高级可持续威胁攻击关键技术探究

高级可持续威胁(APT)是目前全球范围内互联网安全领域最难防范的攻击之一。本文收集了从2008年到2015年的180个APT攻击事件,根据其攻击目标、持续时间、攻击目标地理分布、是否国家支持等因素,选取其中89个典型攻击案例进行深度剖析。从5维度上详细分析了其攻击背景,攻击方案,攻击溯源,并总结了APT攻击生命周期及其各阶段特点。

典型APT攻击事件案例分析

高级持续性威胁(APT)攻击通常以国家重要信息基础设施、重点科研院所和大型商业公司为主要目标,以窃取敏感信息、商业机密或者破坏重要的基础设施为目的。APT攻击造成的损失巨大甚至影响国家安全,各国均将APT防御提升到国家高度。对APT攻击事件的研究有助于提升国家对网络威胁的感知和防御能力。文章对典型APT攻击事件"丰收行动"进行了概述,并对事件的时间线、受害者、攻击者、攻击工具和TTPs进行了深入分析研究,还原了整个攻击事件过程。

APT攻击的特点及防范

以政府机关、科研机构、大型企业的关键信息基础设施为目标的APT(高级持续性威胁)攻击逐年增多。总结攻击国家关键信息基础设施的APT具有高级、持续、有针对性三大特点,分析得出APT过程的八大常规步骤,列举防火墙、IPS(入侵防御系统)、IDS(入侵检测系统)、防病毒软件及日志审计等常用的传统防御方法的不足,提出具有综合管理和技术手段的APT防范新思路。

APT攻防之十大要点

以APT(Advanced Persistent Threat高级持续威胁)为代表的下一代网络安全威胁,综合利用了AET、零日漏洞、社交工程等多种高级技术手段,主要的攻击目标为高价值企业以及国家国计民生的基础设施(能源、金融、电信、交通等),存在攻击手段复杂、潜伏时间较长、检测难度较高等特点,一旦爆发,轻则造成公司商业机密泄漏威胁公司生存、重则造成公司或者整个行业瘫痪,可以说APT攻击深刻的威胁着我国各行业基础设施网络安全环境。笔者提炼了APT攻防的十个重点问题,通过使用大数据海量信息收集、机器学习、生成、分析异常信息;通过网络安全设备中的流探针、沙箱、终端探针和日志采集器等功能收集完整性统计信息,从而更有效、快速、准确的判定,避免APT攻击相关问题并提出一些应对措施,期望对APT攻防给出一个整体态势的了解。