欢迎来到淘文阁 - 分享文档赚钱的网站! | 帮助中心 好文档才是您的得力助手!
淘文阁 - 分享文档赚钱的网站
全部分类
  • 研究报告>
  • 管理文献>
  • 标准材料>
  • 技术资料>
  • 教育专区>
  • 应用文书>
  • 生活休闲>
  • 考试试题>
  • pptx模板>
  • 工商注册>
  • 期刊短文>
  • 图片设计>
  • ImageVerifierCode 换一换

    《APT攻击介绍》PPT课件.pptx

    • 资源ID:64394739       资源大小:870.14KB        全文页数:23页
    • 资源格式: PPTX        下载积分:20金币
    快捷下载 游客一键下载
    会员登录下载
    微信登录下载
    三方登录下载: 微信开放平台登录   QQ登录  
    二维码
    微信扫一扫登录
    下载资源需要20金币
    邮箱/手机:
    温馨提示:
    快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。
    如填写123,账号就是123,密码也是123。
    支付方式: 支付宝    微信支付   
    验证码:   换一换

     
    账号:
    密码:
    验证码:   换一换
      忘记密码?
        
    友情提示
    2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
    3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
    4、本站资源下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
    5、试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。

    《APT攻击介绍》PPT课件.pptx

    APT攻击介绍目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍什么是APT高级持续性威胁(AdvancedPersistentThreat,APT),APT(高级持续性渗透攻击)是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽的攻击每一个特定目标,不做其他多余的活动来打草惊蛇。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT攻击阶段划分APT攻击可划分为以下6个阶段:情报搜集情报搜集首次突破防线首次突破防线幕后操纵通讯幕后操纵通讯横向横向移动移动资产资产 /资料发掘资料发掘资料外传资料外传情报收集黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究,然后开发出客制化攻击。这个阶段 是黑客信息收集阶段,其可以通过搜索引擎,配合诸如爬网系统,在网上搜索需要的信息,并通过过滤方式筛选自己所需要的信息;信息的来源很多,包括社交网站,博客,公司网站,甚至通过一些渠道购买相关信息(如公司通讯录等)首次突破防线黑客在确定好攻击目标后,将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括:电子邮件;即时通讯;网站挂马;通过社会工程学手段欺骗企业内部员工下载或执行包含零日漏洞的恶意软件(一般安全软件还无法检测),软件运行之后即建立了后门,等待黑客下一步操作。幕后操纵通讯黑客在感染或控制一定数量的计算机之后,为了保证程序能够不被安全软件检测和查杀,会建立命令,控制及更新服务器(C&C服务器),对自身的恶意软件进行版本升级,以达到免杀效果;同时一旦时机成熟,还可以通过这些服务器,下达指令。采用http/https标准协议来建立沟通,突破防火墙等安全设备;C&C服务器会采用动态迁移方式来规避企业的封锁黑客会定期对程序进行检查,确认是否免杀,只有当程序被安全软件检测到时,才会进行版本更新,降低被IDS/IPS发现的概率;横向移动黑客入侵之后,会尝试通过各种手段进一步入侵企业内部的其他计算机,同时尽量提高自己的权限。黑客入侵主要利用系统漏洞方式进行;企业在部署漏洞防御补丁过程存在时差,甚至部分系统由于稳定性考虑,无法部署相关漏洞补丁在入侵过程中可能会留下一些审计报错信息,但是这些信息一般会被忽略。资产 /资料发掘在入侵进行到一定程度后,黑客就可以接触到一些敏感信息,可通过C&C服务器下发资料发掘指令:采用端口扫描方式获取有价值的服务器或设备;通过列表命令,获取计算机上的文档列表或程序列表;资料外传一旦搜集到敏感信息,这些数据就会汇集到内部的一个暂存服务器,然后再整理、压缩,通常并经过加密,然后外传。资料外传同样会采用标准协议(http/https,SMTP等)信息泄露后黑客再更具信息进行分析识别,来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT防御的建议情报收集阶段:在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。内部教育:教育员工有关在社交网络上公开太多信息的风险,尤其是工作相关的信息。小心谨慎 切勿在公开的个人网页上透露自己的个人和工作信息。保持警戒 社交网络缺乏面对面接触的特性,很容易让人卸下心防,因而透露一些平常不会透露给陌生人的讯息。提防小人 因特网上遇到的人,很可能不是他们看起来的样子。公司政策:封锁社交网站或许不是解决此问题的最佳办法。不过,订定一些有关社交网络使用方式的公司政策并加强倡导,将有助于大幅降低锁定目标攻击的风险。首次突破防线防御针对黑客的首次突破,可采用以下方式进行防御寻找遭到渗透的寻找遭到渗透的迹象迹象大多数 APT攻击都是使用鱼叉式网络钓鱼。因此,检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件,就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。安全弱点安全弱点评估评估发掘并修补对外网站应用程序和服务的漏洞。内部内部教育教育教育员工有关鱼叉式网络钓鱼的攻击手法,要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。幕后操纵通讯防御针对存在的幕后操纵通讯,可采用以下措施进行检测和防御监控网络流量是否出现幕后操纵监控网络流量是否出现幕后操纵通讯通讯建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施,有助于企业发掘遭到入侵的主机,并且切断这类通讯。识别判断攻击识别判断攻击者幕后操纵服务器的者幕后操纵服务器的通讯通讯企业可在沙盒隔离环境(sandbox)当中分析内嵌恶意软件的文件(如鱼叉式网络钓鱼电子邮件的附件)来判断幕后操纵服务器的 IP地址和网域。更新网关安全更新网关安全政策截幕后通讯政策截幕后通讯一旦找出幕后操纵服务器的网域和 IP地址,就可更新网关的安全政策来拦截后续的幕后操纵通讯。横向移动防护针对APT攻击的横向移动,可采取以下措施进行防护漏洞漏洞防护防护漏洞防护是一种主机式技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机,防止已知和零时差(zero-day)漏洞攻击。档案档案/系统一致性系统一致性监控监控黑客有可能留下一些蛛丝马迹,如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件,黑客有可能也会触动一些警示。限制并监控使用者存取与权限的限制并监控使用者存取与权限的使用使用黑客常用的一种手法是,搜集技术支持系统管理员的登入信息,因为他们经常要权限较高的账号来登入出现问题的端点系统/主机。将系统管理员的访问权限与关键系统/数据的访问权限分开,能有效预防黑客透过端点上的键盘侧录程序搜集高权限的账号登入信息。运用安全信息与事件管理运用安全信息与事件管理 (SecurityInformation&EventsManagement,简称,简称 SIEM)工具来工具来辅助记录文件辅助记录文件 /事件事件分析分析对网络上的事件进行交叉关联分析,有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多,就可能是问题的征兆。资产 /资料发掘防御针对APT对内部资料进行挖掘和探测的防御,可采用以下防护措施:运用安全信息与事件管理运用安全信息与事件管理 (SecurityInformation&EventsManagement,简称,简称 SIEM)工具来工具来辅助记录文件辅助记录文件 /事件事件分析分析对网络上的事件进行交叉关联分析,有助于企业发掘潜在的黑客渗透与横向移动行为。单一事件或个案本身虽不具太大意义。但如果数量一多,就可能是问题的征兆。漏洞漏洞防护防护漏洞防护是一种主机式技术,能侦测任何针对主机漏洞的攻击并加以拦截,进而保护未修补的主机。这类解决方案可保护未套用修补程序的主机,防止已知和零时差(zero-day)漏洞攻击。档案档案 /系统一致性系统一致性监控监控黑客有可能留下一些蛛丝马迹,如果系统安装了能够侦测可疑与异常系统与组态变更的一致性监控软件,黑客有可能也会触动一些警示。资料外传防护针对资料外传的风险,一般可采用以下措施进行防护:加密和资料外泄防护加密和资料外泄防护 (DLP)将关键、敏感、机密的数据加密,是降低数据外泄风险的一种方法DLP可提供一层额外的防护来防止数据外泄。然而,这类工具通常很复杂,而且有些部署条件,例如:数据要分类,要定义政策和规则。事件事件管理制度建立管理制度建立制定一套事件管理计划来处理 APT相关攻击。针对 APT的每一个攻击阶段清楚定义并实行因应计划,包括:评估、监控与矫正。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍典型案例Google极光攻击极光攻击:2010年的GoogleAurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月,攻击者持续监听并最终获成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息,并且造成各种系统的数据被窃取。RSASecurID窃取攻击:窃取攻击:2011年3月,EMC公司下属的RSA公司遭受入侵,公司关键技术及客户资料被窃取。而此次APT攻击就是利用了Adobe的0day漏洞植入臭名昭著的PoisonIvy远端控制工具在受感染客户端,并开始自僵尸网络的命令控制服务器下载指令进行任务。超级工厂病毒攻击(震网攻击):超级工厂病毒攻击(震网攻击):超级工厂病毒的攻击者并没有广泛的去传播病毒,通过特别定制的未知恶意程序感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种0day一点一点的进行破坏。韩国黑客入侵事件韩国黑客入侵事件:2013年3月20,韩国多家银行与其国内三大电视台大量计算机出现无法开机的问题,受影响计算机超过3万台,韩国花费超过3天以上时间才恢复正常运行。Google极光攻击1.搜集Google员工在Facebook、Twitter等社交网站上发布的信息;2.利用动态DNS供应商建立托管伪造照片网站的Web服务器,Google员工收到来自信任的人发来的网络链接并且点击,含有shellcode的JavaScript造成IE浏览器溢出,远程下载并运行程序;3.通过SSL安全隧道与受害人机器建立连接,持续监听并最终获得该雇员访问Google服务器的帐号密码等信息;4.使用该雇员的凭证成功渗透进入Google邮件服务器,进而不断获取特定Gmail账户的邮件内容信息。RSASecurID窃取攻击1.攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件,附件名为“2011Recruitmentplan.xls”;2.在拿到SecurID信息后,攻击者开始对使用SecurID的公司展开进一步攻击。3.其中一位员工将其从垃圾邮件中取出来阅读,被当时最新的 AdobeFlash的0day漏洞(CVE-2011-0609)命中;4.该员工电脑被植入木马,开始从BotNet的C&C服务器下载指令执行任务;5.首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;6.RSA发现开发用服务器(Stagingserver)遭入侵,攻击方立即撤离,加密并压缩所有资料并以FTP传送至远程主机,随后清除入侵痕迹;韩国黑客入侵事件根据韩国最终发布的分析报告认为,此次攻击持续时间长达8个月,从最初的入侵到最后爆发,黑客先后在韩国计算机中植入了76中恶意程序,其中9中具有破坏性,其余主要用于监控,扫描,入侵使用。是一起典型的APT攻击行为。4月韩国发布的最终受影响计算机数量由之前的3万2千台上升至4万8千台。

    注意事项

    本文(《APT攻击介绍》PPT课件.pptx)为本站会员(赵**)主动上传,淘文阁 - 分享文档赚钱的网站仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知淘文阁 - 分享文档赚钱的网站(点击联系客服),我们立即给予删除!

    温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。




    关于淘文阁 - 版权申诉 - 用户使用规则 - 积分规则 - 联系我们

    本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知淘文阁网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

    工信部备案号:黑ICP备15003705号 © 2020-2023 www.taowenge.com 淘文阁 

    收起
    展开