回歸基礎簡單技巧挫敗複雜APT攻擊

高階持續性威脅(atp)，是當今企業面對的最隱蔽網路攻擊之一。大名鼎鼎的震網蠕蟲，2023年索尼影業被黑，2015 年的 hacking team，前不久nsa的equation……

那麼，apt會影響到你的公司嗎?資訊系統審計與控制協會(isaca)的《2015 apt意識研究》發現：74%的受訪者認為他們會被apt盯上，28%已經被攻擊了。問題在於，apt在本質上，非常的複雜高階。它們本來就具備隱秘潛伏逃脫檢測的屬性，可以悄悄在網路中傳播數週乃至數月之久。

似乎想要緩解apt風險意味著要部署非常複雜的網路安全措施，大部分普通企業不太能夠實現的樣子。事實上，並非如此。回歸基礎就能大大有助於緩解apt風險：理解這種攻擊策劃和部署的基礎，弄清自家公司網路結構，便可助力阻止此類攻擊。簡言之，就是要理解怎樣減小暴露在惡意黑客眼前的攻擊介面

理解apt結構

無論多複雜，所有apt攻擊總是遵循類似的流程：

1. 偵察

攻擊者採用多種技術描繪公司網路拓撲，摸清安全策略和應用，發現可供切入的遠端訪問功能的資訊收集過程。

公開渠道情報(osint)：掃瞄對外開放服務中的漏洞;

踩點：識別出公司使用的軟體或資源版本，用旗標獲取、snmp(簡單網路管理協議)掃瞄和區域複製等技術描繪出網路基礎設施的概況。

2. 漏洞利用投放

一旦目標網路的合適切入點被找到，攻擊者便會投放惡意工具或應用程式來滲透網路。可供選擇的攻擊方法包括：電子郵件附件、所謂的『水坑』攻擊——控制目標很可能訪問的乙個已有**，或者直接在受感染u盤上物理載入漏洞利用程式。

3. 探測和橫向擴充套件

成功進入目標網路之後，攻擊者的下乙個目標就是在網路中橫向移動，最終染指有價值的公司資料。不過，這些資料通常都在另一台計算機系統上，因此，攻擊者需要找到一條通路。橫向移動就是apt持續性的立足點。探測需要時間，個人使用者會在這段時間裡很有可能會重啟系統，修改他們的安全簽名，讓攻擊者難以再次訪問他們的機器。

因此，攻擊者的理想目標，是在個人計算機上直接部署能讓他們在需要的時候可以重新登入系統的軟體，最好是使用者重啟系統或者打了補丁也可以重新登入。達成這一願望最常見的方法，是同遠端管理工具(rat)——遠端故障診斷或幫助臺功能所用的同型別工具。rat的安裝讓攻擊者得以在目標機器上留下後門，想登入就登入。

4. 滲漏

最終，攻擊者抽取到屬意的有價值資訊，或許是通過http混入到良性流量中，或許是通過https等將之加密以便難以被識別。

縮減網路攻擊介面

雖然阻止攻擊者實施apt第一階段探測很難——畢竟很多osint掃瞄技術都沒什麼秘密可言，防止他們在網路內橫向移動搜尋有價值資料還是可能的，只要遵循一些最基本的原則就行：

1. 網路分段

根據使用模式和所處理的資料型別，將平面化的內部網路分割成多個區域。網路分段可防止apt從一台「踏腳石」機器跳到另一台。

2. 各區域間設定防火牆過濾流量

「咽喉點」——比如防火牆，必須布置在各區域之間，過濾進進出出的流量。換句話說，內部、橫向的流量通道上都必須安置有防火牆，而不僅僅是在網路邊界上。

3. 防火牆必須有嚴格的安全策略

gartner研究表明：99%的防火牆滲漏都是由防火牆錯誤配置引起的，不關防火牆漏洞的事兒。很明顯，防火牆絕對應該被正確而合理地配置，要能分析並封鎖觸發apt警報的那類內部通訊。

在對自身網路進行分段時，需要考慮以下2種所有網路都應劃分成的區域型別。首先，識別並定義敏感資料區，包含處理和儲存支付卡及信用卡資訊、員工記錄、公司財務、智財權和管理資料的系統。其次，識別並定義包含人可接觸到的台式電腦、筆記本、平板和智慧型手機的人類使用者區域。也許你已經劃分了無線接入區，但無線接入的台式電腦也應被劃分出來。因為apt的第一攻擊點通常都是台式電腦，這個分割就能防住apt的橫向移動了。

以上幾點聽起來相當簡單，因為本來就很簡單。應銘記的重點是：物理apt有多高階，它都是在你的地盤運作。發現自己網路中的apt跡象或許很具挑戰性，但只要智慧型運用安全基本原則，擋住橫向探索，阻住apt的進擊軌道，還是有可能的。

回歸基礎簡單技巧挫敗複雜APT攻擊

簡單的回歸

線性回歸基礎

簡單線性回歸

回歸基礎 簡單技巧挫敗複雜APT攻擊

簡單的回歸

線性回歸基礎

簡單線性回歸

相關推薦

回歸基礎簡單技巧挫敗複雜APT攻擊