欢迎来到天天文库
浏览记录
ID:20407885
大小:219.64 KB
页数:9页
时间:2018-10-13
《apt攻击防护方案》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、APT攻击防护方案:构建堡垒网络升级安全防护随卷信息技术的萵速发展,人类的生活跟网络紧密地联系在Y—块儿。在电子商务,网络支付极其发展的今天,各种安全问题也随之而来。M络安全,己成为当今世界越來越关心的话题之一。近年來,APT高级持续性威胁便成为信息安全圈•了•人人皆知的"时髦名词对于像Google、Facebook、Twitter,Comodo等深受其害的公司而言,APT无疑是一场噩梦。于是,引发了行业以及安全从业者对现冇安全防御体系的深入思考。在APT攻击中,攻击者会花几个月其至更长的时间对"目标"网络进行踩点,针对性地
2、进行信息收集,M称网络环境探测,线上)1务分布情况,应用程序的弱点分析,了解业务状况,员工信息等等。当攻击者收集到足够的信息时,就会对Q标网络发起攻击,我们需要了解的是,这种攻击具有明确的目的性与针对性。发起攻击前,攻击者通常会精心设计攻击计划,与此同吋,攻击者会根据收集到的信息对H标网络进行深入的分析与研宄,所以,这种攻击的成功率很高。当然,它的危害也不言而喻。要预防这种新型的,攻击手法极其灵活的网络攻击,首先,应该对这种攻击进行深入的探讨、研究,分析APT攻击可能会发生的网络环节或者业务环节等;其次耍对我们自己的网络进行
3、深入的分析,了解网络环境中存在的安全隐患,从而具冇针对性地进行防护。下图是个比较典型的网络拓扑简图::8EADEAO(图一)参照这个网络拓扑,结合近儿年发生的APT攻击,我们来分析下APT攻击。1)2010年,Google被攻击事件:攻击者收级了Google员工的信息,伪造了-封带有恶意链接的邮件,以信任人的身份发给了Google员工,致使该MT的浏览器被溢出,接着,攻击奍获取了该员工主机的权限,并持续监听该员工与Google务器建立的连接,最终导致服务器沦陷。前不久发生的Facebook被攻击审件,与这个极为相似。2)20
4、11年美国《华尔街日报》报道的一个安全事件:攻击者通过SQL注入漏洞,入侵了外网边缘的WEB服务器,然后以WEB服务器为跳板,对内外进行嗅探、扫描,进而入侵了内外AD服务器。攻击者在已拿到权限的主机甩种了自己的木马,以公司领导的名义给员工发送了一封带有恶意附件的邮件,S终导致大量公司内网主机权限被攻击者所拥有。3)RSASecurlD被窃取事件:2011年3月,EMC公司下属的RSA公司遭受入侵,部分SecurlD技术及客户资料被窃取。其记果导致很多使用SecurlD作为认证凭据建立VPN网络的公司受到攻击,£要资料被窃取。
5、通过以往的APT攻击实例,我们可以总结出,通常,典型的APT攻击会通过如下途径入侵到您的网络当中:1.通过WEB漏洞突破面向外网的WebServer.2.通过被入的WebServer做为跳板,对内网的其他服务器或桌面终端进行嗅探、扫描,并为进一步入侵做准备。3.通过密码爆破或者发送欺诈邮件,获取管理员帐号,并最终'欠破AD服务器或核心开发环境,被攻击者的邮箱自动发送邮件副木给攻击者。4.通过植入恶意软件,如木马、后门、Downloader等,回传大量的敏慼文件(WORD、PPT、PDF、CAD文件等)。5.通过髙层主管邮件,
6、发送带有恶意程序的附件,诱骗员工点击,入侵内网终端。6.利用Oday.例如:在邮件中添加恶意IRL,被攻击者一点击URL,浏览器被溢出,主机权限丢失。7.夹杂着社会工程学的攻击。结合图一,我们可以淸楚地看到M络屮敁宥可能被攻击的环节。很显然,图一屮的M络宥很多问题。所以,我们应该对现冇的网络进行调整(网络结构/制度等),下面的网络拓扑阁是图一的改进版。如下阁所示:■o>人■«O««co4rxxi«A^A^z«r9tfJC7oIK2料傳m.廖履文K啜,龙值煤竹为實19水MTu-■■M鑛•*--.—-—ir3#.M格灾會爆7、Mir?*-命U.(图二)网络拓扑说明:1.在外部路由出口架设大流量吞吐量的防火墙,可以有效地防御外部黑荠对外部路由进行DDoS攻击,又》J以做访问控制策略,实现初步的安全访问。2.拓扑的市计系统(堡垒机),足为丫保障网络和数据不受來白外部或者内部恶意攻击者的入佼和破坏,它可以收集和监控网络环境中的每个节点的系统状态,网络活动等。这样就可以方便管理人员集中监控、记录、分析、处理网络中的异常情况,对幣个网络的安全,起到了不可忽视的作川。3.核心层连的两台IDS设备,可以冇效地监测、顶警网络攻击,当网络中出现异常吋,IDS会报瞀8、,并记录异常状况。叫以帮助网络管理人«及时发现网络屮存在的M络攻击,做出相应的防护措施。4.上图的网络拓扑屮,我们在核心/汇聚层与接入层之间部署丫两台iptables防火墙,是为丫进一步控制网络的访问策略,以保证接入层的安全控制。隔离区的各种服务器是我们要熏点防护的对象,所以,对接入层的访
7、Mir?*-命U.(图二)网络拓扑说明:1.在外部路由出口架设大流量吞吐量的防火墙,可以有效地防御外部黑荠对外部路由进行DDoS攻击,又》J以做访问控制策略,实现初步的安全访问。2.拓扑的市计系统(堡垒机),足为丫保障网络和数据不受來白外部或者内部恶意攻击者的入佼和破坏,它可以收集和监控网络环境中的每个节点的系统状态,网络活动等。这样就可以方便管理人员集中监控、记录、分析、处理网络中的异常情况,对幣个网络的安全,起到了不可忽视的作川。3.核心层连的两台IDS设备,可以冇效地监测、顶警网络攻击,当网络中出现异常吋,IDS会报瞀
8、,并记录异常状况。叫以帮助网络管理人«及时发现网络屮存在的M络攻击,做出相应的防护措施。4.上图的网络拓扑屮,我们在核心/汇聚层与接入层之间部署丫两台iptables防火墙,是为丫进一步控制网络的访问策略,以保证接入层的安全控制。隔离区的各种服务器是我们要熏点防护的对象,所以,对接入层的访
此文档下载收益归作者所有