本文通过对以APT为代表的新型威胁的实例研究,分析了新型威胁的攻击过程、技术特点、当前国内外的发展现状,给出了新型威胁的基本定义和描述,以及应对新型威胁的总体思路和具体手段。最后,本文还简要叙述了新型威胁自身的技术发展动向。
网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就是来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat,高级持续性威胁)攻击,或者称之为“针对特定目标的攻击”。这些攻击统称为新型威胁。 2011年美国NIST发布了《SP800-39管理信息安全风险》。其中,对APT进行了定义:拥有高级专家和丰富资源的敌对方使用多种攻击技术(包括网络的、物理的、欺骗性的)为达成其一系列目标而实施的一类威胁。通过在目标组织的IT基础设施中建立并扩展落脚点,这些目标通常包括窃取信息,破坏或抵制某项使命或任务,或者潜伏起来以便在未来的某个时候达成这些目标。APT为了达成其目标会持续较长的一段时间,会想方设法隐匿自己,会与外界保持一定程度的交互以执行其任务。 一般认为,APT攻击就是一类特定的攻击,为了获取某个组织甚至是国家的重要信息,有针对性地进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段,包括各种最先进的手段和社会工程学方法,一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候,攻击者会针对被攻击对象编写专门的攻击程序,而非使用一些通用的攻击代码。 此外,APT攻击具有持续性,甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段,以及在渗透到网络内部后长期蛰伏,不断收集各种信息,直到收集到重要情报。 更加危险的是,这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行,包括能源、电力、金融、国防等关系到国计民生,或者是国家核心利益的网络基础设施。 对于这些单位而言,尽管已经部署了相对完备的纵深安全防御体系,可能既包括针对某个安全威胁的安全设备,也包括了将各种单一安全设备整合起来的管理平台,而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是,这样的防御体系仍然难以有效防止来自互联网的入侵和攻击,以及信息窃取等新型威胁(例如APT攻击,以及各类利用0day漏洞的攻击)。 | 
发表于 2014-1-2 15:46:42