APT攻击的技术特点
1、 攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;
2、 攻击者也经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,传统的邮件内容分析也难以奏效;
3、 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;
4、 初始的网络渗透往往使用利用0day漏洞的恶意代码,而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;
5、 在攻击者控制受害机器的过程中,往往使用SSL连接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力;
6、 攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征,这导致现有绝大部分基于特征库匹配的检测系统都失效了;
7、 还有的企业部署了内网审计系统、日志分析系统,甚至是安管平台,但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部入侵的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从攻击行为的角度进行整合,发现攻击路径。
更多内容尽在:www.commernet.cn