2023-07-05 分類: 網(wǎng)站建設(shè)
隨著APT 攻擊事件的日益增多,其組織化、潛伏性、持續(xù)性、利用0day 漏洞的攻擊特點(diǎn),導(dǎo)致大多數(shù)企業(yè)采用的傳統(tǒng)的基于防火墻、IPS 等邊界防護(hù)以及病毒惡意特征代碼檢測(cè)等靜態(tài)安全防護(hù)體系已經(jīng)越來(lái)越不能適應(yīng)外部攻擊者和攻擊手段的變化,改進(jìn)、重構(gòu)攻擊防御體系已勢(shì)在必行。
一、黑客攻擊模式
物聯(lián)網(wǎng)難以避免遭黑客攻擊。黑客可以通過(guò)滲透并利用成千上萬(wàn)個(gè)不安全的設(shè)備來(lái)發(fā)起DDoS攻擊。它們可能破壞基礎(chǔ)設(shè)施,讓網(wǎng)絡(luò)癱瘓,并且隨著物聯(lián)網(wǎng)進(jìn)入我們的日常生活,這些攻擊很可能使真實(shí)的人類生命處于危險(xiǎn)之中。有專家預(yù)測(cè),到2025年,將有750億個(gè)聯(lián)網(wǎng)的loT設(shè)備運(yùn)行不安全的嵌入式固件,從而導(dǎo)致全世界不確定數(shù)量的的關(guān)鍵系統(tǒng)和數(shù)據(jù)有可能被泄露。
黑客攻擊的過(guò)程主要分為以下幾個(gè)階段:
①偵察跟蹤階段
主要是發(fā)現(xiàn)確認(rèn)目標(biāo),收集目標(biāo)網(wǎng)絡(luò)、服務(wù)狀態(tài)、相關(guān)人員電子郵件、社交信任關(guān)系,確定入侵可能的渠道。
②武器構(gòu)建階段
主要是創(chuàng)建用于攻擊的武器,比如郵件中的惡意代碼附件、假冒網(wǎng)站或網(wǎng)站掛馬、遠(yuǎn)程控制通信服務(wù)器等。
③突防利用與安裝植入階段
主要是利用系統(tǒng)或網(wǎng)絡(luò)漏洞、管理機(jī)制漏洞、人性弱點(diǎn)等將惡意代碼投遞到內(nèi)部目標(biāo),獲得對(duì)系統(tǒng)的控制權(quán)。
④通信控制與達(dá)成目標(biāo)階段
主要是與外部黑客遠(yuǎn)程控制服務(wù)器進(jìn)行連接,周期性的確認(rèn)其存活狀態(tài),接受指數(shù)據(jù)竊取、信息收集、破壞等最終任務(wù)。
黑客的攻擊成功主要還是基于我們目前靜態(tài)的、被動(dòng)式防御體系的薄弱點(diǎn),傳統(tǒng)的安全防護(hù)體系已經(jīng)逐漸不能適應(yīng)外部攻擊防護(hù)的需要。如何構(gòu)建新一代安全防護(hù)體系成了當(dāng)前的緊急工程。
二、構(gòu)建數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全防護(hù)體系
為了構(gòu)建數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全防護(hù)體系,傳統(tǒng)的應(yīng)急式安全響應(yīng)中心將轉(zhuǎn)變?yōu)槌掷m(xù)安全響應(yīng)中心。將從前的Policy 策略、Protect 防護(hù)、Detect 檢測(cè)、Response 響應(yīng)四個(gè)階段組成的PPDR 安全防護(hù)體系轉(zhuǎn)變?yōu)橐訥artner 最新提出以Predict 預(yù)測(cè)、Protect 防護(hù)、Detect 檢測(cè)、Response 響應(yīng)四個(gè)階段組成的新PPDR 閉環(huán)的PPDR 安全防護(hù)體系,并且在不同階段引入威脅情報(bào)、大數(shù)據(jù)分析、機(jī)器學(xué)習(xí)、云防護(hù)等新技術(shù)和服務(wù),從而真正構(gòu)建一個(gè)能進(jìn)行持續(xù)性威脅響應(yīng)、智能化、協(xié)同化的自適應(yīng)安全防護(hù)體系。
預(yù)測(cè)階段
該階段的目標(biāo)是獲得一種攻擊“預(yù)測(cè)能力”,可從外部威脅情報(bào)中學(xué)習(xí),以主動(dòng)鎖定對(duì)現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊,并對(duì)漏洞劃定優(yōu)先級(jí)和定位。該情報(bào)將反饋到防護(hù)階段和檢測(cè)功能,從而構(gòu)成整個(gè)威脅處理流程的閉環(huán)。這里面有兩個(gè)關(guān)鍵要素:一是威脅情報(bào)本身;二是對(duì)威脅情報(bào)的利用。
所謂威脅情報(bào),是指一組基于證據(jù)的描述威脅的關(guān)聯(lián)信息,包括威脅相關(guān)的環(huán)境信息、手法機(jī)制、指標(biāo)、影響以及行動(dòng)建議等。可進(jìn)一步分為基礎(chǔ)數(shù)據(jù)、技術(shù)情報(bào)、戰(zhàn)術(shù)情報(bào)、戰(zhàn)略情報(bào)4 個(gè)層次。
基礎(chǔ)數(shù)據(jù), 例如PE 可執(zhí)行程序樣本、netflow 網(wǎng)絡(luò)流數(shù)據(jù)、終端日志、DNS 與whois 記錄等;
技術(shù)情報(bào), 例如惡意遠(yuǎn)程控制服務(wù)器地址、惡意網(wǎng)站、電話、釣魚(yú)郵件地址、惡意代碼HASH 值、修改的特定注冊(cè)表項(xiàng)、系統(tǒng)漏洞、異常賬號(hào)等;
戰(zhàn)術(shù)情報(bào), 包括已發(fā)現(xiàn)的外部攻擊者和目標(biāo)信息、攻擊手段和過(guò)程、可能造成的攻擊影響、應(yīng)急響應(yīng)建議等;
戰(zhàn)略情報(bào), 主要指社會(huì)、經(jīng)濟(jì)和文化動(dòng)機(jī)、歷史攻擊軌跡和目標(biāo)趨勢(shì)、攻擊重點(diǎn)、攻擊組織的技術(shù)能力評(píng)估等。
利用這些情報(bào)成為后續(xù)防護(hù)、檢查和響應(yīng)的基礎(chǔ),我們可以與現(xiàn)有防護(hù)系統(tǒng)充分結(jié)合,自下而上在網(wǎng)絡(luò)、系統(tǒng)、終端、應(yīng)用、業(yè)務(wù)各個(gè)層面進(jìn)行外部攻擊的有效預(yù)防。
相關(guān)資料顯示,65%的企業(yè)和政府機(jī)構(gòu)計(jì)劃使用外部威脅情報(bào)服務(wù)增強(qiáng)安全檢測(cè)和防護(hù)能力。威脅情報(bào)的引入,是從被動(dòng)式防護(hù)專向主動(dòng)式預(yù)防的重要基石。
安全防護(hù)階段
該階段的目標(biāo)是通過(guò)一系列安全策略集、產(chǎn)品和服務(wù)可以用于防御攻擊。
這個(gè)方面的關(guān)鍵目標(biāo)是通過(guò)減少被攻擊面來(lái)提升攻擊門(mén)檻,并在受影響前攔截攻擊動(dòng)作,主要分為加固與隔離、漏洞與補(bǔ)丁管理、轉(zhuǎn)移攻擊等三個(gè)方面。
加固與隔離方面,大部分企業(yè)在系統(tǒng)、網(wǎng)絡(luò)及終端方面進(jìn)行了大量的投入和系統(tǒng)建設(shè),包括使用防火墻、VLAN 等對(duì)不同網(wǎng)絡(luò)安全區(qū)域進(jìn)行隔離和訪問(wèn)策略控制,終端的802.1x 準(zhǔn)入控制與隔離,各類系統(tǒng)、網(wǎng)絡(luò)設(shè)備的安全補(bǔ)丁以及安全配置加固。
漏洞與補(bǔ)丁管理方面,盡管大多數(shù)企業(yè)都引入了漏洞掃描工具,并建立了漏洞發(fā)現(xiàn)、分析、補(bǔ)丁修復(fù)的完整工作機(jī)制,但漏洞與補(bǔ)丁管理最容易在兩個(gè)方面產(chǎn)生疏漏,一是漏洞情報(bào)獲取的滯后,二是設(shè)備資產(chǎn)梳理不清。非常容易導(dǎo)致信息安全的木桶效應(yīng),即一塊短板導(dǎo)致整個(gè)防線崩潰。
轉(zhuǎn)移攻擊方面,簡(jiǎn)單來(lái)說(shuō),該功能可是企業(yè)在黑客攻防中獲得時(shí)間上的非對(duì)稱優(yōu)勢(shì),通過(guò)蜜罐、系統(tǒng)鏡像與隱藏等多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞,以及隱藏、混淆系統(tǒng)接口和系統(tǒng)信息。
此項(xiàng)技術(shù)對(duì)于研究攻擊者手法、檢測(cè)防護(hù)系統(tǒng)不足甚至刻畫(huà)黑客的攻擊畫(huà)像等都十分有利,但考慮到該類技術(shù)的應(yīng)用場(chǎng)景復(fù)雜性,引入時(shí)應(yīng)考慮更加全面充分。
安全檢測(cè)階段
該階段的主要目標(biāo)是及時(shí)發(fā)現(xiàn)各類外部直接的或潛伏的攻擊。在這個(gè)階段是傳統(tǒng)安全防護(hù)體系中,各個(gè)企業(yè)投入大且最為依賴的部分,因此也是構(gòu)建數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全防護(hù)架構(gòu)最需要做出改變的階段。
一是從傳統(tǒng)的只重視邊界流量(如互聯(lián)網(wǎng)與第三方入口的IPS)的安全檢測(cè),發(fā)展為全流量檢測(cè)或至少具備任一網(wǎng)絡(luò)關(guān)鍵路徑流量的檢測(cè)能力,因?yàn)楣粽卟豢杀苊獾貢?huì)繞過(guò)傳統(tǒng)的攔截和預(yù)防機(jī)制,一旦進(jìn)入內(nèi)部傳統(tǒng)的檢測(cè)防護(hù)機(jī)制就難以發(fā)現(xiàn)。
二是從靜態(tài)的基于特征碼的檢測(cè),如目前的IPS、防病毒、WAF 等,發(fā)展到基于異常的動(dòng)態(tài)檢測(cè),正如前面提到的,很多APT 攻擊者利用的是0day 漏洞或者利用經(jīng)過(guò)多態(tài)和變形的惡意代碼進(jìn)行攻擊,無(wú)法被傳統(tǒng)基于特征碼的檢測(cè)手段發(fā)現(xiàn),但通過(guò)異常行為分析是有可能發(fā)現(xiàn)的。
目前業(yè)界主要通過(guò)進(jìn)入沙箱檢測(cè)技術(shù),將網(wǎng)絡(luò)、終端、郵件等系統(tǒng)中獲取到的可執(zhí)行文件等在沙箱環(huán)境運(yùn)行,并觀察相關(guān)進(jìn)程創(chuàng)建或調(diào)用、文件或資源訪問(wèn)行為、注冊(cè)表修改等是否存在異常。
安全響應(yīng)階段
該階段的目標(biāo)是一旦外部攻擊被識(shí)別,將迅速阻斷攻擊、隔離被感染系統(tǒng)和賬戶,防止進(jìn)一步破壞系統(tǒng)或擴(kuò)散。
常用的隔離能力包括,終端隔離、網(wǎng)絡(luò)層IP 封禁與隔離、系統(tǒng)進(jìn)程、賬戶凍結(jié)、應(yīng)用層阻斷和主動(dòng)拒絕響應(yīng)等。這些響應(yīng)措施在新一代數(shù)據(jù)驅(qū)動(dòng)的自適應(yīng)安全防護(hù)體系中最重要的目標(biāo)是能夠跟基于大數(shù)據(jù)的安全檢測(cè)系統(tǒng)進(jìn)行有效對(duì)接,自動(dòng)根據(jù)檢測(cè)結(jié)果進(jìn)行觸發(fā)或者提示人工判斷后自動(dòng)觸發(fā)。
因此,在建立下一代安全防護(hù)體系過(guò)程中,必須把響應(yīng)階段與安全檢測(cè)階段一體化考慮。同時(shí),在做好自身的響應(yīng)準(zhǔn)備時(shí)還要充分考慮外部服務(wù)商、合作方的共同應(yīng)急響應(yīng)或風(fēng)險(xiǎn)傳導(dǎo)控制。
三、結(jié)語(yǔ)
APT攻擊問(wèn)題日益凸顯,數(shù)據(jù)安全防護(hù)體系需要不斷感知安全形勢(shì),傳統(tǒng)靜態(tài)防御技術(shù)體系和應(yīng)急式威脅響應(yīng)防護(hù)不斷加強(qiáng),建立全方位的網(wǎng)絡(luò)安全防御體系,加快保護(hù)信息安全,保障網(wǎng)絡(luò)安全。
網(wǎng)頁(yè)標(biāo)題:網(wǎng)絡(luò)攻擊防護(hù)體系發(fā)展趨勢(shì)與建設(shè)思路
文章出自:http://jinyejixie.com/news5/270405.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站內(nèi)鏈、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站營(yíng)銷、App開(kāi)發(fā)、定制網(wǎng)站、軟件開(kāi)發(fā)
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容