APT与信息战报告(安恒金龙编制)

APT与信息战 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 (安恒金龙编制) APT与信息战报告 作者:金龙 1. 信息安全现状 当今的威胁形势瞬息万变。网络罪犯的手段日益先进、隐蔽和狡猾，对信息系统的攻击毫不留情。2006年之前，人们面临的主要网络安全威胁是病毒。2006年之后的六七年时间里，面临的主要威胁是木马。业内专家表示，当前及未来很长一段时间，我们面临的主要威胁将是APT(Advanced Persistent Threat，高级可持续性威胁)。 APT(Advanced Persistent Threat，高级可持续性威胁)是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。 APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的情报收集。在情报收集的过程中，攻击者会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的C&C网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。 攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备，熟悉目标网络坏境，搜集应用程序与业务流程中的安全隐患，定位关键信息的存储位置与通信方式。当一切准备就绪，攻击者所锁定的重要信息便会从这条秘密通道悄无声息的转移。 APT正在成为当前信息安全的主要黑手，政府、军队和大企业则是攻击的首要目标。信息系统被入侵、主机被控制、核心机密数据失窃，这样的恶性事件每天都在发生。今天没有“遇难”是幸运，明天是否仍然好运，对每个单位来说都是未知数。 据中国国家互联网应急中心报告显示，仅2012年，有7.3万个境外IP地址 参与了控制中国境内1400余万台主机的网络攻击事件;有3.2万个境外IP地址通过植入后门参与了对中国境内近3.8万个网站的远程控制事件。全球已有多个国家将防范APT攻击定位为国家安全防御战略的重要环节，其重要程度已超越恐怖主义被提升为第一位的国家安全威胁。 2. APT在信息战中的应用 网络战已不是一种概念，而是现实，APT成为信息战的超级武器。 2012年5月，一种破坏力巨大的全新电脑蠕虫病毒“火焰”(Flame)被发现，这种病毒在中东地区大范围传播，其中伊朗受影响最严重。据推测，“火焰”病毒已在中东各国传播了至少5年时间，其最早时间甚至可追溯到2007年。它异常复杂，危险程度异常高，既是一种后门程序、又是一种木马，但却又具有蠕虫的特点。该病毒可以通过USB存储器以及网络进行复制和传播，并能接受来自世界各地多台服务器的指令。感染“火焰”病毒的电脑将自动分析自己的网络流量规律，自动录音，记录用户密码和键盘敲击规律，并将结果和其它重要文件发送给远程操控病毒的服务器。一旦完成搜集数据任务，这些病毒还可自行毁灭，不留踪迹。 是一种全新的网络间谍装备。 目前主要在伊朗、以色列和巴勒斯坦等地传播，澳门、香港等地也已经发现，反病毒专家称“火焰”完全可能在全球范围传播。国外媒体报道称，该病毒不可能由个别人或群体实现，很可能是由“某国政府部门组织研发的网络战武器”，想要彻底破解可能需要10年的时间，可谓是史上最强“病毒”。 由于伊朗受火焰病毒影响最严重，一些网络分析专家认为，这似乎已形成了“网络战”攻击群。“震网(Stuxnet)”病毒攻击的是伊朗核设施，“毒区(DuQu)”病毒攻击的是伊朗工业控制系统数据，而“火焰”病毒攻击的则是伊朗石油部门的商业情报。 “火焰”病毒的发现，意味着信息安全大战进入到了新的阶段。我们必须明白，诸如“火焰”等病毒，能够被轻松用来攻击任何国家。” 为了能够更加清楚的了解APT，我们一同来分享下近年来的多起经典的APT 攻击 案例 全员育人导师制案例信息技术应用案例心得信息技术教学案例综合实践活动案例我余额宝案例 : 案例1 韩国网络攻击事件 2013年3月20下午，韩国多家大型银行及数家媒体相继出现多台电脑丢失画面的情况，有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为“WhoIs”团体的警告信息，继而无法启动。令人意想不到的是，多数银行和媒体遭受攻击仅仅是韩国在同一时间遭受的多起攻击之一。其同一时刻还有更多的企业业务运行出现中断的情况，内网计算机黑屏、网络冻结，信息系统几乎瘫痪，等到业务完全恢复时，已经是4-5天之后了。 案例2 暗鼠行动 2011年8月份，McAfee和Symantec公司发现并报告了暗鼠行动( Operation Shady RAT)。该攻击从2006年启动，在长达数年的持续攻击过程中，渗透并攻击了全球多达72个公司和组织的网络，包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司等等。 案例3 RSA SecurID窃取攻击 2011年3月，EMC公司下属的RSA公司遭受入侵，部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司受到攻击，重要资料被窃取。 案例4 夜龙攻击 据美国《华尔街日报》2011年2月10日报道，美国网络安全公司McAfee发表报告称，5家西方跨国能源公司遭到黑客“有组织、隐蔽、有针对性”的攻击。超过千兆字节的敏感文件被窃，包括油气田操作的机密信息、项目融资与投标文件等。McAfee的报告称这场网络间谍行动代号为“夜龙”(Night Dragon)，最早可能开始于2007年。 案例5 超级工厂病毒 超级工厂病毒(Stuxnet)在2010年7月开始爆发。它利用了微软操作系统中至少4个漏洞，其中有3个全新的0day漏洞，为衍生的驱动程序使用有效的数字签名，通过一套完整的入侵和传播流程，突破工业专用局域网的物理限制，利用WinCC系统的2个漏洞，对其开展攻击。 它是第一个直接破坏现实世界中工业基础设施的恶意代码。据统计，目前全 球已有约45000个网络被该蠕虫感染，其中60%的受害主机位于伊朗境内。伊朗政府已经确认该国的布什尔核电站遭到Stuxnet的攻击。 案例6 极光行动 极光行动(Operation Aurora)是2009年12月中旬的一场网络攻击，其名称“Aurora”(意为极光、欧若拉)来自攻击者电脑上恶意文件所在路径的一部分。 2010年1月12日，Google在它的官方博客上披露了遭到该攻击的时间。Google Aurora(极光)攻击是一个十分著名的APT攻击。Google内部终端被未知恶意程序渗入数月，攻击者持续监听并最终成功渗透进入Google的邮件服务器，进而不断的获取特定Gmail账户的邮件内容信息，并且造成各种系统的数据被窃取。 相关的案例还有很多，这里不一一进行介绍，最近一段时间，APT已经成为安全界人士谈论的高频词。 APT已经袭来，如果你仍然认为这只是耸人听闻的炒作，那就真的危险了。2011年，在美国本土，有据可查的大型安全攻击就有70多起。中国的APT公开案例虽然相对少见，但这并不代表APT案件真的少了，这也许是中国的安全威胁发现能力有限所致。 3. APT攻击过程分析 通过对上述APT案例的分析，我们可以总结出APT攻击的过程阶段如下: 第1阶段，情报收集:攻击者会对锁定的目标单位和资源采用针对性的APT攻击，通常将目标锁定到目标单位员工的身上作为开端，并利用社会工程学开启一连串的攻击。 第2阶段，进入点:利用电子邮件、即时通信软件、社交网络或是应用程序漏洞找到进入目标网络的大门。 第3阶段，命令与控制 (C&C 通信):APT攻击活动首先在目标网络中找出放有敏感信息的重要计算机。然后，APT攻击活动利用网络通信协议确认入侵成功的计算机和C&C服务器间保持通讯。 第4阶段，横向扩展:在目标网络中找出放有敏感信息的重要计算机,使用包括传递哈希值算法的技巧和工具，将攻击者权限提升到跟管理者一样，让他可以轻松的去访问和控制关键目标。 第5阶段，敏感信息发掘:为确保以后的数据窃取行动中会得到最有价值的数据，APT会长期低调的潜伏，来挖掘出最多的信息资料。 而且在这个过程当中，通常不会是重复自动化的过程，而是会有人工的介入对数据做分析，以做最大化的利用。 第6阶段，资料窃取:APT是一种高级的、狡猾的伎俩，高级黑客可以利用APT入侵网络、逃避“追捕”、悄无声息不被发现、随心所欲对泄露数据进行长期访问，最终挖掘到攻击者想要的信息资料。 4. APT攻击的特点 APT攻击具有以下特点: 第一，隐蔽性极强。对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞或业务系统漏洞进行了融合，在组织内部，这样的隐藏很难被发现。 例如，2012年最火的APT攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞，伪造了合法的数字证书，冒充正规软件实现了欺骗攻击。 在“红色十月”病毒的行为分析报告中，我们可以看到，这种病毒从可考证的存在开始至今，已经成功的绕开传统的杀毒软件捕获5年之久。其专门感染“热点”地区的外交人员的电脑，从中搜取关键敏感信息，并不在互联网上大规模传播。据估计，该病毒在活跃的5年之内，已经成功的上传将近几T的机密敏感外交数据，而这些数据在情报市场，对于国家利益和地区安全，具有不可估量的价值。 第二，潜伏期强、持续性强。APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到找到所需的重要情报。他们往往不是为了短期获利，而是把“被控主机”当成跳板，持续搜索，直到充分掌握目标对象的使用行为。所以这种攻击模式，本质上是一种“恶意间谍威胁”，因此具有很长的潜伏期和持续性。 第三，对核心敏感数据和业务系统造成的危害极大。APT攻击者不关注短期获利，而是在于长期侵害，他们对用户的核心信息具有极强的“探索欲望”，一旦发现目标环境中的破绽，将会采取低频攻击的形式，将过滤后的敏感数据利用加密的方式外传。 5. APT的防御策略 APT攻击虽然具有极强的隐蔽性和持续性，但是对于发觉此类攻击并不是无章可循，3个信号有助于APT攻击的察觉。 第一，日志登录信息的暴增。如果你发现日志的登录注销记录突然大量出现，这时候你需要提高警惕; 第二，后门木马广泛衍生。这种攻击手段相当普遍，如果你发现内网中时常感染后门和木马，这时候你需要提高警惕; 第三，数据包异常流动，如果你看到大量数据流从内部计算机向外部流动，或者单位内部时常出现不常见的压缩文件 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 ，这时候你需要提高警惕～ 在2013年的全球RSA大会上，APT防范再次成为热点议题。在APT防范领域，国内外厂商也展出了最优秀的APT解决 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ，他们的防范策略和解决方案可以概括为四类: 1、主机文件保护类:不管攻击者通过何种渠道执行攻击文件，必须在员工的个人电脑上执行。因此，能够确保终端电脑的安全则可以有效防止APT攻击。主要思路是采用白名单方法来控制个人主机上应用程序的加载和执行情况，从而防止恶意代码在员工电脑上执行。很多做终端安全的厂商就是从这个角度入手来制定APT攻击防御方案的。 2、大数据分析检测APT类:该类APT攻击检测方案并不重点检测APT攻击中的某个步骤，而是通过搭建单位内部的可信文件知识库，全面收集重要终端和服务器上的文件信息，在发现APT攻击的蛛丝马迹后，通过全面分析海量数据，杜绝APT攻击的发生。 3、恶意代码检测类:该类APT解决方案其实就是检测APT攻击过程中的恶意代码传播步骤，因为大多数APT攻击都是采用恶意代码来攻击员工个人电脑以 进入目标网络。因此，恶意代码的检测至关重要。很多做恶意代码检测的安全厂商就是从恶意代码检测入手来制定APT攻击检测和防御方案的。 4、网络入侵检测类:就是通过网络边界处的入侵检测系统来检测APT攻击的命令和控制通道。虽然APT攻击中的恶意代码变种很多，但是，恶意代码网络通信的命令和控制通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT通信通道。 6. APT与信息战的总结 信息战要求我军的信息处理系统必须具有很强的安全保密性，随着系统不断发展、应用不断深入，面临威胁也在与日俱增。潜在对手正在大力加强进攻性信息战的准备，对此必须提高警惕。 我们必须从组织、管理、技术各方面采取综合 措施 《全国民用建筑工程设计技术措施》规划•建筑•景观全国民用建筑工程设计技术措施》规划•建筑•景观软件质量保证措施下载工地伤害及预防措施下载关于贯彻落实的具体措施 ，提高其防卫能力，确保系统的安全、可靠运行。 在信息战领域我们面临着以劣对优的严峻挑战。但机遇同在，对发展中国家，信息技术提供了跨越性发展的可能性，这里有个战略创新的问题:“凡能吸收世界上正在发生的信息革命的成果，并使之与先进作战概念、原则、战术和程序相结合的部队，它就会取得越来越大的优势。” 信息战对世界各国来说都是一个新的课题，大家都是站在同一起跑线上，只要方向对头，措施得当，采取重点超越发展战略，扬我之长，击敌之短，在未来的信息战中，我军就一定也能立于不败之地。