返回
《apt攻击介绍》ppt课件

《apt攻击介绍》ppt课件

ID:27001293

大小:870.14 KB

页数:23页

时间:2018-11-30

《apt攻击介绍》ppt课件_第1页
《apt攻击介绍》ppt课件_第2页
《apt攻击介绍》ppt课件_第3页
《apt攻击介绍》ppt课件_第4页
《apt攻击介绍》ppt课件_第5页
资源描述:

《《apt攻击介绍》ppt课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、APT攻击介绍目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍什么是APT高级持续性威胁(Advanced Persistent Threat,APT),APT(高级持续性渗透攻击)是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目标进行长期持续性的网络攻击,具有长期经营与策划、高度隐蔽等特性。这种攻击不会追求短期的收益或单纯的破坏,而是以步步为营的渗透入侵策略,低调隐蔽的攻击每一个特定目标,不做其他多余的活动来打草惊蛇。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT攻击阶段划分APT攻击可划分为以下6个阶段:情报搜集首次

2、突破防线幕后操纵通讯横向移动资产/资料发掘资料外传情报收集黑客透过一些公开的数据源(LinkedIn、Facebook等等)搜寻和锁定特定人员并加以研究,然后开发出客制化攻击。这个阶段是黑客信息收集阶段,其可以通过搜索引擎,配合诸如爬网系统,在网上搜索需要的信息,并通过过滤方式筛选自己所需要的信息;信息的来源很多,包括社交网站,博客,公司网站,甚至通过一些渠道购买相关信息(如公司通讯录等)首次突破防线黑客在确定好攻击目标后,将会通过各种方式来试图突破攻击目标的防线.常见的渗透突破的方法包括:电子邮件;即时通讯;网站挂马;通过社会工程学手段欺骗企业内部员工下载或执行包含零日漏洞的恶意软件(一般安

3、全软件还无法检测),软件运行之后即建立了后门,等待黑客下一步操作。幕后操纵通讯黑客在感染或控制一定数量的计算机之后,为了保证程序能够不被安全软件检测和查杀,会建立命令,控制及更新服务器(C&C服务器),对自身的恶意软件进行版本升级,以达到免杀效果;同时一旦时机成熟,还可以通过这些服务器,下达指令。采用http/https标准协议来建立沟通,突破防火墙等安全设备;C&C服务器会采用动态迁移方式来规避企业的封锁黑客会定期对程序进行检查,确认是否免杀,只有当程序被安全软件检测到时,才会进行版本更新,降低被IDS/IPS发现的概率;横向移动黑客入侵之后,会尝试通过各种手段进一步入侵企业内部的其他计算机

4、,同时尽量提高自己的权限。黑客入侵主要利用系统漏洞方式进行;企业在部署漏洞防御补丁过程存在时差,甚至部分系统由于稳定性考虑,无法部署相关漏洞补丁在入侵过程中可能会留下一些审计报错信息,但是这些信息一般会被忽略。资产/资料发掘在入侵进行到一定程度后,黑客就可以接触到一些敏感信息,可通过C&C服务器下发资料发掘指令:采用端口扫描方式获取有价值的服务器或设备;通过列表命令,获取计算机上的文档列表或程序列表;资料外传一旦搜集到敏感信息,这些数据就会汇集到内部的一个暂存服务器,然后再整理、压缩,通常并经过加密,然后外传。资料外传同样会采用标准协议(http/https,SMTP等)信息泄露后黑客再更具信

5、息进行分析识别,来判断是否可以进行交易或者破坏。对企业和国家造成较大影响。目录什么是APTAPT攻击阶段的划分APT防御的建议典型APT事件介绍APT防御的建议情报收集阶段:在这个阶段主要通过加强员工安全意识以及建议相应信息防护规章制度来进行。内部教育:教育员工有关在社交网络上公开太多信息的风险,尤其是工作相关的信息。小心谨慎–切勿在公开的个人网页上透露自己的个人和工作信息。保持警戒–社交网络缺乏面对面接触的特性,很容易让人卸下心防,因而透露一些平常不会透露给陌生人的讯息。提防小人–因特网上遇到的人,很可能不是他们看起来的样子。公司政策:封锁社交网站或许不是解决此问题的最佳办法。不过,订定一些

6、有关社交网络使用方式的公司政策并加强倡导,将有助于大幅降低锁定目标攻击的风险。首次突破防线防御针对黑客的首次突破,可采用以下方式进行防御寻找遭到渗透的迹象大多数APT攻击都是使用鱼叉式网络钓鱼。因此,检查看看是否有遭到窜改和注入恶意代码的电子邮件附件。检查一下这些邮件,就能看出黑客是否正尝试进行渗透。可通过安全邮件网关来对外来邮件进行检查和识别。安全弱点评估发掘并修补对外网站应用程序和服务的漏洞。内部教育教育员工有关鱼叉式网络钓鱼的攻击手法,要员工小心可疑电子邮件、小心电子邮件内随附的链接与附件档案。幕后操纵通讯防御针对存在的幕后操纵通讯,可采用以下措施进行检测和防御监控网络流量是否出现幕后操

7、纵通讯建置一些可掌握恶意软件与幕后操纵服务器通讯的网络安全控管措施,有助于企业发掘遭到入侵的主机,并且切断这类通讯。识别判断攻击者幕后操纵服务器的通讯企业可在沙盒隔离环境(sandbox)当中分析内嵌恶意软件的文件(如鱼叉式网络钓鱼电子邮件的附件)来判断幕后操纵服务器的IP地址和网域。更新网关安全政策截幕后通讯一旦找出幕后操纵服务器的网域和IP地址,就可更新网关的安全政策来拦截后续的幕后操纵通讯。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。