关于APT***及如何构建安全防御体系
——文档加密产品起的作用
今天有幸和大家分享下APT***以及如何构建安全防御的信息安全管理体系这方面的技术文章。也是由于这几年一直从事安全的工作,所以对大大小小的信息安全管理和技术体系都比较深入了解。所以今天和大家聊聊现在比较流行的***——APT***。以下的技术及产品都是自己在工作中总结和归纳,希望对各位有帮助。
什么是APT***?APT(Advanced Persistent Threat)高持续性威胁,这种***行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成***者所需网络;其次APT***具有很强的针对性,***触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社会工程学艺术的完美展现;当然针对被***环境的各类0day收集更是必不可少的环节。
一、APT多种***方式:
1)社会工程学***:通过社会工程学的方法收集被***目标的信息;向目标公司的特定人发送极其诱惑性的、带有附件的邮件(如邀请他们参加行业会议,以他同事或HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算等等);受害人打开邮件触发漏洞利用程序,从而植入***;***从远程服务器下载恶意代码;从而借助恶意代码,受害人电脑与远程电脑建立了shell连接,***者可以任意控制受害人的电脑。
2)******:APT进行刺探工作,对特定员工目标进行***,***者尽可能搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。通过其它等手段进入特定目标,从而获取相关的敏感信息。
3)SQL注入***:web服务器遭到***,***采用SQL注入方式,同时被黑的web服务器作为跳板,采取对内网的其他服务器或PC进行扫描;同时进行密码暴力破解,把内网的服务器进行黑掉。被黑的机器植入恶意代码,并被安装远端控制工具(RAT),并禁用掉被黑机器IE的代理设置,建立起直连的通道,传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图。***者***更多的内网机器,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
4)隔离网***(震网***):APT***也会对隔离网络进行***或者传播,如核电站工控系统,它原本就是专网的,但是也会引起APT***,由于APT***针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染***,以此为第一道***跳板,进一步感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种漏洞。这是十分成功的APT***,而其最为恐怖的地方就在于极为巧妙的控制了***范围,***十分精准。
其实,这几种***占得大多数,不过还有别的***,暂时不讨论,有兴趣的各位可以去研究。
二、APT***带来的危害:
APT***近年来的盛行,加上该***具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。加上国家层面不重视、小到各级单位的信息安全管理体系不规范,这些都有可能引发ATP***事件,严重会摧毁电力系统、石油化工的工控系统、以及影响到金融、银行等重要业务系统带来这些严重危害。同时APT***更加系统化和成熟化,因此对重要和敏感信息的窃取和摧毁。所以,国家政府部门、企业部门等引起关注。
构建ATP安全防御体系:由于APT***是一种多维度且长期持续的***,通过多种方式组合***与定向扩散;加上周密完善且目标明确的信息收集与不计成本挖掘漏洞来达到***目标。通常说“三分技术,七分管理”,因此单位需要通过国际的信息安全管理规范与国内信息安全等级保护体系管理规范、分级保护管理规范等等这些手段来建立一个立体安全防御体系。同时,还要落实单位安全产品与安全服务,终端要做好安全防护措施,要不定期进行终端电脑杀毒软件的更新,加上单位内部要不定期对终端电脑与服务器进行漏洞扫描与安全风险评估。通过建立一个立体安全防御体系,使得APT***大大削弱、减少或者完全不存在。
由于自己都是在同行业做,所以做了很多企业的文档加密产品的对比。下面我以上海颐东网络信息有限公司——英赛虎电子文档安全管理系统为例。由于在这一款产品的对比的时候,发现这块产品很有设计思想,可能也符合众多客户的选购产品理念。在我的产品对比列表中,通过统一集中管控再授权分发到每一个客户端,国内没几家,除了上海颐东网络、北京博睿勤、鼎普科技。其它的暂时没了解到,如果有,也许是OEM别的厂家的。下面看下这块产品在ATP***下,如何做到一些防范作用。
英赛虎进程认证保护技术:APT***会在服务器或者终端电脑植入***、病毒或者其它恶意软件等的方式来达到最终***目标。所以运行英赛虎电子文档安全管理系统能够在进程认证筑起一道安全防线,它把信任的进程能够使它运行,避免了***、病毒或者其它恶意软件的运行,从而使得APT***无从下手,得以把重要资产或者业务系统保护起来。
英赛虎内存安全域技术:保护英赛虎电子文档安全管理系统使用内存安全域技术,就是在内存中虚拟出存储空间,用于存放中间临时文档,同时,在运行这些文档过程中,其它那些没有认证过的进程无法运行,只能运行认证过那些进程,这样避免敏感信息通过内存溢出这种方式泄漏出去。同时在这个工作过程中,原有应用程序仍可以不改变工作模式,同时随着系统关闭,内存会自动清零,从而使得APT***无从下手,无法从内存挖掘信息得以***最终目标系统。
英赛虎USB端口封堵:APT***呈现多面性与持续性,就算单位内部网与外部互联网隔离、内部办公网与其它办公区的网络隔离。APT***也会同样存在,如果单位对移动存储介质管理不规范或者没有封堵相应的USB端口。因此,运行英赛虎电子文档安全管理系统能够有效地进行终端电脑USB口封堵。在这种隔离网的环境下,大大减少APT***事件发生。
下面一些采取补充防护手段
结合本单位的业务逻辑性,加上安全管理与技术管理要求,单位对移动存储管理应有规范要求,加上部署英赛虎电子文档安全管理系统需要对USB口封堵,这样有效防止APT***事件发生。加上单位文档需要对外交互或者内部交互,因此结合安全网络刻录机进行统一刻录管理,该设备能控制文档刻录申请、文档审批与文档统一刻录存储在光盘里,最后内部或者外部交互文档通过光盘传递,更新里面的内容。由此对APT***的防护减少。
打认机认证:无论在单位内部网络或者通过互联网连接到单位内部英赛虎电子文档安全管理系统的管控网络当中,英赛虎电子文档安全管理系统能够对认证过的打印机和认证过的客户端才能申请文档打印、文档审批,再到最后的文档打印。同时这个过程中都有一个严格控制,系统还有审计功能模块,能够对客户端所进行的操作进行全程审计与记录。这样有效防止敏感数据泄露,减少APT***事件的发生。
文档保护安:APT***采用社会工程学以及***内部以终端电脑作为跳板来达到最终的***目标。在社会工程学阶段大量收集敏感的信息,无论有形、无形或者文档都是他们收集的对象。同时在***内部的阶段,他们来回传送敏感信息(如:word、pdf、excel等等文档)。由此表明,运行英赛虎电子文档安全管理系统起到了非常关键的防护作用,因为英赛虎电子文档安全管理系统能够使这些文档加密,使得***或者***者无法读取文档里面的信息,这样一来,APT通过这一种方式***无从下手,使得最终业务系统或者敏感数据得以保护。
安全审计功能:运行英赛虎电子文档安全管理系统,其中有安全审计功能,可以针对所有操作文档的行为或者登录英赛虎终端的电脑行为进行记录。有效做到事后有据可查,就算敏感数据进行非法操作,运用英赛虎电子文档安全管理系统,可以做到事后一个追踪或者一个补充审查手段。
以上是我对APT***及安全构建防御体系的一些总结,加上自己在在同行业做相关产品,所以大大小小都了解相关安全产品的功能。如文中有些地方归纳的不全或者异议,希望各位点评与指正,谢谢。
——文档加密产品起的作用
今天有幸和大家分享下APT***以及如何构建安全防御的信息安全管理体系这方面的技术文章。也是由于这几年一直从事安全的工作,所以对大大小小的信息安全管理和技术体系都比较深入了解。所以今天和大家聊聊现在比较流行的***——APT***。以下的技术及产品都是自己在工作中总结和归纳,希望对各位有帮助。
什么是APT***?APT(Advanced Persistent Threat)高持续性威胁,这种***行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成***者所需网络;其次APT***具有很强的针对性,***触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社会工程学艺术的完美展现;当然针对被***环境的各类0day收集更是必不可少的环节。
一、APT多种***方式:
1)社会工程学***:通过社会工程学的方法收集被***目标的信息;向目标公司的特定人发送极其诱惑性的、带有附件的邮件(如邀请他们参加行业会议,以他同事或HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算等等);受害人打开邮件触发漏洞利用程序,从而植入***;***从远程服务器下载恶意代码;从而借助恶意代码,受害人电脑与远程电脑建立了shell连接,***者可以任意控制受害人的电脑。
2)******:APT进行刺探工作,对特定员工目标进行***,***者尽可能搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。通过其它等手段进入特定目标,从而获取相关的敏感信息。
3)SQL注入***:web服务器遭到***,***采用SQL注入方式,同时被黑的web服务器作为跳板,采取对内网的其他服务器或PC进行扫描;同时进行密码暴力破解,把内网的服务器进行黑掉。被黑的机器植入恶意代码,并被安装远端控制工具(RAT),并禁用掉被黑机器IE的代理设置,建立起直连的通道,传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图。***者***更多的内网机器,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
4)隔离网***(震网***):APT***也会对隔离网络进行***或者传播,如核电站工控系统,它原本就是专网的,但是也会引起APT***,由于APT***针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染***,以此为第一道***跳板,进一步感染相关人员的U盘,病毒以U盘为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,利用多种漏洞。这是十分成功的APT***,而其最为恐怖的地方就在于极为巧妙的控制了***范围,***十分精准。
其实,这几种***占得大多数,不过还有别的***,暂时不讨论,有兴趣的各位可以去研究。
二、APT***带来的危害:
APT***近年来的盛行,加上该***具有极强的隐蔽能力和针对性,传统的安全防护系统很难防御。加上国家层面不重视、小到各级单位的信息安全管理体系不规范,这些都有可能引发ATP***事件,严重会摧毁电力系统、石油化工的工控系统、以及影响到金融、银行等重要业务系统带来这些严重危害。同时APT***更加系统化和成熟化,因此对重要和敏感信息的窃取和摧毁。所以,国家政府部门、企业部门等引起关注。
构建ATP安全防御体系:由于APT***是一种多维度且长期持续的***,通过多种方式组合***与定向扩散;加上周密完善且目标明确的信息收集与不计成本挖掘漏洞来达到***目标。通常说“三分技术,七分管理”,因此单位需要通过国际的信息安全管理规范与国内信息安全等级保护体系管理规范、分级保护管理规范等等这些手段来建立一个立体安全防御体系。同时,还要落实单位安全产品与安全服务,终端要做好安全防护措施,要不定期进行终端电脑杀毒软件的更新,加上单位内部要不定期对终端电脑与服务器进行漏洞扫描与安全风险评估。通过建立一个立体安全防御体系,使得APT***大大削弱、减少或者完全不存在。
由于自己都是在同行业做,所以做了很多企业的文档加密产品的对比。下面我以上海颐东网络信息有限公司——英赛虎电子文档安全管理系统为例。由于在这一款产品的对比的时候,发现这块产品很有设计思想,可能也符合众多客户的选购产品理念。在我的产品对比列表中,通过统一集中管控再授权分发到每一个客户端,国内没几家,除了上海颐东网络、北京博睿勤、鼎普科技。其它的暂时没了解到,如果有,也许是OEM别的厂家的。下面看下这块产品在ATP***下,如何做到一些防范作用。
英赛虎进程认证保护技术:APT***会在服务器或者终端电脑植入***、病毒或者其它恶意软件等的方式来达到最终***目标。所以运行英赛虎电子文档安全管理系统能够在进程认证筑起一道安全防线,它把信任的进程能够使它运行,避免了***、病毒或者其它恶意软件的运行,从而使得APT***无从下手,得以把重要资产或者业务系统保护起来。
英赛虎内存安全域技术:保护英赛虎电子文档安全管理系统使用内存安全域技术,就是在内存中虚拟出存储空间,用于存放中间临时文档,同时,在运行这些文档过程中,其它那些没有认证过的进程无法运行,只能运行认证过那些进程,这样避免敏感信息通过内存溢出这种方式泄漏出去。同时在这个工作过程中,原有应用程序仍可以不改变工作模式,同时随着系统关闭,内存会自动清零,从而使得APT***无从下手,无法从内存挖掘信息得以***最终目标系统。
英赛虎USB端口封堵:APT***呈现多面性与持续性,就算单位内部网与外部互联网隔离、内部办公网与其它办公区的网络隔离。APT***也会同样存在,如果单位对移动存储介质管理不规范或者没有封堵相应的USB端口。因此,运行英赛虎电子文档安全管理系统能够有效地进行终端电脑USB口封堵。在这种隔离网的环境下,大大减少APT***事件发生。
下面一些采取补充防护手段
结合本单位的业务逻辑性,加上安全管理与技术管理要求,单位对移动存储管理应有规范要求,加上部署英赛虎电子文档安全管理系统需要对USB口封堵,这样有效防止APT***事件发生。加上单位文档需要对外交互或者内部交互,因此结合安全网络刻录机进行统一刻录管理,该设备能控制文档刻录申请、文档审批与文档统一刻录存储在光盘里,最后内部或者外部交互文档通过光盘传递,更新里面的内容。由此对APT***的防护减少。
打认机认证:无论在单位内部网络或者通过互联网连接到单位内部英赛虎电子文档安全管理系统的管控网络当中,英赛虎电子文档安全管理系统能够对认证过的打印机和认证过的客户端才能申请文档打印、文档审批,再到最后的文档打印。同时这个过程中都有一个严格控制,系统还有审计功能模块,能够对客户端所进行的操作进行全程审计与记录。这样有效防止敏感数据泄露,减少APT***事件的发生。
文档保护安:APT***采用社会工程学以及***内部以终端电脑作为跳板来达到最终的***目标。在社会工程学阶段大量收集敏感的信息,无论有形、无形或者文档都是他们收集的对象。同时在***内部的阶段,他们来回传送敏感信息(如:word、pdf、excel等等文档)。由此表明,运行英赛虎电子文档安全管理系统起到了非常关键的防护作用,因为英赛虎电子文档安全管理系统能够使这些文档加密,使得***或者***者无法读取文档里面的信息,这样一来,APT通过这一种方式***无从下手,使得最终业务系统或者敏感数据得以保护。
安全审计功能:运行英赛虎电子文档安全管理系统,其中有安全审计功能,可以针对所有操作文档的行为或者登录英赛虎终端的电脑行为进行记录。有效做到事后有据可查,就算敏感数据进行非法操作,运用英赛虎电子文档安全管理系统,可以做到事后一个追踪或者一个补充审查手段。
以上是我对APT***及安全构建防御体系的一些总结,加上自己在在同行业做相关产品,所以大大小小都了解相关安全产品的功能。如文中有些地方归纳的不全或者异议,希望各位点评与指正,谢谢。
注:本人创建了一个QQ交流群,一起对信息安全等级测评、风险评估、***测试以及整改探讨相关内容、案例和成功。欢迎各位加入:71728615.