安恒发布APT攻击（网络战）预警平台兼顾0day攻击检测 - 方案 - 网络通信网—

TOP

安恒发布APT攻击（网络战）预警平台兼顾0day攻击检测

2014-03-28 15:39:47 来源:ZDNet安全频道作者:【大中小】
关键词：安恒 APT 0day 网络安全

03月28日综合消息：2014年网络安全成为热议话题。2013年，在酣梦中的网络安全界被斯诺登事件这一记重锤敲醒，2014年的年初，中央网络安全领导小组成立了，并且习总亲自担任组长。

　　03月28日综合消息：2014年网络安全成为热议话题。2013年，在酣梦中的网络安全界被斯诺登事件这一记重锤敲醒，2014年的年初，中央网络安全领导小组成立了，并且习总亲自担任组长。此小组一经成立，立刻有人大力点赞。冰冻三尺非一日之寒，斯诺登事件曝光，折射出多少安全危机?网络安全领导小组的成立相当及时!来听听国家领导人们怎么说：

　　“如今是个信息化的时代，经历这没有硝烟的战争，没有网络安全就没有国家安全”;

　　“中国网络空间基本处于不设防的状态，我们现在所使用的通用芯片，都依赖于美国。95%的操作系统来自微软。从移动领域来看，三大操作系统平台都来自美国。而这些领域又是中国网络安全隐患的根本所在”;

　　“西方出口到我国的关键大型设备和工业控制软件中，秘密预设后门是一个不争的事实”;

　　“中国既是网络大国，同时又是信息窃取、网络攻击的主要受害国”;

　　……

　　APT攻击已经成为最具威胁的攻击方法

　　APT进攻是我们目前所能见识过的最危险的攻击之一据国外权威信息安全结构统计，该类型攻击增长的趋势呈指数级发展。从03年开始崭露头角，08年开始攻击次数一路直线上升，并且目标明确、持续性强、具有稳定性。它利用程序漏洞与业务系统进行融合，不易被察觉，并且有着超常的耐心，最长甚至可达七年以上，不断收集用户信息。发起APT攻击所需的技术壁垒和资源壁垒，要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户，而是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者、甚至各种工业控制系统。

　　如2011年RSA攻击事件。攻击者给RSA的母公司EMC的4名员工发送了两组恶意邮件，附件名为“2011 Recruitment plan.xls”;其中一位员工将其从垃圾邮件中取出来阅读，被当时最新的Adobe Flash的0day漏洞命中。该员工电脑被植入木马，开始从BotNet的C&C服务器下载指令执行任务。首批受害的使用者并非“位高权重”人物，紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑。RSA发现开发用服务器(Staging server)遭入侵，攻击方立即撤离，加密并压缩所有资料并以FTP传送至远程主机，随后清除入侵痕迹。

　　其威胁从以上举例可见一斑，同时，从下图，我们可以看到APT攻击从2008年开始放量增长，并呈指数级上升趋势。

　　多路径攻击需要预警平台全方位防护

　　APT攻击的威胁已经不单单是一个病毒，经常伴有恶意程序、黑客攻击以及垃圾邮件等多种威胁。

　　通过对APT攻击进行大量分析，我们发现绝大多数大攻击通过3条路径对目标发起攻击：

　　1. 通过发送带恶意附件邮件，利用恶意附件在员工电脑种植入后门，再通过员工电脑进行进一步带渗透

　　2. 直接攻击Web服务器，由于Web服务器经常存在严重的安全漏洞，所以黑客经常对Web服务器进行攻击，然后再利用Web服务器为跳板，对内部网络发起攻击

　　3. 使用欺骗或流量截获对方式直接对员工服务器发起攻击，利用员工电脑对内部网络发起攻击

　　0day攻击检测

　　在APT攻击种，使用0day对目标进行攻击非常常见，由于没有已知的特征所这些攻击很难被传统对检测手段发现。而APT攻击检测设备的一个主要目标就是需要能够检测到0day攻击。静态检测无法检测到深度多攻击行为，而动态检测由于存在大量环境组合无法穷举，无法触发所有多行为。所以不应该使用任何一种单独的方法对目标进行检测。

　　通过关联分析应对APT攻击是必由之路

　　APT攻击中，由于黑客可能尝试多种路径进行攻击，所以无法使用一种方法就能有效的检测出APT攻击。我们需要利用多种检测手段结合，并进行综合分析发才能更有效的发现APT攻击，常用的检查步骤为(见下图)：

　　1. 针对Web、邮件、传输的文件进行的攻击检测

　　2. 综合这些攻击的数据分离可疑文件、攻击流量

　　3. 对Web行为模型进行建模和统计分析

　　4. 对文件进行静态分析和动态运行分析

　　5. 综合各种攻击路径中对告警，进行综合分析

　　6. 最终发现APT攻击