移动安全 安全管理 应用案例 网络威胁 系统安全应用安全 数据安全 云安全
当前位置: 主页 > 信息安全 > 应用安全 >

驰名“白帽”方兴 解读APT

时间:2013-11-12 11:50来源:TuZhiJiaMi企业信息安全专家 点击:
近几年,安然威胁产生了很大年夜改变,提到新兴威胁APT报复打击不是甚么新颖事。跟着IT成长,报复打击者可以经由过程APT报复打击获得更多的有价值的资产。 本文中,南京瀚海源CEO方兴对
Tags应用安全(1006)APT(28)木马检测(5)  

  近几年,安然威胁产生了很大年夜改变,提到新兴威胁APT报复打击不是甚么新颖事。跟着IT成长,报复打击者可以经由过程APT报复打击获得更多的有价值的资产。

  本文中,南京瀚海源CEO方兴对新兴威胁攻防的本质进行了分解,并针对APT报复打击进行了深度解读。

  新兴威胁攻防核心本质

  ◆新兴威胁的核心

  新兴威胁的核心是收集间谍行动,和传统间谍行动的最大年夜辨别是把传统手段和数字报复打击手段相连络。报复打击者可利用针对数字系统的报复打击手段,获得数字资产或经由过程数字系统可控的资产。

  其实,传统间谍手段很早就已存在了,成长到此刻已构成了攻守均衡的情势。此刻,为甚么要把数字手段畅通领悟进往呢?因为我们贫乏在数字手段上的匹敌检测手艺,导致报复打击者利用数字手段的报复打击比利用传统间谍手段时成本更低。从报复打击者角度来讲,因为他可以用低成本低的报复打击手法拿到更大都字,所以很天然的把新手艺畅通领悟在传统间谍手段傍边一路来获得更高的收进。

  ◆解读新兴威胁APT

  今朝,针对新兴威胁APT报复打击我们可以如许解读APT:

  A :

  1.高价值资产的周到防护能力下,只有复杂报复打击路径才能达到绕过检测和最终方针触发。

  2.这一系列要求必需多种报复打击向量组合和高手艺能力与手段。

  P :

  1.报复打击难度、复杂路径,手艺手段需要时候。

  2.报复打击价值与报复打击难度需要不竭测验测验但不会等闲抛却。

  T :

  1.报复打击一旦成功将造成巨大年夜损掉但难以发现。

  2.报复打击进进后,很难完全断根。

  ◆APT报复打击特点

  APT报复打击首要闪现以下特点:

  可操纵性:达到最终方针的路径设计 ;让路径上的每个受害者都愿意或可能触发;受害者触发后不变植进报复打击者歹意代码以实现报复打击者意图;歹意代码行动可知足报复打击者目标。

  埋没性:受害者触发无感触感染;受害者触发时主机或收集环境设备检测不到;厥后歹意代码行动让受害者主机或收集环境设备检测不到异常或检测到异常后没法发现真实启事。

  抗清查:发现报复打击后难以清查报复打击泉源;清查到报复打击泉源难以肯定报复打击者;肯定到报复打击者也能够否定。

  暗藏性:可控报复打击行动;深度渗入在部门断根后可以恢复。

  针对性:高价值资产;定向报复打击路径。

  ◆APT报复打击核心手艺环节与手段

驰名“白帽”方兴解读APT

  从上图我们阐发可知,从报复打击角度上,报复打击者起首进行信息汇集,按照信息做好进侵预备,然后经由过程社会工程吸引,注进木马等手段实现信息进侵,实现及时进侵,节制内网系统乃至是资产后,进行粉碎或进行有价值资产的盗取。全部报复打击过程的核心手艺首要有:缝隙操纵、木马莳植,基于供给链植进和后门植进,莳植掉队犯者经由过程埋没的通道盗取数据。

  常见的手艺概念首要有:SHELLCODE、EXP、缝隙、木马、后门、埋没通道。

驰名“白帽”方兴解读APT

  将来,针对APT报复打击,作为安然防护人员起首要考虑的就是以上几个手艺点。当然短时候内很难用手艺匹敌传统间谍手段,可是我们只要可以或许把手艺手段举高到必然门槛,报复打击者在APT新兴威胁上就不再据有这类成本的优势。

  所以在今后的安然防护道路上,我们需要新的手艺手段。

  新兴威胁攻防匹敌思虑与展看

  ◆传统安然缝隙操纵检测攻防

  针对传统安然缝隙系统检测首要侧重IDS/IPS与加强杀毒两个标的目标,传统的检测点包含NDAY缝隙触发特点签名库辨认与固定操纵代码辨认,它们都存在必然的缝隙误报率或其他的标题问题。

  方兴暗示,此刻的新型检测手艺除寻求本来NDAY缝隙触发签名,还有深度内容辨认。在他看来将来的APT还有良多新型的手艺可以进行匹敌(见下图),好比:匹敌NDAY缝隙签名,在深度层面可以不竭改变编码,进行加密。

驰名“白帽”方兴解读APT

  展看缝隙操纵(SHELLCODE)检测匹敌

  ◆传统木马检测攻防

  传统的木马检测编制包含:木马签名库辨认歹意URL来历; 针对过程 、文件 、利用进口点的本地异常点查抄;歹意功能和行动辨认(本地)。

  可是以上检测面对良多标题问题,在歹意工程上可以经由过程信赖法度,专门加载底层节制绕过误报、人工辨认。将来我们需要更多新型的匹敌木马的手艺,在此,方兴带我们展看了这场木马匹敌战的将来。

驰名“白帽”方兴解读APT

  展看木马检测匹敌

  ◆传统隐通道检测攻防

  在传统埋没通道攻防上,主如果经由过程已知的歹意IP或URL辨认来实现的,或是审计设备辨认敏感关头字,辨认已知的私有和谈,或是经由过程流量和收集行动异常来辨认。

  今朝,我们面对着报复打击者未知手段的新型威胁,将来该若何匹敌埋没通道报复打击呢?

驰名“白帽”方兴解读APT

  展看隐通道检测匹敌

  综上所述,方兴暗示,在他看来“攻防匹敌没有终结点,始终是人和人的匹敌,新兴匹敌手段有些已呈现,还有良多没有呈现,可是作为防护者,心里要很清晰即便有了新型手艺,APT也不必然有终结点。将来,不但在手艺上要和报复打击者做匹敌,也要在更高的层次往找到好的解决编制。”

  新兴威胁应对思虑

  针对新兴威胁的应对,方兴做了以下小结:

  ◆***度全检测系统:针对报复打击者的每个手段成立检测点,构成网状检测系统,即便报复打击者能逃脱一两个检测点,但不必然可以或许逃脱全数检测点。

  ◆进侵全生命周期笼盖:APT报复打击是由多个环节多个报复打击手段组合而成。针对每个环节每个手段构成纵深检测系统,可以最大年夜限度发现APT报复打击,进步报复打击者门槛 。

  ◆***度全生命周期系统:APT报复打击每个检测手段都因为道理机能易用性误报率等身分都存在匹敌手艺。针对每个APT报复打击手段手段用多种检测编制构成***度检测系统,可以最大年夜限度检测APT报复打击手段,并且纵深笼盖,构成***度网状检测系统。

  ◆纵深、***度、端、云协同感知与大年夜数据发掘的威胁感知:经由过程智能事务联系关系进行报复打击确认,发现可疑事务,颠末数据深度内容可疑阐发和云端数据阐发构成检测系统。

  云端数据阐发:报复打击共享、报复打击着回i组特点、报复打击者资本特点。

  智能事务联系关系阐发:报复打击确认、事务联系关系可疑发现、因果溯源。

  ◆协同运维:APT报复打击是人和人的斗智斗勇,必需有专业的团队阐发响应才能应对APT。

  最后,方兴暗示:“APT是人和人在数字空间的智力匹敌,所以必然是没有最终的编制的,因为人是活的,手段是无限的,检测与防御还需要考虑成本、机能、用户体验、用户感知等一系列标题问题。所以APT检测产品,需要的是在以上限制前提下最大年夜程度进步报复打击者成本和门槛,降落损掉,构成一个新的攻守均衡线。”

------分隔线----------------------------

推荐内容