随着 APT 攻击事件数量的增加,由于组织、潜在、持久性和零日漏洞利用的特点,传统防火墙、IPS、其他外围保护以及大多数人使用的病毒的恶意性质。它采用静态安全性,例如签名代码检测。防护系统对外部攻击者和攻击方式变化的适应能力越来越差,改进和重建攻击防御系统势在必行。
1.黑客攻击模式
物联网对黑客来说是不可避免的。黑客可以通过渗透和利用数以千计的不安全设备来发起 DDoS 攻击。它们会破坏基础设施并导致网络瘫痪,随着物联网进入我们的日常生活,这些攻击可能会危及真实的人类生活。专家表示,到 2025 年,将有 750 亿台联网物联网设备运行不安全的嵌入式固件,这可能会暴露全球不确定数量的关键系统和数据。我在预测。
黑客攻击过程可分为两个主要阶段:
① 侦察/跟踪阶段
这主要是为了发现和验证目标,收集目标网络、服务状态、相关联系电子邮件、社会信任关系,并识别潜在的入侵渠道。
② 武器建造阶段
这主要是为攻击制造武器,例如电子邮件中的恶意代码附件、假网站或网站挂马、远程控制通信服务器等。
③穿透移植阶段的利用安装
它主要利用系统或网络漏洞、管理机制漏洞、人为弱点等,向内部目标传递恶意代码,控制系统。
④沟通管理与目标达成阶段
它主要连接外部黑客的远程控制服务器,定期检查生存情况并接受数据窃取、信息收集和销毁等最终任务。
黑客攻击的成功主要基于当前静态和被动防御系统的弱点。传统的安全防护系统已经逐渐无法满足抵御外部攻击的需要。如何构建新一代安全防护系统是当前亟待解决的课题。
2.构建数据驱动的自适应安全防护体系
构建数据驱动的自适应安全防护体系,将传统应急安全响应中心转变为持续安全响应中心。 PPDR安全防护体系由策略策略之前的四个阶段组成:防护保护、检测检测和响应响应。 PPDR安全防护体系有四个阶段:预测预测、防护保护、检测检测和响应响应。转换成一个新的 PPDR 组成的闭环系统。由 Gartner 提出。 PPDR安全保护系统。在各个阶段引入威胁情报、大数据分析、机器学习、云防护等新技术和服务,真正构建具有持续威胁响应和情报能力的自适应安全防护体系。和调整。
预测阶段
此阶段的目标是获得可以从外部威胁情报中学习的攻击的“预测能力”,以主动针对威胁现有系统和信息的新型攻击的漏洞并对其进行优先级排序。是识别。这种情报反馈到保护阶段和检测能力,在整个威胁处理过程中形成一个闭环。这里有两个重要的元素。一是威胁情报本身,二是威胁情报的使用。
所谓威胁情报,是指描述威胁的一组基于证据的相关信息,包括与威胁相关的环境信息、战术机制、指标、影响和行动建议。它可以进一步分为四个层次:基础数据、技术情报、战术情报和战略情报。
PE可执行样本、netflow网络流数据、终端日志、DNS和whois记录等基础数据。
恶意远程控制服务器地址、恶意网站、电话、钓鱼邮件地址、恶意代码的HASH值、修改的特定注册表项、系统漏洞、异常账户等技术情报。
包含有关已发现外部攻击者和目标、攻击方法和过程、可能的攻击影响、应急响应建议等信息的战术情报。
战略情报主要是指评估社会、经济和文化动机、过去的攻击轨迹和目标趋势、攻击优先级以及攻击组织的技术能力。
以此智能作为后续防护、检测和响应的基础,与现有的网络、系统、终端、应用、业务各个层面的外部攻击防护系统进行全面集成。可以有效防止自下而上。
相关数据显示,65%的企业和政府机构计划使用外部威胁情报服务来增强安全检测和防护能力。威胁情报的引入是从被动防护向主动防护转变的重要基础。
安全防护阶段
此阶段的目标是拥有一组可用于防御攻击的安全策略、产品和服务。
这方面的主要目标是通过减少被攻击的表面来提高攻击阈值,并在攻击动作受到影响之前对其进行拦截。它可以分为三个主要方面:增强和隔离、漏洞和补丁管理、转发攻击。
从增强和隔离的角度来看,大多数企业使用防火墙、VLAN等来隔离各种网络安全区域,控制访问策略,包括对系统、网络和终端的802.1x准入控制。我们进行了大量的投资和制度建设。隔离各种系统和网络设备、安全补丁和增强的安全配置。
在漏洞和补丁管理方面,大部分企业都部署了漏洞扫描工具,建立了漏洞发现、分析、补丁修复的完整工作机制,但漏洞和补丁管理是2.可能缺失的一方面。首先是漏洞情报。 ..二是收购延迟,二是设备资产分类不明确。很容易导致信息安全的桶效应。换句话说,如果板子短,整条防线就会崩溃。
谈到转发攻击,简单来说,这个特性可以让企业在黑客攻击和防御中获得时间不对称的优势。通过蜜罐、系统镜像和隐藏等技术,攻击者很难找到真正的系统核心和可以利用的东西。漏洞。它隐藏或混淆系统界面和系统信息。
鉴于此类技术应用场景的复杂性,该技术对于研究攻击者的策略、检测不完善的保护系统甚至描绘黑客攻击的画像也非常有用。部署的时候应该比较全面和充分。
安全检查阶段
这一阶段的主要目标是及时发现各种外部直接或潜在的攻击。这个阶段也是传统安全防护体系中投入最多、最可靠的部分,因此也是构建数据驱动的自适应安全防护架构最需要改变的阶段。 ..
一是从传统的安全检测,只关注外围流量(如互联网IPS和第三方入口),发展到攻击者的全流量检测,或者至少是网络关键路径的流量检测。传统的拦截和防范机制一旦进入到里面的传统检测和防护机制,就变得难以被检测到。
二是从目前基于静态签名的IPS、杀毒、WAF等检测向基于异常的动态检测演进。如前所述,许多 APT 攻击者使用零日漏洞并利用多态性。传统的基于签名的检测方法无法发现转换后的恶意代码,但可以通过异常行为分析发现。
如今,业界主要使用沙盒检测技术在沙盒环境中运行从网络、终端、电子邮件和其他系统检索到的可执行文件,以创建或调用相关的进程、文件或资源。它监视访问行为、注册表更改等。是否有任何异常?
安全响应阶段
此阶段的目标是在识别出攻击后快速阻止攻击,将受感染的系统与帐户隔离,并防止系统进一步损坏或传播。
常用的隔离特性包括设备隔离、网络层IP阻断与隔离、系统进程、账户冻结、应用层阻断、主动拒绝响应等。这些对策在新一代数据驱动的自适应安全防护系统中最重要的目标是与基于大数据的安全检测系统有效对接,并根据检测结果自动触发或提示。是为了以后能自动触发。人工判断。
因此,在建立下一代安全防护体系的过程中,需要整合响应阶段和安全检测阶段。同时,在外部服务提供商和合作伙伴准备自己的响应时,必须充分考虑联合应急响应或风险传递控制。
三、结论
APT攻击的问题越来越突出。数据安全保护系统应始终了解安全情况。传统的静态防御技术体系和应急威胁响应防护不断增强,建立起完善的网络安全防御体系。加快信息安全防护,确保网络安全。