APT攻击防护方案.pdf
文本预览下载声明
APT攻击防护方案:构建堡垒网络 升级安全防护
随着信息技术的高速发展,人类的生活跟网络紧密地联系在了一块儿。在电子商务,网络支付极其
发展的今天,各种安全问题也随之而来。网络安全,已成为当今世界越来越关心的话题之一。近年来,
APT高级持续性威胁便成为信息安全圈子人人皆知的时髦名词.对于像Google、Facebook、Twitter、
Comodo等深受其害的公司而言,APT无疑是一场噩梦。于是,引发了行业以及安全从业者对现有安全防御
体系的深入思考。
在APT攻击中,攻击者会花几个月甚至更长的时间对目标网络进行踩点,针对性地进行信息收集,
目标网络环境探测,线上服务器分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。当攻击
者收集到足够的信息时,就会对目标网络发起攻击,我们需要了解的是,这种攻击具有明确的目的性与针
对性。发起攻击前,攻击者通常会精心设计攻击计划,与此同时,攻击者会根据收集到的信息对目标网络
进行深入的分析与研究,所以,这种攻击的成功率很高。当然,它的危害也不言而喻。要预防这种新型的,
攻击手法极其灵活的网络攻击,首先,应该对这种攻击进行深入的探讨、研究,分析APT攻击可能会发生
的网络环节或者业务环节等;其次要对我们自己的网络进行深入的分析,了解网络环境中存在的安全隐患,
从而具有针对性地进行防护。
下图是个比较典型的网络拓扑简图:
(图一)
参照这个网络拓扑,结合近几年发生的APT攻击,我们来分析下APT攻击。
1)2010年,Google被攻击事件:
攻击者收集了Google员工的信息,伪造了一封带有恶意链接的邮件,以信任人的身份发给了Google
员工,致使该员工的浏览器被溢出,接着,攻击者获取了该员工主机的权限,并持续监听该员工与Google
服务器建立的连接,最终导致服务器沦陷。前不久发生的Facebook被攻击事件,与这个极为相似。
2)2011年美国 《华尔街日报》报道的一个安全事件:
攻击者通过SQL注入漏洞,入侵了外网边缘的WEB服务器,然后以WEB服务器为跳板,对内外进行
嗅探、扫描,进而入侵了内外AD服务器。攻击者在已拿到权限的主机里种了自己的木马,以公司领导的名
义给员工发送了一封带有恶意附件的邮件,最终导致大量公司内网主机权限被攻击者所拥有。
3)RSA SecurID被窃取事件:
2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导
致很多使用SecurID作为认证凭据建立VPN 网络的公司受到攻击,重要资料被窃取。
通过以往的APT攻击实例,我们可以总结出,通常,典型的APT攻击会通过如下途径入侵到您的网
络当中:
1.通过WEB漏洞突破面向外网的Web Server.
2.通过被入侵的Web Server做为跳板,对内网的其他服务器或桌面终端进行嗅探、扫描,并为进
一步入侵做准备。
3.通过密码爆破或者发送欺诈邮件,获取管理员帐号,并最终突破AD服务器或核心开发环境,被
攻击者的邮箱自动发送邮件副本给攻击者。
4.通过植入恶意软件,如木马、后门、Downloader等,回传大量的敏感文件 (WORD、PPT、PDF、
CAD文件等)。
5.通过高层主管邮件,发送带有恶意程序的附件,诱骗员工点击,入侵内网终端。
6.利用0day.例如:在邮件中添加恶意URL,被攻击者一点击URL,浏览器被溢出,主机权限丢失。
7.夹杂着社会工程学的攻击。
结合图一,我们可以清楚地看到网络中最有可能被攻击的环节。很显然,图一中的网络有很多问题。
所以,我们应该对现有的网络进行调整 (网络结构/制度等),下面的网络拓扑图是图一的改进版。如下图
所示:
(图二)
网络拓扑说明:
1.在外部路由出口架设大流量吞吐量的防火墙,可以有效地防御外部黑客对外部路由进行DDoS
攻击,又可以做访问控制策略,实现初步的安全访问。
2.拓扑的审计系统 (堡垒机),是为了保障网络和数据不受来自外部或者内部恶意攻击者的入侵和
破坏,它可以收集和监控网络环境中的每个节点的系统状态,网络活动等。这样就可以方便管理人
显示全部