近年来APT攻击成为主要焦点:APT攻击是黑客以窃取核心资料为目的,针对企业发生的攻击和侵袭行业,APT攻击整合了情报技术、黑客技术、社会工程学等各种手段,对特定目标进行长期持续性网络攻击,项目的是访问企业钢络、获取数据、并长期秘密监视目标计算机系统。
APT攻击过程四分4步:搜集信息、渗透驻点、获取权限、实施破坏、数据外传
一、 收集信息:攻击者收集所有与目标有关的信息,这个信息涉及目标的组织架构、办公地址、产品服务、员工通讯录、管理层邮件地址、高层领导会议日程、门户网站目录结构、内部网络架构、已部署的安全网络设备、对外开放端口、企业员工使用的办公软件和邮箱系统、公司的web服务器使用的版本和系统。
二、 渗透驻点:攻击者利用钓鱼邮件、WEB服务器、U盘、通过社会工程学等手段,将提前做好的恶意程序植入目标网络内部,然后耐心等待用户打开邮件附件、URL链接、U盘文件或水坑网站。
三、 获取权限:一旦潘多拉魔盒被打开,恶意程序便会借尸还魂,完成一系统的自动操作,便于黑客控制内部设备等手段。
四、 实施破坏或数据外传:一些木马具有图像截图、键盘记录等功能,来获取用户密码等隐私资料,有了账号密码就可以利用已中招的傀儡主机远程登陆公司内部各种服务器上,把一些有价值的资料外传出去给黑客。
ARP为代表的高级威胁给业界带来了前所未有的挑战,迫切需要新的威胁检测手段和技术来应对,传统的方法有3个不足地方:1、威胁检测周期长,传统的检测工具很难对隐藏在加密流量下的恶感威胁检测,另外恶意代码变异很快,对传统的安全防御技术套路很清楚,使得发更长的时间和周期才能发现。2、单点被动防御,传统的安全防御系统都部署在网络的边界处,当威胁发生时只能各自为战,很难控制已在内部中毒后的蔓延和泛滥。3、安全业务管理复杂,过对于网元管理,各厂家标准不统一,配置 依赖手工操作,易用性差,同时各网元管理复杂,需要IP地址、端口、物理位置等 信息,用户上手难度大,此外传统的管理方法也无法提供个性法的安全定制。
相对于传统的安全防御,基于大数据和AI的安全协防是从离散的样本转向全息化的大数据分析,从传统的人工转为自动化分析,以行为、意图分析为主,为客户提供全面的、系统的安全防御体系,来保证园区网的业务安全。
大数据安全协防的核心理念是从每个网元中收集大量的与安全相关的资源信息,同时依靠大数据分析平台进行综合分析,进而可以准确识别出安全威胁事件,然后联动网络控制器进行安全处理,让园区网有主动安全防御能力。
基于大数据和AI的安全协防对抗APT攻击:
企业基于大数据和AI的安全分析器,把网络基础设施转化为传感器,作为传感器,路由交换防火墙等网络设备为分析器提供流量、日志、文件等,同时基于网络拓扑和威胁场景,制作剧本,研究入侵的意图和传播途径,以此为建立安全威胁模型和规则,通过全网监控,有异常上报CIS安全分析器,进行分析联动处理和诱捕技术,实现安全隔离,对网络行为数据进行深度挖掘,及时发现威胁并闭环处理,帮助企业提升安全分析和运维智能化、自动化的程度,使企业的关键基础设施稳固,业务永续。
安全协防的总体架构:
核心监控技术Telemetry探针:
1、 可视化运维。
2、传统用SNMP监控,秒级监控,而telemetry是毫秒级,用tcp协议,新设备都内置了探针芯片,如AP、AC、路由交换,用emdi监控音视频效果,可以查是不是丢帧用UDP协议。
相关文章: