APT （Advanced Persistent Threat高級可持續(xù)威脅）是時下比較熱門的安全話題，也是很具有威脅的網(wǎng)絡(luò)攻擊之一。這種目的性很強(qiáng)的攻擊行為具有著高度的潛伏性，專業(yè)性及隱蔽性。可以針對特定對象，長期有計劃有組織的竊取機(jī)密數(shù)據(jù)，可以對企業(yè)，國家，造成重大的損失。

    先來回顧一下最近發(fā)生的一些APT的經(jīng)典案例:針對谷歌等高科技公司的極光攻擊：通過谷歌一個員工電腦，獲得了GMAIL系統(tǒng)中很多敏感用戶的訪問權(quán)限；針對RSA竊取SECURID的令牌攻擊，是通過發(fā)送一封附件帶有FLASH 0day的電子郵件，取得了財務(wù)一名員工的系統(tǒng)權(quán)限，逐步滲透，竊取了SECURID令牌種子；而針對伊朗核電站的震網(wǎng)攻擊則是利用了USB移動設(shè)備攻擊到了物理隔離的網(wǎng)絡(luò)等等�？梢�，APT攻擊往往會攻擊到安全體系中的最薄弱環(huán)節(jié)，而這恰好也驗證了安全理論中的木桶原則。

    如何做到有效的網(wǎng)絡(luò)安全防御，我個人認(rèn)為需要從時間及事件的進(jìn)度進(jìn)行劃分。在劃分的每個階段，進(jìn)行防御。

    從時間上劃分，分為事前，事中，事后三個階段。首先是事前階段，在這一階段，需要做的事情是非常多的，不過我認(rèn)為首先需要確定核心的機(jī)密數(shù)據(jù)。針對核心的數(shù)據(jù)進(jìn)行保護(hù)，確定安全區(qū)域，同時并做好相應(yīng)的基線(BASELINE)建立工作。例如網(wǎng)絡(luò)流量，系統(tǒng)登錄正確錯誤頻率，對關(guān)鍵系統(tǒng)的訪問頻率等等。并建立好具有一定防護(hù)能力的網(wǎng)絡(luò)。一般來說，網(wǎng)絡(luò)大體會分為如下三層：核心層，匯聚層以及接入層。如下圖所示：  

   核心層一般與INTERNET直接連接，因此需要部署網(wǎng)絡(luò)IPS，對內(nèi)網(wǎng)與INTERNET之間的數(shù)據(jù)交互進(jìn)行檢查，以便及時發(fā)現(xiàn)惡意的流量或攻擊。而匯聚層以服務(wù)器居多，因此需要配置主機(jī)IDS，針對主機(jī)的所產(chǎn)生的異常行為事件進(jìn)行報警。此外也可以部署蜜罐這類技術(shù)，也可能會受到一些不錯的效果。而接入層則大多為工作人員的PC機(jī)，因此，需要對這些PC機(jī)安裝殺毒軟件及主機(jī)IDS，并且進(jìn)行配置相應(yīng)的準(zhǔn)入策略。以防止從內(nèi)部攻陷整個安全體系。同樣，日志收集分析及事件關(guān)聯(lián)系統(tǒng)也可以部署在網(wǎng)絡(luò)中，以便對整體網(wǎng)絡(luò)進(jìn)行集中分析。加入安全設(shè)備的對應(yīng)圖示為： 

    另外，更重要的一點(diǎn)，便是三分技術(shù)，七分管理，可以從上面的APT例子看出，攻擊都是由于員工的一些安全意識不足而產(chǎn)生的，因此，加強(qiáng)員工的安全意識教育也是非常有必要的。事中階段，如視頻中演示的一樣，當(dāng)已經(jīng)檢測到有（APT）攻擊時，這個時候便是與黑客在時間上的賽跑，雖然，作為內(nèi)部安全人員，會比較了解內(nèi)部的網(wǎng)絡(luò)環(huán)境，但對于潛伏時間很長的黑客來說，也可能同樣了解，也變失去了比對抗普通黑客攻擊的一個優(yōu)勢，因此需要的便是及時響應(yīng)，這也需要事前準(zhǔn)備與多次演練。做到及時切斷攻擊源，甚至對核心資源的訪問。需要有多條備份系統(tǒng)及鏈路，保證可以從多渠道進(jìn)行，而不是像視頻中只能眼看著系統(tǒng)遭到破壞。同時也可以站在黑客的角度，分析黑客的動機(jī)及軌跡。事后階段，只有評估損失，進(jìn)行總結(jié)分析，發(fā)現(xiàn)不足，以免下次遭受同樣攻擊。畢竟誰也不希望當(dāng)事后諸葛亮。

    那么從事件的進(jìn)度來劃分，我針對視頻中的事件畫了一張猜想圖。

    在每個階段，都可以做一些工作來預(yù)防，比如，對員工進(jìn)行安全教育，對系統(tǒng)進(jìn)行安全加固，安裝對應(yīng)的殺毒軟件與IDS，當(dāng)已經(jīng)突破了第一道防線后，黑客在進(jìn)行對其他服務(wù)器進(jìn)行掃描以及竊取數(shù)據(jù)時，勢必會產(chǎn)生一些蛛絲馬跡，分析這些蛛絲馬跡，需要有IDS及相應(yīng)的流量分析系統(tǒng)完成，同時，我們可以針對數(shù)據(jù)進(jìn)行加密或?qū)ξ募�系統(tǒng)進(jìn)行改變，使其看得見，拿不到，拿得到，用不了。最后，當(dāng)黑客試圖將這些數(shù)據(jù)進(jìn)行轉(zhuǎn)移，也會對網(wǎng)絡(luò)流量產(chǎn)生一定的波動，或者即使不產(chǎn)生波動，也可以對核心文件進(jìn)行基于MD5簽名等技術(shù)，在發(fā)現(xiàn)網(wǎng)絡(luò)中不應(yīng)該產(chǎn)生這類MD5簽名的流量中發(fā)現(xiàn)了也可以確定發(fā)生了數(shù)據(jù)丟失問題。因此，在每個環(huán)節(jié)，均做好對應(yīng)的防御，則也可以對APT 起到一定的防御作用。如下圖所示： 

    綜上，便是我針對MI6中出現(xiàn)的APT攻擊所采用的部分解決方案。當(dāng)然APT攻擊千變?nèi)f化，如人身體的惡性腫瘤一般潛伏在網(wǎng)絡(luò)內(nèi)部，想徹底防御APT 除了需要足夠的技術(shù)支持外，還需要完善的體系制度，層次的防御體系，幾乎無縫隙的安全體系，像一個堅持鍛煉，身體健康的免疫力強(qiáng)的健康人一樣，使攻擊者無處下手，無處躲藏。同時我們也可以想象到，在一個大型的網(wǎng)絡(luò)內(nèi)部，每日的信息及事件告警量也會很多，如何將這些海量日志進(jìn)行系統(tǒng)分析，從中分離出有用的信息，這也考驗了內(nèi)部安全人員敏銳的觀察能力與分析細(xì)節(jié)及蛛絲馬跡的洞察力，同時也需要一定的實(shí)踐經(jīng)驗。另外，鑒于篇幅問題，還沒有針對時下比較流行的無線網(wǎng)絡(luò)，以及移動設(shè)備安全問題進(jìn)行說明，但并不代表可以忽視掉這部分。這部分也應(yīng)該作為安全考慮的重要環(huán)節(jié)。

    總之，需要防范APT，要考慮到方方面面，不能給黑客留下任何的死角，亦要動態(tài)和靜態(tài)相結(jié)合的方式，雖然很難，但卻無法避免。如果一旦疏忽了一個小細(xì)節(jié)，變可能會使整個防御體系變成馬其諾防線。因此防范APT---任重而道遠(yuǎn)。

標(biāo)簽： 安全 電子郵件 服務(wù)器 谷歌 計劃 企業(yè) 權(quán)限 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 網(wǎng)站 問題 用戶

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。