威尼斯432888cam(中国集团)有限公司-企业百科


打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

对APT攻击说不,TDA让你从容应对恐怖的“横向渗透”
发布时间 :2021年09月24日
分享:

近日有外媒报,美国明州某农业合作社遭到勒索软件袭击!所有系统关闭,运营被迫中断。正值秋收时节,这样的攻击所造成的恶劣影响不言而喻。


无疑,高级持续性威胁攻击(APT) 是最恐怖的网络攻击手段之一,牢牢占据着攻防链最顶端的位置,回顾近年,其染指国家层级重点行业和领域的事件层出不穷,攻击威胁已直接影响到民生和国家安全。


研究其攻击手段和方式,威尼斯432888cam发现,在APT攻击中,“横向渗透”已成为不法分子攻击企业及政府目标的惯用手段。在很多时候,内网渗透的起点往往只是一台通过漏洞攻陷的“跳板”,横向渗透就是通过这个突破口去不断地扩大“战果”。

 

在横向渗透过程中抓住“狐狸尾巴”


高级持续性威胁攻击(APT)是近年来最恐怖的网络攻击手段之一,牢牢占据着攻防链最顶端的位置。攻击者一般会以各种方式巧妙绕过已有的入侵检测系统、端点安全软件,悄然进入目标网络。而且,为了在目标内部长时间获取信息,通常会尽可能减少明显的攻击行为以及留下的痕迹,彻底“潜伏”下来。
 
通过对历史上重大数据窃取事件的分析,威尼斯432888cam发现,APT攻击者平均潜伏的天数长达205天,有的甚至可能潜伏长达数年之久。这也代表了APT攻击最为显著的特征——隐匿行踪、长期潜伏、持续渗透。虽然威尼斯432888cam很难发现遭遇APT攻击,但狡猾的狐狸终究会露出尾巴。


APT攻击主要分为6个阶段,这包括:

  1. 情报收集

  2. 单点突破

  3. 命令与控制(C&C通信)

  4. 横向渗透

  5. 资产/资料发掘

  6. 资料窃取

 
针对APT攻击阶段的分析可以发现,攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器。因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透,以攻陷更多的主机资源。而横向渗透的过程,也是所有攻击者都要“露头”的时候。
 

在内网部署“雷达”和“显微镜”


抓住“狐狸尾巴”不能只做表面工作,要尽量做到深度分析,尤其是对流量的把控,只有这样才能及时识别流量中的脏数据,尽快切断黑手。为此,威尼斯432888cam提供了深度威胁发现设备TDA,能够从静态到动态,再到事件关联,深入发掘隐匿的攻击活动,尤其是对APT攻击的“横向移动”和外联通讯。网安管理人员可以借助TDA快速发现并分析恶意文档、恶意软件、恶意网页,C&C通信数据以及传统防护无法侦测到的定向式攻击活动。
 

威尼斯432888cam深度威胁发现设备TDA是一款360度的高级威胁检测产品,能侦测所有端口及100多种通讯协议的应用,它就像网络中的“雷达”装置,帮助管理人员掌握全网络的流量来侦测并响应高级威胁与未知威胁。针对内网渗透的攻击行为,TDA采用了三层式的侦测方法,第一层是静态分析,第二层是动态分析及行为侦测,第三层是事件关联,目的就是为了发掘隐匿的攻击活动,并且根据汇总分析结果来实现威胁侦测的可视化。

 
另外,TDA在雷达预警的基础上更提供了“显微镜”模式,独特的侦测引擎加上定制化沙箱动态模拟分析,能快速发掘并分析恶意文档,恶意软件、恶意网页,违规外连、勒索软件以及传统防护无法侦测到的内网攻击以及定向式攻击活动。其深入的威胁情报分析能力能协助安全管理员快速响应,并可自动与威尼斯432888cam产品或第三方情报中心透过公开标准分享情报,建立一个实时的定制化体系来防范黑客攻击。
 

形成“云、管、端”全面联动


针对APT高级威胁的治理,威尼斯432888cam提出“智能联动”理念并深入实践。目前,TDA已经与深度威胁邮件网关、高级威胁网络防护系统AIS Edge、深度威胁分析设备DDAN、情报共享及联动管理平台TMCM、安全态势感知平台-信势(SSA)、信舱(DS)云主机安全、终端安全(OSCE)形成了智能联动的运行机制,发挥情报共享和安全联动的集中管控功能,将威胁情报自动下发给云端、网络端和终端主机的防护组件,实现了动态化、主动化、精密化的安全防御。

分享到微信
X