近年來，眾多知名公司遭受APT攻擊事件被曝光，使得APT攻擊成為業內談論的高頻詞匯。所謂APT，(Advanced Persistent Threat)——高級持續性威脅，可以從三個方面來理解：

　　(1)高級性。具有非常明確的目標，應用多種嗅探手段以及全面的情報搜集。通常利用0day漏洞，采用廣譜性的入侵技術，由分工明確一組或多組人員協作完成，多為專業的網絡犯罪團伙或有組織和國家支持的特種攻擊團隊。

　　(2)持續性。攻擊的偵查和攻擊過程持續時間很長，以不達目的不罷休的決心，潛伏在網絡內部，等待時機竊取數據信息。(3)隱蔽性。入侵進目標系統后，常常采用在系統底層建立隱蔽后門通道，使用增加數字簽名、使用DLL搜尋路徑劫持等技術來隱藏自身或偽裝成合法程序運行在主機上。

　　1、APT攻擊過程

　　APT攻擊過程大致上相同，大體上可以分為五個步驟：(1)攻擊目標之前，攻擊者會進行嗅探網絡和搜索有關于目標的情報。通常利用google搜索和各種掃描工具來搜索收集有用的人員信息，網絡和主機信息等等。

　　(2)通過收集的信息，利用0day漏洞，攻擊特定的主機，并且將惡意程序發送到主機上并誘使人員運行惡意程序�；蛳蛱囟ǖ娜藛T發送含有惡意URL的郵件或消息，目標人員打開郵件或瀏覽了惡意的URL，就會執行特制的惡意代碼，自動下載惡意程序到本地，并且執行。(3)在被控制的主機和C&C服務器之間上建立一個穿過內網防火墻的秘密通道。(4)利用通道尋找重要信息，并確立目標系統。通過通道搜索高層人員的主機，獲得高等權限，能夠訪問存儲數據的服務器。(5)利用通道向本機或指定機器傳輸數據。攻擊者采用高級規避技術將數據傳輸到外網。外傳數據方法有很多，如偽裝成可信數據，DNS流量等。

　　2、APT攻擊防護措施

　　從APT攻擊過程看出，攻擊經過了多個步驟，同時也為檢測和防護提供了機會。因此，APT攻擊防護可從防范嗅探網絡，防范社會工程學攻擊，網絡異常行為檢測，防數據泄漏等方面來進行。

　　2.1 防嗅探網絡

　　防范攻擊者嗅探網絡，也就意味著在攻擊者的第一步設下了障礙，降低了網絡和主機信息的泄露幾率，從而保護了內部網絡的安全。防嗅探網絡可以從以下幾方面入手：(1)盡量在網絡中使用交換機和路由器。由于嗅探只能在當前網絡上進行數據嗅探，所以將網絡劃分的越精細，嗅探到的信息就越少。(2)會話加密。對會話進行加密。這樣就不用擔心數據被嗅探，即使嗅探器嗅探到了數據，攻擊者也不認識嗅探到的數據，這些數據對其也是沒有用的。(3)使用靜態IP-MAC地址表。使用靜態IPMAC地址對應，能夠有效的防范IP地址欺騙和MAC地址欺騙在網絡內部進行嗅探。(4)部署防火墻。在網絡邊界處部署防火墻能夠有效的攔截嗅探的數據包。同時，在網絡內部關鍵節點部署防火墻，防止來自內部的嗅探信息。

　　2.2 防范社會工程學攻擊

　　社會工程攻擊，主要利用復雜的人際關系進行攻擊。理論上講，系統以及程序所帶來的安全是可以避免的，而對人性和心理方面來說，對社會工程學攻擊的防范是很難的。因此提高人的安全意識，才是防范社會工程學攻擊最基本的方法。如對禁止員工在微信微博上發布有關工作的信息，在社交網站上公布自己的私人信息。同時，要對員工進行網絡安全意識和網絡安全技術的培訓，培養員工的保密意識。首先，小心從個人發出的詢問員工或其他內部資料的來路不明的電話，訪問或者電子郵件信息。其次，要強化員工的密碼保護意識，不要用生日、電話、身份證號作為密碼。最后，對員工進行網絡安全技術培訓，主要從系統漏洞補丁、應用程序漏洞補丁、殺毒軟件、防火墻、運行可執行應用程序等方面入手，讓員工主動進行網絡安全的防御，來防范社會工程學攻擊，進而防范APT攻擊。

　　2.3 網絡異常行為檢測

　　從APT攻擊過程可以看出，網絡異常行為包括對內部網絡的掃描探測，內部的非授權訪問，對外部的非法下載，非法外聯。這些網絡異常行為，包括網絡層面的異常行為和用戶層面的異常行為。如此以來，就要對內部網絡的情況了如指掌。因此，便需要對網絡內部異常行為監控和收集，進而對收集的信息進行分類和分析。如部署IDS，審計系統等類似的信息收集和檢測系統。

　　2.4 防數據泄露

　　防范APT攻擊的最重要的環節就是防數據泄露。部署好防范策略，能夠有效的防止機密信息丟失。

　　(1)識別數據并進行分類。企業可以根據詳細的完善的數據分類機制，針對不同的數據類型來設計和實施相應的控制措施。(2)謹慎使用僅限查看訪問。使用數據倉庫和建立全公司報告能力的需求意味著用戶可以更輕松的將之前不相關的數據進行整合，而這也導致了更多的人可以訪問非常敏感的數據。這也為攻擊者提供了途徑來盜取機密數據。所以，要對訪問查看數據進行嚴格的控制，對擁有查看訪問權限用戶進行嚴格限制。從而防范數據被通常用戶及攻擊者查看到。(3)禁止在網絡上使用未經授權的設備。禁止未經授權人士進入公司場所訪問網絡資源，禁止內部用戶將個人設備連接到公司網絡上等。個人設備是最有可能缺少終端安全控制措施的設備，也是對機密數據威脅最大的設備。嚴格的禁止個人設備連接到公司網絡上能有效的防止數據遭竊取。(4)禁止將敏感數據復制到可移動媒體上。將終端所有可能移動存儲設備設置為禁止寫入，防止人員復制敏感數據。筆記本電腦、智能手機等移動設備應采用全盤加密，公司應適當具備在設備泄露或被盜時將其遠程擦除的能力。

　　3、結語

　　有效防護APT攻擊需要一套詳細的完整的防護體系，可以根據以上的防護措施進行部署防護策略，從而做到防御APT攻擊或者減少遭遇APT攻擊的概率。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.vmgcyvh.cn/

本文標題：APT攻擊防護淺談

本文網址：http://www.vmgcyvh.cn/html/support/11121513596.html