù)器是我們要熏點(diǎn)防護(hù)的對象,所以���,對接入層的訪
