《APT攻击介绍》PPT课件.pptx
《《APT攻击介绍》PPT课件.pptx》由会员分享,可在线阅读,更多相关《《APT攻击介绍》PPT课件.pptx(23页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、APT攻击介绍目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍什么是APT高级持续性威胁(AdvancedPersistentThreat,APT),APT(高级持续性渗透攻击)是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽的攻击每一个特定目标,不做其他多余的活动来打草惊蛇。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT攻击阶段划分APT攻击可划分为以下6个阶段:情报搜集情报搜集
2、首次突破防线首次突破防线幕后操纵通讯幕后操纵通讯横向横向移动移动资产资产 /资料发掘资料发掘资料外传资料外传情报收集黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究,然后开发出客制化攻击。这个阶段 是黑客信息收集阶段,其可以通过搜索引擎,配合诸如爬网系统,在网上搜索需要的信息,并通过过滤方式筛选自己所需要的信息;信息的来源很多,包括社交网站,博客,公司网站,甚至通过一些渠道购买相关信息(如公司通讯录等)首次突破防线黑客在确定好攻击目标后,将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括:电子邮件;即时通讯;网站挂马;通过社会工程学
3、手段欺骗企业内部员工下载或执行包含零日漏洞的恶意软件(一般安全软件还无法检测),软件运行之后即建立了后门,等待黑客下一步操作。幕后操纵通讯黑客在感染或控制一定数量的计算机之后,为了保证程序能够不被安全软件检测和查杀,会建立命令,控制及更新服务器(C&C服务器),对自身的恶意软件进行版本升级,以达到免杀效果;同时一旦时机成熟,还可以通过这些服务器,下达指令。采用http/https标准协议来建立沟通,突破防火墙等安全设备;C&C服务器会采用动态迁移方式来规避企业的封锁黑客会定期对程序进行检查,确认是否免杀,只有当程序被安全软件检测到时,才会进行版本更新,降低被IDS/IPS发现的概率;横向移动黑
4、客入侵之后,会尝试通过各种手段进一步入侵企业内部的其他计算机,同时尽量提高自己的权限。黑客入侵主要利用系统漏洞方式进行;企业在部署漏洞防御补丁过程存在时差,甚至部分系统由于稳定性考虑,无法部署相关漏洞补丁在入侵过程中可能会留下一些审计报错信息,但是这些信息一般会被忽略。资产 /资料发掘在入侵进行到一定程度后,黑客就可以接触到一些敏感信息,可通过C&C服务器下发资料发掘指令:采用端口扫描方式获取有价值的服务器或设备;通过列表命令,获取计算机上的文档列表或程序列表;资料外传一旦搜集到敏感信息,这些数据就会汇集到内部的一个暂存服务器,然后再整理、压缩,通常并经过加密,然后外传。资料外传同样会采用标准
5、协议(http/https,SMTP等)信息泄露后黑客再更具信息进行分析识别,来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT防御的建议情报收集阶段:在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。内部教育:教育员工有关在社交网络上公开太多信息的风险,尤其是工作相关的信息。小心谨慎 切勿在公开的个人网页上透露自己的个人和工作信息。保持警戒 社交网络缺乏面对面接触的特性,很容易让人卸下心防,因而透露一些平常不会透露给陌生人的讯息。提防小人 因特网上遇到的人,很可能不是他们看起来的样子。公司
6、政策:封锁社交网站或许不是解决此问题的最佳办法。不过,订定一些有关社交网络使用方式的公司政策并加强倡导,将有助于大幅降低锁定目标攻击的风险。首次突破防线防御针对黑客的首次突破,可采用以下方式进行防御寻找遭到渗透的寻找遭到渗透的迹象迹象大多数 APT攻击都是使用鱼叉式网络钓鱼。因此,检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件,就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。安全弱点安全弱点评估评估发掘并修补对外网站应用程序和服务的漏洞。内部内部教育教育教育员工有关鱼叉式网络钓鱼的攻击手法,要员工小心可疑电子邮件、小心电子邮件内随附的链接与附
7、件档案。幕后操纵通讯防御针对存在的幕后操纵通讯,可采用以下措施进行检测和防御监控网络流量是否出现幕后操纵监控网络流量是否出现幕后操纵通讯通讯建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施,有助于企业发掘遭到入侵的主机,并且切断这类通讯。识别判断攻击识别判断攻击者幕后操纵服务器的者幕后操纵服务器的通讯通讯企业可在沙盒隔离环境(sandbox)当中分析内嵌恶意软件的文件(如鱼叉式网络钓鱼电子邮件的附件)来判断幕后操纵服务器的 IP地址和网域。更新网关安全更新网关安全政策截幕后通讯政策截幕后通讯一旦找出幕后操纵服务器的网域和 IP地址,就可更新网关的安全政策来拦截后续的幕后操纵通讯。横
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- APT攻击介绍 APT 攻击 介绍 PPT 课件
限制150内