關於APT***及如何構建安全防禦體系
——文檔加密產品起的作用
今天有幸和大家分享下APT***以及如何構建安全防禦的信息安全管理體系這方面的技術文章。也是由於這幾年一直從事安全的工作,所以對大大小小的信息安全管理和技術體系都比較深入瞭解。所以今天和大家聊聊現在比較流行的***——APT***。以下的技術及產品都是自己在工作中總結和歸納,希望對各位有幫助。
什麼是APT***?APT(Advanced Persistent Threat)高持續性威脅,這種***行爲首先具有極強的隱蔽能力,通常是利用企業或機構網絡中受信的應用程序漏洞來形成***者所需網絡;其次APT***具有很強的針對性,***觸發之前通常需要收集大量關於用戶業務流程和目標系統使用情況的精確信息,情報收集的過程更是社會工程學藝術的完美展現;當然針對被***環境的各類0day收集更是必不可少的環節。
一、APT多種***方式:
1)社會工程學***:通過社會工程學的方法收集被***目標的信息;向目標公司的特定人發送極其誘惑性的、帶有附件的郵件(如邀請他們參加行業會議,以他同事或HR部門的名義告知他更新通訊錄,請他審閱某個真實存在的項目的預算等等);受害人打開郵件觸發漏洞利用程序,從而植入***;***從遠程服務器下載惡意代碼;從而藉助惡意代碼,受害人電腦與遠程電腦建立了shell連接,***者可以任意控制受害人的電腦。
2)******:APT進行刺探工作,對特定員工目標進行***,***者儘可能蒐集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發佈的信息。通過其它等手段進入特定目標,從而獲取相關的敏感信息。
3)SQL注入***:web服務器遭到***,***採用SQL注入方式,同時被黑的web服務器作爲跳板,採取對內網的其他服務器或PC進行掃描;同時進行密碼暴力破解,把內網的服務器進行黑掉。被黑的機器植入惡意代碼,並被安裝遠端控制工具(RAT),並禁用掉被黑機器IE的代理設置,建立起直連的通道,傳回大量機敏文件(WORD、PPT、PDF等等),包括所有會議記錄與組織人事架構圖。***者***更多的內網機器,多半爲高階主管點擊了看似正常的郵件附件,卻不知其中含有惡意代碼。
4)隔離網***(震網***):APT***也會對隔離網絡進行***或者傳播,如核電站工控系統,它原本就是專網的,但是也會引起APT***,由於APT***針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染***,以此爲第一道***跳板,進一步感染相關人員的U盤,病毒以U盤爲橋樑進入“堡壘”內部,隨即潛伏下來。病毒很有耐心的逐步擴散,利用多種漏洞。這是十分成功的APT***,而其最爲恐怖的地方就在於極爲巧妙的控制了***範圍,***十分精準。
其實,這幾種***佔得大多數,不過還有別的***,暫時不討論,有興趣的各位可以去研究。
二、APT***帶來的危害:
APT***近年來的盛行,加上該***具有極強的隱蔽能力和針對性,傳統的安全防護系統很難防禦。加上國家層面不重視、小到各級單位的信息安全管理體系不規範,這些都有可能引發ATP***事件,嚴重會摧毀電力系統、石油化工的工控系統、以及影響到金融、銀行等重要業務系統帶來這些嚴重危害。同時APT***更加系統化和成熟化,因此對重要和敏感信息的竊取和摧毀。所以,國家政府部門、企業部門等引起關注。
構建ATP安全防禦體系:由於APT***是一種多維度且長期持續的***,通過多種方式組合***與定向擴散;加上週密完善且目標明確的信息收集與不計成本挖掘漏洞來達到***目標。通常說“三分技術,七分管理”,因此單位需要通過國際的信息安全管理規範與國內信息安全等級保護體系管理規範、分級保護管理規範等等這些手段來建立一個立體安全防禦體系。同時,還要落實單位安全產品與安全服務,終端要做好安全防護措施,要不定期進行終端電腦殺毒軟件的更新,加上單位內部要不定期對終端電腦與服務器進行漏洞掃描與安全風險評估。通過建立一個立體安全防禦體系,使得APT***大大削弱、減少或者完全不存在。
由於自己都是在同行業做,所以做了很多企業的文檔加密產品的對比。下面我以上海頤東網絡信息有限公司——英賽虎電子文檔安全管理系統爲例。由於在這一款產品的對比的時候,發現這塊產品很有設計思想,可能也符合衆多客戶的選購產品理念。在我的產品對比列表中,通過統一集中管控再授權分發到每一個客戶端,國內沒幾家,除了上海頤東網絡、北京博睿勤、鼎普科技。其它的暫時沒瞭解到,如果有,也許是OEM別的廠家的。下面看下這塊產品在ATP***下,如何做到一些防範作用。
英賽虎進程認證保護技術:APT***會在服務器或者終端電腦植入***、病毒或者其它惡意軟件等的方式來達到最終***目標。所以運行英賽虎電子文檔安全管理系統能夠在進程認證築起一道安全防線,它把信任的進程能夠使它運行,避免了***、病毒或者其它惡意軟件的運行,從而使得APT***無從下手,得以把重要資產或者業務系統保護起來。
英賽虎內存安全域技術:保護英賽虎電子文檔安全管理系統使用內存安全域技術,就是在內存中虛擬出存儲空間,用於存放中間臨時文檔,同時,在運行這些文檔過程中,其它那些沒有認證過的進程無法運行,只能運行認證過那些進程,這樣避免敏感信息通過內存溢出這種方式泄漏出去。同時在這個工作過程中,原有應用程序仍可以不改變工作模式,同時隨着系統關閉,內存會自動清零,從而使得APT***無從下手,無法從內存挖掘信息得以***最終目標系統。
英賽虎USB端口封堵:APT***呈現多面性與持續性,就算單位內部網與外部互聯網隔離、內部辦公網與其它辦公區的網絡隔離。APT***也會同樣存在,如果單位對移動存儲介質管理不規範或者沒有封堵相應的USB端口。因此,運行英賽虎電子文檔安全管理系統能夠有效地進行終端電腦USB口封堵。在這種隔離網的環境下,大大減少APT***事件發生。
下面一些採取補充防護手段
結合本單位的業務邏輯性,加上安全管理與技術管理要求,單位對移動存儲管理應有規範要求,加上部署英賽虎電子文檔安全管理系統需要對USB口封堵,這樣有效防止APT***事件發生。加上單位文檔需要對外交互或者內部交互,因此結合安全網絡刻錄機進行統一刻錄管理,該設備能控制文檔刻錄申請、文檔審批與文檔統一刻錄存儲在光盤裏,最後內部或者外部交互文檔通過光盤傳遞,更新裏面的內容。由此對APT***的防護減少。
打認機認證:無論在單位內部網絡或者通過互聯網連接到單位內部英賽虎電子文檔安全管理系統的管控網絡當中,英賽虎電子文檔安全管理系統能夠對認證過的打印機和認證過的客戶端才能申請文檔打印、文檔審批,再到最後的文檔打印。同時這個過程中都有一個嚴格控制,系統還有審計功能模塊,能夠對客戶端所進行的操作進行全程審計與記錄。這樣有效防止敏感數據泄露,減少APT***事件的發生。
文檔保護安:APT***採用社會工程學以及***內部以終端電腦作爲跳板來達到最終的***目標。在社會工程學階段大量收集敏感的信息,無論有形、無形或者文檔都是他們收集的對象。同時在***內部的階段,他們來回傳送敏感信息(如:word、pdf、excel等等文檔)。由此表明,運行英賽虎電子文檔安全管理系統起到了非常關鍵的防護作用,因爲英賽虎電子文檔安全管理系統能夠使這些文檔加密,使得***或者***者無法讀取文檔裏面的信息,這樣一來,APT通過這一種方式***無從下手,使得最終業務系統或者敏感數據得以保護。
安全審計功能:運行英賽虎電子文檔安全管理系統,其中有安全審計功能,可以針對所有操作文檔的行爲或者登錄英賽虎終端的電腦行爲進行記錄。有效做到事後有據可查,就算敏感數據進行非法操作,運用英賽虎電子文檔安全管理系統,可以做到事後一個追蹤或者一個補充審查手段。
以上是我對APT***及安全構建防禦體系的一些總結,加上自己在在同行業做相關產品,所以大大小小都瞭解相關安全產品的功能。如文中有些地方歸納的不全或者異議,希望各位點評與指正,謝謝。
——文檔加密產品起的作用
今天有幸和大家分享下APT***以及如何構建安全防禦的信息安全管理體系這方面的技術文章。也是由於這幾年一直從事安全的工作,所以對大大小小的信息安全管理和技術體系都比較深入瞭解。所以今天和大家聊聊現在比較流行的***——APT***。以下的技術及產品都是自己在工作中總結和歸納,希望對各位有幫助。
什麼是APT***?APT(Advanced Persistent Threat)高持續性威脅,這種***行爲首先具有極強的隱蔽能力,通常是利用企業或機構網絡中受信的應用程序漏洞來形成***者所需網絡;其次APT***具有很強的針對性,***觸發之前通常需要收集大量關於用戶業務流程和目標系統使用情況的精確信息,情報收集的過程更是社會工程學藝術的完美展現;當然針對被***環境的各類0day收集更是必不可少的環節。
一、APT多種***方式:
1)社會工程學***:通過社會工程學的方法收集被***目標的信息;向目標公司的特定人發送極其誘惑性的、帶有附件的郵件(如邀請他們參加行業會議,以他同事或HR部門的名義告知他更新通訊錄,請他審閱某個真實存在的項目的預算等等);受害人打開郵件觸發漏洞利用程序,從而植入***;***從遠程服務器下載惡意代碼;從而藉助惡意代碼,受害人電腦與遠程電腦建立了shell連接,***者可以任意控制受害人的電腦。
2)******:APT進行刺探工作,對特定員工目標進行***,***者儘可能蒐集該員工在Facebook、Twitter、LinkedIn和其它社交網站上發佈的信息。通過其它等手段進入特定目標,從而獲取相關的敏感信息。
3)SQL注入***:web服務器遭到***,***採用SQL注入方式,同時被黑的web服務器作爲跳板,採取對內網的其他服務器或PC進行掃描;同時進行密碼暴力破解,把內網的服務器進行黑掉。被黑的機器植入惡意代碼,並被安裝遠端控制工具(RAT),並禁用掉被黑機器IE的代理設置,建立起直連的通道,傳回大量機敏文件(WORD、PPT、PDF等等),包括所有會議記錄與組織人事架構圖。***者***更多的內網機器,多半爲高階主管點擊了看似正常的郵件附件,卻不知其中含有惡意代碼。
4)隔離網***(震網***):APT***也會對隔離網絡進行***或者傳播,如核電站工控系統,它原本就是專網的,但是也會引起APT***,由於APT***針對核電站相關工作人員的家用電腦、個人電腦等能夠接觸到互聯網的計算機發起感染***,以此爲第一道***跳板,進一步感染相關人員的U盤,病毒以U盤爲橋樑進入“堡壘”內部,隨即潛伏下來。病毒很有耐心的逐步擴散,利用多種漏洞。這是十分成功的APT***,而其最爲恐怖的地方就在於極爲巧妙的控制了***範圍,***十分精準。
其實,這幾種***佔得大多數,不過還有別的***,暫時不討論,有興趣的各位可以去研究。
二、APT***帶來的危害:
APT***近年來的盛行,加上該***具有極強的隱蔽能力和針對性,傳統的安全防護系統很難防禦。加上國家層面不重視、小到各級單位的信息安全管理體系不規範,這些都有可能引發ATP***事件,嚴重會摧毀電力系統、石油化工的工控系統、以及影響到金融、銀行等重要業務系統帶來這些嚴重危害。同時APT***更加系統化和成熟化,因此對重要和敏感信息的竊取和摧毀。所以,國家政府部門、企業部門等引起關注。
構建ATP安全防禦體系:由於APT***是一種多維度且長期持續的***,通過多種方式組合***與定向擴散;加上週密完善且目標明確的信息收集與不計成本挖掘漏洞來達到***目標。通常說“三分技術,七分管理”,因此單位需要通過國際的信息安全管理規範與國內信息安全等級保護體系管理規範、分級保護管理規範等等這些手段來建立一個立體安全防禦體系。同時,還要落實單位安全產品與安全服務,終端要做好安全防護措施,要不定期進行終端電腦殺毒軟件的更新,加上單位內部要不定期對終端電腦與服務器進行漏洞掃描與安全風險評估。通過建立一個立體安全防禦體系,使得APT***大大削弱、減少或者完全不存在。
由於自己都是在同行業做,所以做了很多企業的文檔加密產品的對比。下面我以上海頤東網絡信息有限公司——英賽虎電子文檔安全管理系統爲例。由於在這一款產品的對比的時候,發現這塊產品很有設計思想,可能也符合衆多客戶的選購產品理念。在我的產品對比列表中,通過統一集中管控再授權分發到每一個客戶端,國內沒幾家,除了上海頤東網絡、北京博睿勤、鼎普科技。其它的暫時沒瞭解到,如果有,也許是OEM別的廠家的。下面看下這塊產品在ATP***下,如何做到一些防範作用。
英賽虎進程認證保護技術:APT***會在服務器或者終端電腦植入***、病毒或者其它惡意軟件等的方式來達到最終***目標。所以運行英賽虎電子文檔安全管理系統能夠在進程認證築起一道安全防線,它把信任的進程能夠使它運行,避免了***、病毒或者其它惡意軟件的運行,從而使得APT***無從下手,得以把重要資產或者業務系統保護起來。
英賽虎內存安全域技術:保護英賽虎電子文檔安全管理系統使用內存安全域技術,就是在內存中虛擬出存儲空間,用於存放中間臨時文檔,同時,在運行這些文檔過程中,其它那些沒有認證過的進程無法運行,只能運行認證過那些進程,這樣避免敏感信息通過內存溢出這種方式泄漏出去。同時在這個工作過程中,原有應用程序仍可以不改變工作模式,同時隨着系統關閉,內存會自動清零,從而使得APT***無從下手,無法從內存挖掘信息得以***最終目標系統。
英賽虎USB端口封堵:APT***呈現多面性與持續性,就算單位內部網與外部互聯網隔離、內部辦公網與其它辦公區的網絡隔離。APT***也會同樣存在,如果單位對移動存儲介質管理不規範或者沒有封堵相應的USB端口。因此,運行英賽虎電子文檔安全管理系統能夠有效地進行終端電腦USB口封堵。在這種隔離網的環境下,大大減少APT***事件發生。
下面一些採取補充防護手段
結合本單位的業務邏輯性,加上安全管理與技術管理要求,單位對移動存儲管理應有規範要求,加上部署英賽虎電子文檔安全管理系統需要對USB口封堵,這樣有效防止APT***事件發生。加上單位文檔需要對外交互或者內部交互,因此結合安全網絡刻錄機進行統一刻錄管理,該設備能控制文檔刻錄申請、文檔審批與文檔統一刻錄存儲在光盤裏,最後內部或者外部交互文檔通過光盤傳遞,更新裏面的內容。由此對APT***的防護減少。
打認機認證:無論在單位內部網絡或者通過互聯網連接到單位內部英賽虎電子文檔安全管理系統的管控網絡當中,英賽虎電子文檔安全管理系統能夠對認證過的打印機和認證過的客戶端才能申請文檔打印、文檔審批,再到最後的文檔打印。同時這個過程中都有一個嚴格控制,系統還有審計功能模塊,能夠對客戶端所進行的操作進行全程審計與記錄。這樣有效防止敏感數據泄露,減少APT***事件的發生。
文檔保護安:APT***採用社會工程學以及***內部以終端電腦作爲跳板來達到最終的***目標。在社會工程學階段大量收集敏感的信息,無論有形、無形或者文檔都是他們收集的對象。同時在***內部的階段,他們來回傳送敏感信息(如:word、pdf、excel等等文檔)。由此表明,運行英賽虎電子文檔安全管理系統起到了非常關鍵的防護作用,因爲英賽虎電子文檔安全管理系統能夠使這些文檔加密,使得***或者***者無法讀取文檔裏面的信息,這樣一來,APT通過這一種方式***無從下手,使得最終業務系統或者敏感數據得以保護。
安全審計功能:運行英賽虎電子文檔安全管理系統,其中有安全審計功能,可以針對所有操作文檔的行爲或者登錄英賽虎終端的電腦行爲進行記錄。有效做到事後有據可查,就算敏感數據進行非法操作,運用英賽虎電子文檔安全管理系統,可以做到事後一個追蹤或者一個補充審查手段。
以上是我對APT***及安全構建防禦體系的一些總結,加上自己在在同行業做相關產品,所以大大小小都瞭解相關安全產品的功能。如文中有些地方歸納的不全或者異議,希望各位點評與指正,謝謝。
注:本人創建了一個QQ交流羣,一起對信息安全等級測評、風險評估、***測試以及整改探討相關內容、案例和成功。歡迎各位加入:71728615.