如何找到APT攻击的“脉门”?

栏目: 编程工具 · 发布时间: 5年前

内容简介:近段时间比特币、以太币等数字货币币值出现了大幅降低,但并不意味着网络不法分子就会放弃这块“肥肉”。据国外媒体报道,普林斯顿大学的计算机科学教授Arvind Narayanan评估,比特币挖矿每天耗掉5吉瓦的电力,接近全球耗电量的1%。然而,这其中并不包括隐形的“挖矿病毒”,作为吞噬PC资源的“大户”,挖矿病毒通过控制PC的处理器、显卡等硬件,执行高负载的挖矿计算脚本来进行挖矿。挖矿病毒的风险还在于,其目的并非局限在窃取PC的计算能力方面,而是会利用自己善于隐匿的优势,为威胁更大的APT攻击预留了空间。

近段时间比特币、以太币等数字货币币值出现了大幅降低,但并不意味着网络不法分子就会放弃这块“肥肉”。

据国外媒体报道,普林斯顿大学的计算机科学教授Arvind Narayanan评估,比特币挖矿每天耗掉5吉瓦的电力,接近全球耗电量的1%。然而,这其中并不包括隐形的“挖矿病毒”,作为吞噬PC资源的“大户”,挖矿病毒通过控制PC的处理器、显卡等硬件,执行高负载的挖矿计算脚本来进行挖矿。

挖矿病毒的风险还在于,其目的并非局限在窃取PC的计算能力方面,而是会利用自己善于隐匿的优势,为威胁更大的APT攻击预留了空间。

如何找到APT攻击的“脉门”?

雷锋网宅客频道在不久前亚信安全举办的高级威胁治理10年暨XDR战略发布会上和亚信安全通用产品管理副总经理刘政平聊了聊。

如何找到APT攻击的“脉门”?

APT攻击之变

刘政平打趣自己看电影只看有外星人的,出差路上就在看X战警,为什么?因为外星人代表未知。

而APT实际上也代表了一种未知。

如何找到APT攻击的“脉门”?

刘政平

时间倒回至2001年,红色代码病毒爆发,大批计算机宕机,程序员们彻夜重装系统。此后,数据库入侵事件层出不穷,利用漏洞进行蠕虫化传播的病毒种类愈发壮大,如振荡波、冲击波等等。

其中,被作为里程碑的就是间谍软件的诞生。其开启了黑产的商业模式,黑客攻击开始从炫技走向利益。无论是网页威胁、定向攻击、移动端攻击还是现在的勒索病毒攻击,你会发现原来APT的威力那么巨大,如果水利系统、发电系统、能源系统,包括飞机的飞控系统等被APT入侵,产生的威胁非常巨大。

除此之外,这些APT攻击隐蔽性越来越强,甚至可以隐藏2-3年不被发现.

黑客们是很狡猾的,刘政平告诉雷锋网 (公众号:雷锋网) ,为了避免被人发现这些拥有资金和人才的黑产团伙会做测试,购买所有主流安全产品、安全技术都部署到自己的实验室,测试发起的APT攻击能不能被检测到。

除了拥有隐身能力,还要有形态变化。大型的银行、保险、券商大型企业受到的APT攻击样本都是不一样的,黑产会做一级处理或是带上“面纱”,总之攻击形态不是一丝不变。

如此一来,企业安全运营中心(SoC平台)十分挠头。一来新威胁层出不穷,无论漏洞类型还是攻击路径,都千奇百怪,防不胜防;其二,安全产品割裂,无整体能力;其三,依靠人力进行安全响应太过被动;其四,安全专家短缺,简直是香饽饽;而最重要的,随着数字化转型带来的业务基础架构变化,包括整个IT架构的变化和出现的移动办公、物联网等,企业攻击界面不断扩大。

此时,重新设防已经挡不住这些威胁了,应该怎么办?

APT攻击之防

遭遇强盗破门而入后最佳反应是什么?第一,分析损失,第二,报警抓人。

对应到企业遭遇APT攻击也是这两步,第一步,内网出现安全事件后用最短时间针对威胁作出分析判断。

在网络环境、虚拟化环境下,需要有事故检测能力,结合黑客行为建立模型和规则,分析其常用手段。就像武侠小说里的江湖门派,每个门派都有自己的武功招式。黑客也是如此,可以根据其独特的攻击手法和特征进行判断。

“当然,更重要的是企业内部能不能建立情报机制。”刘政平说到。

如果安全厂商能帮政府以及一些大型行业用户建立本身的情报机制,会大大提高抗APT的功能。未来云的情报必不可少,这是场景化,行业化的走向。

第二步,需要有应急响应机制。不同场景的响应机制是不一样的,比如商务写字楼与厂房不一样,更需要一个精密编排。

精密编排有三个要素,一个是预案,对于预案来说,需要覆盖不同场景。不一样的黑客攻击手段预案是不一样的,比如零日漏洞攻击和DDoS攻击的预案不一样。

据刘政平透露,准备预案是有“套路”的,大概分“准备、发现、分析、遏制、消除、恢复、优化”7个阶段,准备阶段包括了针对每一种黑客攻击类型的标准预案,自发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、 工具 等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。整个套路类似航空飞机驾驶员面对紧急情况处理机制,必然有一个装满预案的黑匣子。

第二个要素是方法论。安全行业面临一个很浮躁的问题,大家都在卖产品,不重视对知识的沉淀。在此期间可能也培养了很多人,但这些人的经验没有迭代起来。怎么去迭代?把预案写下来,不断去优化它。

第三个要素是工具,一个非常好的工具可以加快分析的速度和方便性。

举个栗子,企业出现APT攻击时候,会触发所有安全产品的相应告警。此时,怎么把噪音去掉找到根源?这就像吃粽子,想要打开粽子需要找到整条线的根结点。对于安全系统来说要把所有行为数据记录下来,这样在发生攻击后才能利用网络层、终端等的数据还原整个攻击过程。

拿挖矿打个比方,最近挖矿事件在国内云平台上,包括主机、数据中心大量出现。因为挖矿本身能挣钱,所以很多黑客会把它的挖矿病毒通过远程方式种在云主机里面。比如向组织内部的员工大量发送精心伪造的垃圾邮件,这些垃圾邮件一般会在附件中植入挖矿相关的恶意代码,并使用具有诱惑力的标题和内容诱惑员工下载并打开。一旦成功侵入,病毒往往会注入系统进程,并读取挖矿配置信息进行挖矿。

这时如何找出这条“泥鳅”?

对于挖矿病毒来说,生存时间是衡量其销量的最重要标准。为了达到这一目标,网络犯罪分子采取的战术策略也在不断演变,更多的是使用了免杀机制。在对抗挖矿病毒的过程中,持续的监察与发现能力至关重要。比如需要对主机资源占用异常现象进行监控,提取相应数据。之后通过算法生成威胁情报并判断是否为挖矿行为,如果是就需要通过态势感知系统调动工具协同响应,最后消除风险。

这整个过程就是亚信安全新一代高级威胁治理战略的精髓,即基于SOAR模型的精密编排的自动化检测及响应-XDR体系,对于时常需要查漏补漏的安全小哥们非常友好了。

“也就是,在不确定的网络安全世界里,寻找一个确定性的方法,帮助用户真正提升网络空间恢复补救的能力。”

写在最后

从因为一名员工点击了即时消息中的恶意链接,导致Google这个搜索引擎巨人被渗透,到伊朗布什尔核电站遭到Stuxnet 蠕虫攻击,再到Target 超市、eBay 、iCloud、索尼影视、Anthem、百货公司Neiman Marcus……通过十年不断的演化发展,APT已经成为最具攻击性、隐蔽性、破坏性的网络威胁。

APT 攻击将会像普通病毒攻击一样普遍。

此时对于安全厂商来说最重要的是什么?可能需要技术上的改变与创新。

雷锋网宅客频道(微信号:letshome),专注先锋科技,讲述黑客背后的故事。

雷锋网原创文章,未经授权禁止转载。详情见 转载须知


以上所述就是小编给大家介绍的《如何找到APT攻击的“脉门”?》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

敏捷教练

敏捷教练

[英] Rachel Davies、[英] Liz Sedley / 徐毅、袁店明 / 清华大学出版社 / 2013-7 / 49.00元

《敏捷教练:如何打造优秀的敏捷团队》取材于国际知名敏捷教练的真实经历,展示了他们在辅导团队进行敏捷实践过程中所积累的辅导技巧,凝聚着他们在对敏捷辅导的真知灼见,每章还针对特定主题总结了在转型过程中教练和团队可能面对的障碍及其应对方案。 《敏捷教练:如何打造优秀的敏捷团队》具有较强的实用性和指导性,适合项目经理、技术总监和敏捷团队的所有成员阅读与参考。一起来看看 《敏捷教练》 这本书的介绍吧!

图片转BASE64编码
图片转BASE64编码

在线图片转Base64编码工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具