APT (Advanced Persistent Threat高级可延续威胁)是时下比较热点的安然话题,也是很具有威胁的收集报复打击之一。这类目标性很强的报复打击行动具有着高度的暗藏性,专业性及埋没性。可以针对特定对象,持久有打算有组织的盗取奥秘数据,可以对企业,国度,造成重大年夜的损掉。
先来回顾一下比来产生的一些APT的经典案例:针对谷歌等高科技公司的极光报复打击:经由过程谷歌一个员工电脑,获得了GMAIL系统中良多敏感用户的拜候权限;针对RSA盗取SECURID的令牌报复打击,是经由过程发送一封附件带有FLASH 0day的电子邮件,获得了财务一名员工的系统权限,慢慢渗入,盗取了SECURID令牌种子;而针对伊朗核电站的震网报复打击则是操纵了USB移动设备报复打击到了物理隔离的收集等等。可见,APT报复打击常常会报复打击到安然系统中的最亏弱环节,而这刚好也验证了安然理论中的木桶原则。
那么针对视频中的MI6被进侵这个案例(http://netsecurity.51cto.com/secu/007_APT/),若何做到有效的防御,我小我觉得需要从时候及事务的进度进行划分。在划分的每个阶段,进行防御。
从时候上划分,分为事前,事中,过后三个阶段。起首是事前阶段,在这一阶段,需要做的工作是很是多的,不外我觉得起首需要肯定核心的奥秘数据。针对核心的数据进行呵护,肯定安然区域,同时并做好响应的基线(BASELINE)成立工作。例如收集流量,系统登录准确弊端频率,对关头系统的拜候频率等等。并成立好具有必然防护能力的收集。一般来讲,收集大年夜体味分为以下三层:核心层,会聚层和接进层。以下图所示:
核心层一般与INTERNET直接连接,是以需要摆设收集IPS,对内网与INTERNET之间的数据交互进行查抄,以便及时发现歹意的流量或报复打击。而会聚层以办事器占多数,是以需要建设主机IDS,针对主机的所产生的异常行动事务进行报警。别的也能够摆设蜜罐这类手艺,也可能会遭到一些不错的结果。而接进层则大年夜多为工作人员的PC机,是以,需要对这些PC机安装杀毒软件及主机IDS,并且进行建设响应的准进策略。以避免从内部攻下全部安然系统。一样,日记汇集阐发及事务联系关系系统也能够摆设在收集中,以便对整体收集进行集中阐发。加进安然设备的对应图示为:
别的,更首要的一点,便是三分手艺,七分治理,可以从上面的APT例子看出,报复打击都是因为员工的一些安然意识不足而产生的,是以,加强员工的安然意识教育也是很是有需要的。事中阶段,如视频中演示的一样,当已检测到有(APT)报复打击时,这个时辰便是与黑客在时候上的竞走,当然,作为内部安然人员,会比较体味内部的收集环境,但对暗藏时候很长的黑客来讲,也可能一样体味,也变掉往了比匹敌通俗黑客报复打击的一个优势,是以需要的便是及时响应,这也需要事前预备与多次练习训练。做到及时堵截报复打击源,乃至对核心资本的拜候。需要有多条备份系统及链路,包管可以从多渠道进行,而不是像视频中只能眼看着系统遭到粉碎。同时也能够站在黑客的角度,阐发黑客的念头及轨迹。过后阶段,只有评估损掉,进行总结阐发,发现不足,以避免下次蒙受一样报复打击。事实谁也不希看当过后诸葛亮。
那么从事务的进度来划分,我针对视频中的事务画了一张猜想图。
在每个阶段,都可以做一些工作来预防,好比,对员工进行安然教育,对系统进行安然加固,安装对应的杀毒软件与IDS,当已冲破了第一道防地后,黑客在进行对其他办事器进行扫描和盗取数据时,必将会产生一些蛛丝马迹,阐发这些蛛丝马迹,需要有IDS及响应的流量阐发系统完成,同时,我们可以针对数据进行加密或对文件系统进行改变,使其看得见,拿不到,拿获得,用不了。最后,当黑客试图将这些数据进行转移,也会对收集流量产生必然的波动,或即便不产生波动,也能够对核心文件进行基于MD5签名等手艺,在发现收集中不该该产生这类MD5签名的流量中发现了也能够肯定产生了数据丢掉标题问题。是以,在每个环节,均做好对应的防御,则也能够对APT 起到必然的防御感化。以下图所示:
综上,便是我针对MI6中呈现的APT报复打击所采取的部门解决方案。当然APT报复打击千变万化,如人身体的恶性肿瘤一般暗藏在收集内部,想完全防御APT 除需要足够的手艺撑持外,还需要完美的系统轨制,层次的防御系统,几近无裂痕的安然系统,像一个对峙熬炼,身体健康的免疫力强的健康人一样,使报复打击者无处下手,无处躲躲。同时我们也能够想象到,在一个大年夜型的收集内部,每日的信息及事务告警量也会良多,若何将这些海量日记进行系统阐发,从平分手出有效的信息,这也考验了内部安然人员灵敏的不雅察能力与阐发细节及蛛丝马迹的洞察力,同时也需要必然的实践经验。别的,鉴于篇幅标题问题,还没有针对时下比较风行的无线收集,和移动设备安然标题问题进行申明,但其实不代表可以忽视掉落这部门。这部门也应当作为安然考虑的首要环节。
总之,需要防备APT,要考虑到各个方面,不克不及给黑客留下任何的死角,亦要动态和静态相连络的编制,当然很难,但却没法避免。假定一旦忽视了一个小细节,变可能会使全部防御系统变成马其诺防地。是以防备APT---任重而道远。