黑暗之中,
一名身穿黑衣的黑客,正在盯着光亮的
屏幕。hia~hia~hia~,邮件地址到手,
准备发送钓鱼邮件
通过社会工程学手段,攻击者先是利用
已有的社工库数据,通过撞库获取到A
公司某技术员邮件地址,并着手计划发
送钓鱼邮件。

在某个深夜,黑客计划
开始转移他的战利品--数据。
攻击者计划将暂时存放在临时服务器
中的所窃取的机密数据在某个夜晚上传到外部的某个服务器上,并将删除之前在Future公司网络中所留下的所有痕迹。至此,一场隐秘的APT攻击即将完成。诸多核心资料如遭泄露,后果不堪设想。


黑客仔细的扫描了服务器的数据,
并将它们隐藏了起来攻击者的一切行动
都在看不见的网络世界中隐秘地进行着,其将扫描获取到的所有敏感信息经过加密,存储在网络中的一台隐秘的临时服务器上。待时机成熟,伺机转移这些核心资料。

清晨,Vincent喝着咖啡,
查看邮箱,一封关于放假的邮件映入
眼帘因为钓鱼邮件有极大的欺骗性,大多
数情况下,员工会毫无防备地点击钓鱼邮件。正值十一长假前夕,攻击者以公司HR名义向该技术员发送有关放假通知邮件,并在附件发送一份假期值班表的附件表格。该技术员在毫无防备地情况下打开了邮件中的值班表。


Vincent打开邮件中的附件,
想看看还有什么其他放假注意事项。可此时,
他已经掉入了黑客设下的陷阱之中。在这份钓鱼邮
件中的值班表附件其实是一个隐秘的程序文件,当该文件被打开后被,这一伪装的可执行程序便被立即
启动执行,该技术员计算机系统被成功植入
后门程序。


Vincent发现附件里的文件
却无法打开,可他电脑中的保存的
账号却已经到了黑客的手里。通过
这一后门程序,该技术员电脑上的许多信息暴露无遗,其中就包括登录Future公司数据库的帐号等相关的文件信息,都被攻击者在不知不觉中
成功获取。


黑客嘴上露出狡黠的笑容,
利用Vincent的账号,入侵了公司的服务器。
在获取了该技术员登录公司资料库的帐号密码后,攻击者又利用木马程序,进一步深入入侵到Future公司网络中,利用窃取技术,获得了资料库管理员权限。有了技术员账号密码及管理员权限,攻击者开始在Future公司网络中随意的扫描和窃取
更重要的数据。

正义者英雄点评榜

金奖方案

整体来说,所有的安全细节从源头预防最有效,使用者的安全意识也尤为重要。

专家点评

在方案一中,考虑到了从源头开始进行防范,除了部署垃圾邮件整套防护系统之外,还考虑到…… 【详细】

银奖方案

如何防御APT攻击?

专家点评

方案中,非常好的一点是除了技术手段之外,还考虑到了对员工安全意识的持续培训问题,在解决…… 【详细】

铜奖方案

以威胁情报跟踪为主线,抓取全流量进行分析,评估出正常和异常模型,从而主动发现攻击,配合安全防护设备和策略……

专家点评

方案中利用了威胁情报,来评估行为的异常差异,从被动防御到主动发现攻击也是一种比较好的切入点。同时…… 【详细】

关闭

整体来说,所有的安全细节从源头预防最有效,使用者的安全意识也尤为重要。
1、 根据攻击情况示意,建议Future公司采用邮件安全网关产品,可根据公司使用情况实现外发邮件过滤,不仅可以对钓鱼邮件进行识别、防范,还能杜绝公司网络以外的网络进行邮件发送,从而从源头上杜绝钓鱼邮件进入公司内部。
2、建议Future公司部署邮件反垃圾云网关产品,可有效识别邮件附件中的伪装文件,将风险进一步降低。
3、除网络层面的安全外,单机安全防范也很重要,企业版防火墙产品的部署也不容忽视,统一策略,阻断一切未经允许程序的联网数据发送,防范木马程序将获取的数据发送至网外。
4、在服务器层面使用双重验证,防范单一用户名、密码泄露造成对服务器的威胁,将安全攻击阻断。
5、使用威胁防护系统,通过行为分析、主动预防和检测来应对一些更高级网络攻击方法,将APT扼杀在萌芽状态。

专家点评: 在方案一中,考虑到了从源头开始进行防范,除了部署垃圾邮件整套防护系统之外,还考虑到在服务器上使用强认证,这样即使在第一道防护出现有可能的漏网之鱼的情况下,攻破第二道关键服务器的认证权限也有很大难度,同时还考虑到了在所有防御措施有可能都无法阻止攻击的同时,利用行为分析、主动预防和检测来应对一些更高级网络攻击方法。在这个方案中,既有预防手段,也有高级的检测手段加以补充,这样形成了比较完善的机制。

关闭


如何防御APT攻击?
        从Future公司本身的高价值和公司安全部门发现的网络现象上看,Future公司正在遭受APT(Advanced Persistent Threat),高级持续性威胁。APT攻击本身没有太多新技术,最主要的特点是隐蔽性。熟知的DDOS、CC等攻击会造成网络的功能瘫痪,网络钓鱼等攻击造成个人用户的财产损失。 APT需要大量的时间和财力,一般只针对一些高价值的商业目标,甚至是国家间的战略目标(例如美国利用APT,造成伊朗核电站离心机报废)。 检测APT比较困难,从安全策略的角度,Future公司可以从已经得到的攻击情报的几个关键步骤入手,切断APT攻击的实施链条:
1) 钓鱼邮件:攻击方一般会利用“撞库”等手段,获得公司员工的邮箱地址,并针对性的发送一些隐蔽的钓鱼邮件。安全部门需要加强员工,尤其是高级员工的安全意识,对钓鱼邮件保持高度的警惕。
2) 后门木马植入:对公司全部的电脑,及时进行升级和漏洞修复;对安装的软件防火墙和病毒进行及时的升级。
3) 扫描数据:对关键数据的扫描,会存在持续性的文件访问和打开动作,利用日志分析工具(例如ELK)监控所有服务器的syslog,监控文件的扫描行为。
4) 数据渗出:在物理上把公司的服务器分为红区和绿区。对核心数据所在的红区,实施物理上的公司外部网络隔离;随绿区的服务器,也要实施物理存储设备的隔离。

专家点评:方案中,非常好的一点是除了技术手段之外,还考虑到了对员工安全意识的持续培训问题,在解决方案中对关键数据的持续行为监控和相应的物理隔绝措施方面的考虑也是其亮点。

关闭

  以威胁情报跟踪为主线,抓取全流量进行分析,评估出正常和异常模型,从而主动发现攻击,配合安全防护设备和策略,达到及时响应、及时拦截。配合日常的漏洞扫描和渗透测试,加强自评估。

专家点评: 方案中利用了威胁情报,来评估行为的异常差异,从被动防御到主动发现攻击也是一种比较好的切入点。同时配合日常的漏洞扫描和渗透测试来加强自评估。这样的方式比较注重攻击的前期和中期。强调在威胁真正产生实际危害之前,即能发现并部署较有针对性的应对措施。

安全专家榜

IBM专家:吴异刚

资深网络安全专家,具有17年网络安全行业从业经验,目前是IBM大中国区QRadar首席产品专家

安全牛 李少鹏

社会工程学名著《欺骗的艺术》译者,财经、IT文章写作者,十二年信息安全从业经验,九年《中国信息安全年鉴》编纂经验,曾任中国计算机安全网、光芒网主编,现任安全牛主编。

包俊君

8年媒体从业经验,现为ChinaByte比特网企业计算群组编辑,曾任职于赛迪集团《软件和信息服务》杂志社。对企业级IT市场有深入了解。专注于企业级IT领域的市场、业界趋势,以及软件、安全、云计算等IT领域的产品及解决方案相关采访及报道。

IBM解决方案

IBM专家:吴异刚

资深网络安全专家,具有17年网络安全行业从业经验,目前是IBM大中国区QRadar首席产品专家

往往针对这样的攻击不能靠单打独斗,从IBM的解决方案出发,可以考虑如下要点

- QRadar

安全数据和事件的集成点

安全事件的实时关联,并能够添加上下文背景数据

漏洞扫描和风险评估/修复以确定修复的优先次序

调查取证以确定谁被攻击,什么数据可能会潜在的被泄露,并建立针对攻击者的模型

- Guardium

检测和报告可能导致数据泄露的数据库的漏洞和配置错误

将可疑的数据库活动(事件)汇报给QRadar来关联上下文分析

- BigFix and MaaS360

确保业务关键性服务器的漏洞已经被修补

如果攻击发生,可以在泄露数据发生前隔离终端

如果恶意软件感染发生的话,可以协助检测和修复

除此之外,规范而有效的定期安全意识培训和适当的物理隔离措施也是防止此类情况发生的重要保障

QRadar

安全数据和事件的集成点

安全事件的实时关联,并能够添加上下文背景数据

漏洞扫描和风险评估/修复以确定修复的优先次序

调查取证以确定谁被攻击,什么数据可能会潜在的被泄露,并建立针对攻击者的模型

Guardium

检测和报告可能导致数据泄露的数据库的漏洞和配置错误

将可疑的数据库活动(事件)汇报给QRadar来关联上下文分析

BigFix and MaaS360

确保业务关键性服务器的漏洞已经被修补

如果攻击发生,可以在泄露数据发生前隔离终端

如果恶意软件感染发生的话,可以协助检测和修复

留言互动
关于我们 | About us | 网站律师 | 天极服务 | 投稿指南 | 电子杂志 | RSS订阅 | 加入我们 | 天极动态 | 2013中国互联网大会 | 网站地图