一顆小胡椒
2
CISM-WSE
CISP-PTS
一顆小胡椒2
CISM-WSE
CISP-PTS
阻斷和遏止APT攻擊的前提是能夠有效檢測到安全威脅的存在,通常已經退出目標系統的APT由于活動痕跡已被清除而難以發現,因此檢測的重點是APT攻擊的前3個時期。
1.在探測期中
攻擊者需要收集關于目標系統的大量信息,可能會使用端口掃描、代碼分析、SQL語句檢測等方式獲取有用的數據,在這個階段如果能夠通過審計系統日志分析辨識出這些活動,有效分析網絡流量數據、防御系統警報等信息,將有可能發現APT攻擊的信號,則可以認為系統已經被攻擊者所關注,需要提高警惕。此外,可以利用大數據分析技術來處理檢測數據。 APT攻擊者通常會規劃很長一段時間展開信息收集和目標突破的行動,而現有IDS或IPS系統一般是實時工作的,而且在檢測數據中存在大量冗余信息。因而,為了令初期階段的檢測更加有效,可對長時間、全流量數據用大數據分析的方法進行深度檢測,對各種來源的日志數據進行周期性關聯分析,這將非常有助于發現APT攻擊。
2.在入侵期中
攻擊者已經發現了系統中可以利用的漏洞,并通過漏洞進行木馬、病毒植入,電子郵件攻擊,此階段對于檢測者而言體現在反常事件的增多。采取基于異常檢測的IDS類實現方法,對管理員密碼修改、用戶權限提升、角色組變更和計算機啟動項、注冊表修改等活動的關注有助于發現處于入侵期的APT類攻擊;部署采用基于收發雙方關聯信息、基于電子郵件歷史分析發送者特點和基于附件惡意代碼分析等檢測技術的對策工具,可以有效檢測出利用目標性電子郵件的APT攻擊。
3.在潛伏期中
入侵后APT即進入潛伏期,此時的攻擊代理為避免被發現,在大多數時間內處于靜默狀態,僅在必要時接受主控端指令,執行破壞動作或回傳竊取到的數據。如果指令或傳輸的數據被加密,那么對其內容的檢測就十分困難,只能通過流量分析判斷系統可能處于異常狀態;但如果數據未加密,則通過內容分析技術有可能識別出敏感數據已經以非正常方式傳送到了受保護區域之外。在命令和控制階段,可能存在增加用戶、提升權限和增加新的啟動項目等行為,使用IDS或IPS檢測這類入侵將有助于發現APT攻擊,另外,研究人員發現APT攻擊者命令和控制通道的通信模式并不經常變化,若能及時獲取到各APT攻擊中命令控制通道的檢測特征,可以采用傳統入侵檢測方法進行檢測。
無論攻擊者的入侵計劃多么縝密,由于技術手段的限制往往還是會殘留下一些蹤跡(如進入網絡、植入軟件、復制數據等時刻)。這種APT攻擊的證據并不明顯,但一旦發現就必須及時保存現場狀態并盡快通知安全系統,并對疑似感染的機器進行隔離和詳細檢查。
推薦文章
