亚洲免费av电影一区二区三区,日韩爱爱视频,51精品视频一区二区三区,91视频爱爱,日韩欧美在线播放视频,中文字幕少妇AV,亚洲电影中文字幕,久久久久亚洲av成人网址,久久综合视频网站,国产在线不卡免费播放

        ?

        公共圖書館應(yīng)對未知威脅APT攻防技術(shù)的淺析

        2018-06-25 03:47:04
        圖書館研究 2018年3期
        關(guān)鍵詞:攻擊者漏洞威脅

        陳 清

        (江西省圖書館,江西 南昌 330046)

        1 引言

        近幾年,安全威脅的性質(zhì)已經(jīng)發(fā)生了根本性的變化,專業(yè)的黑客攻擊從以前惡作劇形式或者技術(shù)炫耀性質(zhì),已經(jīng)逐步轉(zhuǎn)變到為了商業(yè)、利益、政治、宗教等具有明確目的性的惡意行為。為了攻陷傳統(tǒng)的安全檢測及防御措施,黑客們變得比以前更具耐性,而且層出不窮的0-Day、“未知”惡意軟件及APT(advanced persistent threat,高級持續(xù)性威脅)等攻擊的迅速發(fā)展給整個網(wǎng)絡(luò)現(xiàn)有的網(wǎng)絡(luò)安全防御體系提出了一個巨大的難題。

        面對日益升級的安全風險問題,如何在現(xiàn)有的安全保護下應(yīng)對越來越先進的攻擊手段,保護讀者信息不被泄露,是公共圖書館信息主管部門的主要任務(wù)之一。

        2 未知威脅的主要攻擊方式和階段

        現(xiàn)在很多公共圖書館都意識到內(nèi)部數(shù)據(jù)及讀者信息的重要性,但是仍然只是做到邊界的安全及從物理上隔離了網(wǎng)絡(luò)層的數(shù)據(jù)傳輸,在邏輯上數(shù)據(jù)流是不能阻止的。也就是說重要數(shù)據(jù)信息與外部環(huán)境在真正意義上沒有隔絕,惡意盜竊者通過邏輯上就能盜取到想要的內(nèi)部數(shù)據(jù)及讀者信息。RSA就是利用了FLASH 0DAY漏洞被APT攻擊,攻入RSA內(nèi)網(wǎng)安全保護后,SECURID令牌種子被惡意盜竊者竊取,某國核設(shè)施級別相當高的物理隔離網(wǎng)絡(luò),惡意盜竊者利用技術(shù)擺渡和7個0DAY攻擊,并成功地滲透到網(wǎng)絡(luò)當中,這些攻擊案例都是真實存在的。RSA遭受SecurID竊取攻擊流程如圖1所示。

        圖1 RSA遭受SecurID竊取攻擊流程

        傳統(tǒng)攻擊手段與APT攻擊相比有很大不同。首先,惡意盜竊者基本上是從各類終端或者工作人員尋找突破口,當公共圖書館的內(nèi)網(wǎng)用戶及接入單位越來越多時,作為信息安全的管理部門就無法保證接入用戶及單位的個人終端(筆記本、PAD、手機)完全安全。其次,APT攻擊滲透方式是采用了工程學(xué)并結(jié)合惡意軟件(木馬、釣魚軟件、病毒等)來進行攻擊,相關(guān)邊界安全設(shè)備或其他安全工具的檢測被透碼的方式輕易繞過,使得惡意盜竊者通過安全的加密通道獲取公共圖書館的重要資產(chǎn)及讀者信息數(shù)據(jù),同時還能做到很強的隱匿性,數(shù)據(jù)竊取者自身的身份、攻擊位置和盜取行為都得到很好地隱藏。

        APT攻擊具有多階段滲透的顯著特征,攻擊持續(xù)時間較長。根據(jù)其特征可以分為四個階段:前期的嗅探、中期的干擾、后期的竊聽和結(jié)尾的疏散。這四個階段一般都是逐步進行的,但并不排除一些有針對性的攻擊,只是為了實現(xiàn)某個特定目標,而進行的某一階段或多個階段的重復(fù)。

        2.1 嗅探

        嗅探是攻擊者為發(fā)動攻擊時,針對攻擊目標提前收集各方面數(shù)據(jù)的階段。大量關(guān)鍵信息通過各種社會工程學(xué)技術(shù)被攻擊者輕易地收集,比如公共圖書館內(nèi)部員工信息、圖書館業(yè)務(wù)流程信息、讀者數(shù)據(jù)以及圖書館內(nèi)部和外部網(wǎng)絡(luò)的關(guān)鍵數(shù)據(jù)。同時結(jié)合傳統(tǒng)的滲透攻擊手段收集設(shè)備信息、網(wǎng)絡(luò)流量流向、系統(tǒng)版本、應(yīng)用系統(tǒng)、業(yè)務(wù)開放端口、員工信息、管理措施等信息,然后對收集到的信息進行多維度的分類和策略分析,從而分析出被攻擊的重要數(shù)據(jù)信息,并針對目標數(shù)據(jù)可能存在的缺陷漏洞來進行攻擊。

        同時,攻擊者還會實時地收集各種各樣的0day數(shù)據(jù),編寫竊取數(shù)據(jù)的代碼和程序,從而選擇合理有效的成功率高的攻擊計劃。

        2.2 入侵

        在收集到大量數(shù)據(jù)的前提下,黑客的攻擊手段更加多樣并且更具有針對性,例如定時定點的查看被攻擊者的文件、圖片、音頻、視頻等各種類型數(shù)據(jù),從而獲得黑客所需數(shù)據(jù),另外也可以冒充運維管理員、內(nèi)部工作人員等可靠身份,從而以遠程協(xié)助的方式在用戶后臺運行惡意程序(木馬軟件、病毒軟件)或者開啟部分安全漏洞,在被攻陷用戶毫不知情的情況下,將用戶的服務(wù)請求按照黑客自定義頻率和內(nèi)容重定向到指定任意的惡意地址,被攻擊者將收到無用或惡意的電子信息,同時通過修改網(wǎng)站頁面及后臺的鏈接地址等方式,從而打亂圖書館信息管理部門的工作節(jié)奏和防范措施。

        雖然攻擊手段和攻擊工具不斷變化升級,但它們的目的是滲透到目標對象的網(wǎng)絡(luò)環(huán)境中。普通員工、運維人員、管理人員等角色都是他們滲透目標。所有的攻擊行為都偽裝成正常行為,整個過程嚴格且準確,所有的入侵都是正常的業(yè)務(wù)數(shù)據(jù)的形式,使目標不易察覺,無法做到提前預(yù)防。

        2.3 潛伏

        有經(jīng)驗的入侵者在成功入侵到目標對象的網(wǎng)絡(luò)中后,一般都不會急于獲取數(shù)據(jù)信息,而是先隱藏自己,這樣做的目的是為了避免以前的入侵行為和數(shù)據(jù)被盜之間存在的真實關(guān)聯(lián),同時,還在尋找進行下一次竊取數(shù)據(jù)的最佳時機。

        在通常情況下,當潛伏在目標對象網(wǎng)絡(luò)中的惡意軟件檢測到內(nèi)部環(huán)境符合要求并具備攻擊條件時,提前設(shè)定好的惡意嵌入式程序開始執(zhí)行,必要的情況下攻擊者進行遠程的手動操作。根據(jù)攻擊者的不同目的,輕者通過VPN等加密通道或者建立一條比較安全的連接進行傳輸數(shù)據(jù),嚴重者直接修改或者銷毀關(guān)鍵數(shù)據(jù),這對用戶來說是滅頂之災(zāi)。

        2.4 撤離

        大多數(shù)攻擊者在達成目的后,為了隱藏真實的攻擊過程,不留下任何犯罪蹤跡,會對登錄修改日志信息、設(shè)備的策略配置參數(shù)、應(yīng)用狀態(tài)信息、全網(wǎng)監(jiān)控數(shù)據(jù)進行刪除及銷毀,從而做到保護攻擊者的自身安全。再根據(jù)之前嗅探和入侵時所收集的數(shù)據(jù)作為判斷依據(jù),使各方面日志、參數(shù)配置等數(shù)據(jù)恢復(fù)成正常狀態(tài),而且不會影響到被攻擊者正在使用的網(wǎng)絡(luò)及業(yè)務(wù)環(huán)境,這樣,被攻擊者就不會在日常的維護與監(jiān)管中發(fā)現(xiàn)業(yè)務(wù)存在異常,攻擊者在竊取到想要的數(shù)據(jù)同時,也保護了自己的安全。

        圖2 安全防護服務(wù)模型

        3 未知威脅的可行防護措施

        目前針對傳統(tǒng)的安全防護體系(如圖2所示)存在以下問題:安全檢測基本上是靠安全規(guī)則和已知的威脅特征庫(入侵、病毒);安全問題的處理能力滯后,對潛在的未知威脅缺乏感知能力,對模塊之間缺乏關(guān)聯(lián)分析能力。

        通過加強安全管理能力和提高安全措施,并且使用根據(jù)信息數(shù)據(jù)安全思維研發(fā)的產(chǎn)品和系統(tǒng),可以實現(xiàn)業(yè)務(wù)系統(tǒng)及核心數(shù)據(jù)的安全可控。但是,在絕大多數(shù)的公共圖書館網(wǎng)絡(luò)系統(tǒng)中,運維人員或業(yè)務(wù)發(fā)展都不具備相對應(yīng)的安全能力。例如,有時由于他們受限于開發(fā)能力、管理技巧、運維保障,需要使用第三方服務(wù)或產(chǎn)品。這些對于信息主管部門都是不可控的安全內(nèi)容。因此,圖書館要對使用的產(chǎn)品供應(yīng)鏈的安全性與保修范圍以及外包駐場人員訪問權(quán)限、監(jiān)管力度、問責方式等進行管理。除此之外,提高對無特征未知威脅的認識可能更為重要。

        在目前現(xiàn)有的網(wǎng)絡(luò)環(huán)境與安全防范技術(shù)條件下,如遇到未知威脅的攻擊時,如何能夠具備更多的防御思維及治理手段,筆者根據(jù)長期從事安全信息管理的經(jīng)驗,對安全攻擊事件中的事前和事中分別提出部分建議,以供參考。

        首先,目前圖書館業(yè)內(nèi)大多數(shù)安全設(shè)備基本上根據(jù)已知威脅特癥庫進行比對來發(fā)現(xiàn)攻擊,或者等攻擊已經(jīng)完成后,發(fā)現(xiàn)業(yè)務(wù)與網(wǎng)絡(luò)的異常、數(shù)據(jù)的丟失或者日志的查看,才發(fā)現(xiàn)自己單位的網(wǎng)絡(luò)被攻擊、數(shù)據(jù)被竊取,之后再采取一些補救措施,總體來說都是非常被動的。事實上,現(xiàn)有安全防御產(chǎn)品都無法從源頭上進行安全防護。

        針對公共圖書館的業(yè)務(wù)自動化系統(tǒng)及網(wǎng)絡(luò)運行環(huán)境進行監(jiān)測和評估,建立一套能提前預(yù)防系統(tǒng),首先要分析哪些重要的業(yè)務(wù)數(shù)據(jù)需要保護,它與其他數(shù)據(jù)有何關(guān)聯(lián),因此,可以制定一個初步的安全防護標準,接著對數(shù)據(jù)之間的關(guān)聯(lián)進行進一步分析,從而分析出哪些數(shù)據(jù)存在威脅。具體可以對微觀層面的數(shù)據(jù)權(quán)限關(guān)系進行分析,把可能存在的潛在威脅模擬成安全漏洞,再根據(jù)漏洞形式分析出在系統(tǒng)中的表現(xiàn),通過在系統(tǒng)中表現(xiàn)出來的形式實施對應(yīng)的安全手段??梢酝ㄟ^這種方式獲得系統(tǒng)安全策略,完成安全要求,然后對安全策略、安全功能和安全實施驗證,最終可以形成一套高覆蓋率、流程完整的安全測試方法。

        其次,及時發(fā)現(xiàn)已經(jīng)出現(xiàn)的安全事件中的問題。對正在進行中的漏洞、惡意攻擊等行為可通過技術(shù)手段及時發(fā)現(xiàn),從應(yīng)用層面分析。漏洞包括內(nèi)存層面的漏洞、腳本層面的漏洞二大類?;诼┒磳用娴姆治?,主要是通過站點分析技術(shù)、0day攻擊檢測技術(shù)、惡意鏈路分析技術(shù),惡意代碼分析技術(shù)以及網(wǎng)絡(luò)邊界和終端聯(lián)動的等技術(shù),沙箱檢測技術(shù)之所以能夠比較準確地檢測到各類型應(yīng)用層上的攻擊,就是上述技術(shù)組合應(yīng)用的體現(xiàn)??梢哉f,對縱深創(chuàng)建一套防御體系,就是APT安全防御的核心技術(shù),其中包括0-day木馬對抗與檢測、0-day漏洞觸發(fā)與檢測、識別加密隧道以及威脅事件關(guān)聯(lián)與分析。

        對于0-day木馬檢測技術(shù),引擎采用沙箱檢測技術(shù),判斷難點是難以識別惡意攻擊點,因而只能作為0-day漏洞的一個補充技術(shù)。0-day可以立刻判斷出對方的惡意行為,然后準確無誤地分析出漏洞行為特征,通過智能分析將攻擊特征、攻擊行為,迅速加入到智能學(xué)習(xí)中,并關(guān)聯(lián)到其他特征庫。

        針對加密數(shù)據(jù)的可靠識別可以分為兩類[1]:一是加密的協(xié)議隧道,加密協(xié)議隧道的數(shù)據(jù)更為安全,受保護的層面更高更加復(fù)雜一些;二是未加密的協(xié)議隧道,未加密協(xié)議通道是對通過的異常流量和行為進行分析進而發(fā)現(xiàn)潛在威脅。未知威脅的APT攻擊這種手法早就普遍使用,因此要不斷充實外部分析內(nèi)容,在對外部關(guān)聯(lián)數(shù)據(jù)進行判斷同時,還需對站點的信息進行分析,從而對遠程連接對象進行有效識別并判斷其行為的可信度,這一點要真正實現(xiàn)有一定難度。

        針對APT這種無特征多變化的攻擊方式,我們可以憑借收集的海量數(shù)據(jù),并對其進行分析,配合已部署的安全防護模塊進行聯(lián)合防護。通過分析APT攻擊手段,我們也能采用此方法來進行安全保護,許多安全事件看似獨立,其實它與各方面都是有著密切的關(guān)聯(lián)。通過分析平時的一些不尋常的流量特征,網(wǎng)絡(luò)服務(wù)、業(yè)務(wù)流向、數(shù)據(jù)外傳的微小變動,有價值的安全信息有可能被挖掘出來。安全隱患的集中數(shù)據(jù)挖掘如圖3所示。

        圖3 安全隱患的集中數(shù)據(jù)挖掘

        我們所需要做的就是把相關(guān)的一些數(shù)據(jù)相結(jié)合并關(guān)聯(lián)在一起,包括流量特征與屬性、審計日志、數(shù)據(jù)通信設(shè)備、安全設(shè)備、安全事件、終端信息、人員信息等,只要有足夠的數(shù)據(jù)量和覆蓋范圍,一些潛在的安全隱患或被隱藏的未知威脅就能夠被及時發(fā)現(xiàn),無論攻擊者使用什么攻擊方法或者使用什么攻擊工具,基本上都是有跡可循,最終能被發(fā)現(xiàn)的。

        4 結(jié)束語

        正所謂道高一尺,魔高一丈。由于高級威脅和0-day攻擊極其隱蔽,能高度地繞開或規(guī)避檢測,導(dǎo)致目前很多傳統(tǒng)的基于特征庫比對的安全防范設(shè)備與方法都無法查出和防御類似于未知威脅或0-day攻擊的攻擊行為,所以現(xiàn)在的信息安全防范模型正在從基于威脅的保護轉(zhuǎn)變到面向風險的保護。

        因此,形成一個具有深層次的且有關(guān)聯(lián)性分析的防御體系,對防御未知威脅,特別是APT檢測識別體系上具有重要意義。完善的滲透檢測識別技術(shù),對異常流量和行為進行分析,并對結(jié)果加以識別與判斷,能夠防御各種攻擊0-day漏洞以及木馬病毒等惡意程序。以上就是針對未知威脅并結(jié)合當前現(xiàn)有技術(shù)提出的檢測體系。

        [參考文獻]

        [1]黃達理,薛質(zhì).進階持續(xù)性滲透攻擊的特征分析研究[J].信息安全與通信保密,2012(5):87-89.

        猜你喜歡
        攻擊者漏洞威脅
        漏洞
        基于微分博弈的追逃問題最優(yōu)策略設(shè)計
        人類的威脅
        受到威脅的生命
        正面迎接批判
        愛你(2018年16期)2018-06-21 03:28:44
        面對孩子的“威脅”,我們要會說“不”
        家教世界(2017年11期)2018-01-03 01:28:49
        三明:“兩票制”堵住加價漏洞
        漏洞在哪兒
        兒童時代(2016年6期)2016-09-14 04:54:43
        Why Does Sleeping in Just Make Us More Tired?
        高鐵急救應(yīng)補齊三漏洞
        国产精品天干天干综合网| 人成视频在线观看免费播放| 精品国产亚洲人成在线观看| 天天澡天天揉揉AV无码人妻斩 | 蕾丝女同一区二区三区| 欧美老妇交乱视频在线观看| 人妻在线日韩免费视频| 欧美性一区| 少妇呻吟一区二区三区| 国产亚洲精品久久午夜玫瑰园| 国产麻豆md传媒视频 | 国产av大片在线观看| 亚洲av色福利天堂久久入口| 久久久久久久极品内射| 亚洲成色在线综合网站| 无码视频一区=区| a黄片在线视频免费播放| 熟女少妇内射日韩亚洲| 亚洲精品不卡电影| 国产一区二区三区日韩精品| 亚洲综合网国产精品一区| 无码毛片视频一区二区本码| 国产成人精品日本亚洲专区6 | 一本一道久久综合久久| 精品国产91天堂嫩模在线观看| 国产免费99久久精品| 日本xxxx色视频在线观看| 日本又黄又爽gif动态图| 亚洲xx视频| 在线观看午夜视频国产| 国产精品激情| 啪啪无码人妻丰满熟妇| 日韩黄色大片免费网站| 人人做人人爽人人爱| 免费大片黄在线观看| 手机av男人天堂免费网址| 日产一区二区三区免费看| 亚洲一线二线三线写真| 国产成人福利在线视频不卡| 毛片在线播放亚洲免费中文网| 亚洲春色在线视频|