提起APT攻击,相信身处安全圈的人都不会陌生,近几年来,APT攻击已经成为业界最主要研究和热议的技术话题。这种攻击行为首先具有极强的隐蔽能力,并且具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,当然针对被攻击环境的各类0Day漏洞收集更是必不可少的环节。当一切都准备就绪,攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。
一般的攻击主要依赖于数量,攻击者会成百上千次的发送相同的链接或是恶意软件,在大多数情况下,这个过程是自动化的,攻击者使用机器人或基于web脚本来推动攻击,如果攻击了大量的潜在受害者,那么攻击者可能获得已经获得了一半的成功。而APT攻击则会使用多个链接、不同类型的恶意软件,并控制攻击量。
在已经发生的典型的APT攻击中我们不难看出,攻击者总是会想尽一切办法来逃避检测,有些时候他们确实会找到一些可行的方式。因此一个完整的防御方 案不能依赖某个单一的检测点,或者某种单一的技术来控制重大的安全风险,在新一代威胁防御方面更是如此。因此需要建立的是一个纵深的、多层次检测防御体系,通过多种技术,对攻击整个生命周期的各个阶段都提供检测能力,最大程度防止攻击发生了而我们却一无所知的状况出现。
面对如此复杂的APT攻击,企业也不用一筹莫展,只要选择有效的防御方式,打赢APT攻击这场硬仗也非难事。去年,行业内技术领先的安全厂商绿盟科技正式向业界推出新一代威胁防御整体解决方案——NGTP。据了解,NGTP是绿盟科技研究院和产品团队历经3年时间,共同研究开发推出的整套针对新一代威胁防御的安全解决方案。该方案通过分解典型的新一代威胁攻击步骤,有针对性地通过方案中的组件和产品来检测和防御新一代威胁,实现闭环的安全运维管理,避免可能的网络外泄行为。
可以说,NGTP解决方案为企业建立安全防护的金钟罩,有效检测和防御APT攻击。在NGTP方案的子场景中,尤其考虑了APT攻击的攻击链条,重点在于攻击前阶段的检测和防御,达到攻击“进不来”的效果;在攻击扩散阶段,达到攻击“藏不住”的效果;而在最终的攻击后解决,达到敏感数据“带不走”的效果。
具体而言,威胁分析模块TAC在攻击前对未知威胁进行实时检测,与入侵防御模块一起联动,实现一点发现、全网警戒,及时发现未知恶意软件的攻击,最大程度对其进行阻止。
在攻击发生时,对于少部分漏网之鱼,当其进入到内网,并进行回连CnC服务地址,或者进行扩散攻击时,通过Web端僵尸网网络和内网流量异常变动的监控,可以发现此类攻击的蛛丝马迹,暴露出APT攻击的特点,恶意软件无可遁形。
隐藏最深,具有逃逸特征的高级恶意软件,还是渗透到企业网络,进行潜伏,最终仍会发作,进行敏感信息和数据地窃取。通过流量异常变化和数据泄露防护方案,企业能够发现和防范最后这些最为狡诈的恶意软件行为,保护敏感数据的外泄。
不难看出,绿盟科技新一代威胁防御解决方案构建了一个预防、检测、控制、响应于一体,有效形成安全闭环的解决方案。该方案不只是发现高级恶意软件威胁,而且能控制、清除威胁,真正帮助客户提升应对新一代威胁及高级恶意软件的安全能力,防止由此出现的敏感数据泄露、业务中断等各种风险。
其实对于企业而言,面对复杂多变的安全威胁挑战,除了有力的安全产品及方案保驾护航外还需要安全意识培训。企业应该对用户进行培训来抵御最明显的威胁,包括网络钓鱼攻击。安全意识培训是持续的举措,能够直接解决企业面临的风险。
