近日有外媒报,美国明州某农业合作社遭到勒索软件袭击!所有系统关闭,运营被迫中断。正值秋收时节,这样的攻击所造成的恶劣影响不言而喻。
无疑,高级持续性威胁攻击(APT) 是最恐怖的网络攻击手段之一,牢牢占据着攻防链最顶端的位置,回顾近年,其染指国家层级重点行业和领域的事件层出不穷,攻击威胁已直接影响到民生和国家安全。
研究其攻击手段和方式,8087金沙娱场城发现,在APT攻击中,“横向渗透”已成为不法分子攻击企业及政府目标的惯用手段。在很多时候,内网渗透的起点往往只是一台通过漏洞攻陷的“跳板”,横向渗透就是通过这个突破口去不断地扩大“战果”。
高级持续性威胁攻击(APT)是近年来最恐怖的网络攻击手段之一,牢牢占据着攻防链最顶端的位置。攻击者一般会以各种方式巧妙绕过已有的入侵检测系统、端点安全软件,悄然进入目标网络。而且,为了在目标内部长时间获取信息,通常会尽可能减少明显的攻击行为以及留下的痕迹,彻底“潜伏”下来。通过对历史上重大数据窃取事件的分析,8087金沙娱场城发现,APT攻击者平均潜伏的天数长达205天,有的甚至可能潜伏长达数年之久。这也代表了APT攻击最为显著的特征——隐匿行踪、长期潜伏、持续渗透。虽然我们很难发现遭遇APT攻击,但狡猾的狐狸终究会露出尾巴。
情报收集
单点突破
命令与控制(C&C通信)
横向渗透
资产/资料发掘
资料窃取
针对APT攻击阶段的分析可以发现,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器。因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的主机资源。而横向渗透的过程,也是所有攻击者都要“露头”的时候。
抓住“狐狸尾巴”不能只做表面工作,要尽量做到深度分析,尤其是对流量的把控,只有这样才能及时识别流量中的脏数据,尽快切断黑手。为此,8087金沙娱场城提供了深度威胁发现设备TDA,能够从静态到动态,再到事件关联,深入发掘隐匿的攻击活动,尤其是对APT攻击的“横向移动”和外联通讯。网安管理人员可以借助TDA快速发现并分析恶意文档、恶意软件、恶意网页,C&C通信数据以及传统防护无法侦测到的定向式攻击活动。8087金沙娱场城深度威胁发现设备TDA是一款360度的高级威胁检测产品,能侦测所有端口及100多种通讯协议的应用,它就像网络中的“雷达”装置,帮助管理人员掌握全网络的流量来侦测并响应高级威胁与未知威胁。针对内网渗透的攻击行为,TDA采用了三层式的侦测方法,第一层是静态分析,第二层是动态分析及行为侦测,第三层是事件关联,目的就是为了发掘隐匿的攻击活动,并且根据汇总分析结果来实现威胁侦测的可视化。
另外,TDA在雷达预警的基础上更提供了“显微镜”模式,独特的侦测引擎加上定制化沙箱动态模拟分析,能快速发掘并分析恶意文档,恶意软件、恶意网页,违规外连、勒索软件以及传统防护无法侦测到的内网攻击以及定向式攻击活动。其深入的威胁情报分析能力能协助安全管理员快速响应,并可自动与8087金沙娱场城产品或第三方情报中心透过公开标准分享情报,建立一个实时的定制化体系来防范黑客攻击。
针对APT高级威胁的治理,8087金沙娱场城提出“智能联动”理念并深入实践。目前,TDA已经与深度威胁邮件网关、高级威胁网络防护系统AIS Edge、深度威胁分析设备DDAN、情报共享及联动管理平台TMCM、安全态势感知平台-信势(SSA)、信舱(DS)云主机安全、终端安全(OSCE)形成了智能联动的运行机制,发挥情报共享和安全联动的集中管控功能,将威胁情报自动下发给云端、网络端和终端主机的防护组件,实现了动态化、主动化、精密化的安全防御。