中小企业如何应对APT攻击 |
| 2012-06-13 17:20 作者:陈阳 来源:硅谷网-《硅谷》杂志 HV: 编辑:GuiGu 【搜索试试】
|
|
摘要:APT攻击作为一种新型的网络攻击手段,正威胁着企业的信息安全。仅对APT攻击的一些技术特点,提出中小型企业应对APT攻击的一些防范对策。
关键词:APT攻击;防范对策;中小企业
中图分类号:TP393.08文献标识码:A文章编号:1671—7597(2012)0420
【《硅谷》杂志2012年4月刊文】
0引言
APT(高级持续性渗透攻击,AdvancedPersistentThreat)是针对一个特定组织所做的复杂且多方位的网络攻击。APT可能采取多种手段,例如恶意软件、漏洞扫描、针对性入侵,以及利用恶意的内部人员破坏安全措施。APT不是可以仅凭阻止或破坏一次攻击就能让问题消失的。
APT攻击的早期阶段可能集中在收集关于网络设置和服务器操作系统的详细信息等工作,接着,攻击者的精力会放在安装恶意软件,以取得控制权,或是与命令与控制服务器建立连接。随后的攻击可能集中在复制机密或敏感数据,以窃取知识产权。
APT不是单一类型的威胁,而是一种是一种需要持续进行一段时间的攻击活动。如果一个战术行不通,攻击者就会再尝试其他途径。
1APT攻击技术特点
近期发生的典型的APT攻击实例有:Google极光攻击、夜龙攻击、RSASecurID窃取攻击、超级工厂病毒攻击(震网攻击)、ShadyRAT攻击。从这些攻击的过程来看,APT攻击具有如下技术特点:
1)攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。然后在受害者的网络安装后门程序。
2)攻击者采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。并且,邮件附件中隐含的恶意代码往往都是0day漏洞,邮件内容分析也难以奏效。
3)还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范。
4)攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据。但是,这些数据往往都是压缩、加密的。这导致现有绝大部分基于特征库匹配的检测系统都失效了。
2APT攻击的防范对策
从APT攻击的技术特点来看,最好的防御方式就是建立一个“纵深防御”的网络安全体系,但对于大多数中小企业而言,建立一个完善的网络“纵深防御”安全体系,不论是在时间、金钱及人力方面,都是不现实的。因此针对中小企业的信息安全,可采用如下的措施来防范APT攻击。
2.1对外服务器SQL注入攻击防范
企业对外服务器SQL注入攻击防范,可以从应用服务器配置、应用程序设计及用户权限几个方面进行防范。
2.1.1应用服务器设置
SQL注入攻击往往需要从应用服务器返回的错误消息中收集服务器和数据库的相关信息。以IIS为例,如果把IIS设置为“向客户端发送详细的错误”,则这些错误信息往往会被攻击者所利用(例如某些错误信息会将应用程序的绝对路径暴露)出来。因此,需要禁止向用户发送错误信息,不管什么样的错误,只给出一种错误提示信息,即“http500错误”。同时,在IIS中为网站设置安全的执行策略,不给“脚本和可执行”权限,同时设置上传权限为“无”,防止攻击者利用上传漏洞执行上传木马等非法操作。
2.1.2应用程序设计
程序开发人员在编写网站程序时,应对用户可能输入的信息进行检验、过滤,阻止恶意代码的攻击,以达到防御SQL注入攻击的效果。
1)因为Http请求有Post和Get二种方法,所以可以在SQL防注入程序文件中过滤掉Post或Get参数中的非法字符;检验出有非法字符输入时,服务器立即终止处理,不给SQL注入攻击的机会。
2)使用存储过程,因为使用专用的存储过程能严格限地限制数据库用户使用此存储过程的权限;并且,使用存储过程,可将所有的SQL代码放在同一位置,使SQL代码的开发与应用开发脱离,方便数据库开发者的开发与维护。但是要尽量避免动态查询在存储过程中的使用,如果实在无法避免,在构造存储过程的时候,必须要对提供给动态查询的用户提供数据确认,或适当转义操作。
2.1.3用户权限
应用程序使用连接数据库的账户应该只拥有必要的特权,这样有助于保护整个系统尽可能少地受到入侵者的危害通过限制用户权限,隔离了不同账户可执行的操作,用不同的用户账户执行查询插入更新删除操作,可以防止原本用于执行SELECT命令的地方却被用于执行INSERT、UPDATE或DELETE命令。
2.2内部网络安全防范
企业的内部网络信息安全控制又称之为内控,对于内部违规可以分为三类:一种是误用,用户操作失误造成泄密或者操作失误造成系统瘫痪;第二种是滥用,用户把涉密的笔记本带离安全的内部网络,并私自连接互联网;第三种是恶用,即内外勾结,出卖情报。从防内角度来说,由于内部人员具有合法的身份,最容易接触部门的要害,而且熟悉内部管理机制,因此,防火墙+IDS+防病毒的内部网络安全方案,对于内部人员的防范就不起作用。
对于中小企业内控,需要两个方面的共同努力:一方面,是企业内部的安全管理体系的建设;第二方面,除了技术层面的安全保护措施外,还应通过安全管理教育,增强员工的安全意识。
1)周边网络安全
防火墙:在企业的外部网络与内部网络连接的边界使用防火墙。防火墙是建立于内、外网络边界上的过滤封锁机制,内部网络被认为是安全、可靠的,而外部网络则是不安全和不可信赖的。防火墙通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽内部网的信息,达到保护内部网络安全的目的,主要用于防止黑客利用外网对内网的入侵。防火墙技术并不能100%防范网络攻击,因为防火墙侧重于防外,对于内部的攻击往往无能为力,并且对绕过防火墙的攻击不能阻挡、对病毒感染的文件不能提供保护。
2)主机层安全
杀毒软件:对于企业内需要相对较高安全保障的机器做统一的安全管理,即安装正版的企业服务版本的杀毒软件,其余的机器安装个人版本。因为正版的企业服务版杀毒软件的优势在于客户端的管理,并且方便收集整个网络的安全状况信息。
身份认证:对网络用户的用户名和口令进行验证是防止非法访问的第一道防线。并且,重要机器上的用户认证必须经常更改。用户和用户组被赋予一定的权限。网络控制用户和用户组可以访问哪些目录、子目录、文件和其他资源;可以指定用户对这些文件、目录设备能够执行哪些操作。
漏洞更新:及时安装操作系统漏洞补丁或数据库系统漏洞补丁,以预防0day攻击。
3)数据层安全
数据加密策略:信息加密的目的是保护网内的数据、文件、口令和控制信息,保护网上传输的数据。网络加密常用的方法有链路加密、端点加密和节点加密三种。
数字签名:是公开密钥加密技术的一种应用。数字签名实际上是一个收发双方进行签名和确认的过程,提供对信息来源的鉴别、保证信息的完整和不可否认的功能,为解决伪造、抵赖、冒充和篡改等问题提供了方法。
4)增强员工的安全意识
今天的信息安全已不再是只靠产品解决方案便可安枕无忧的年代。千里之堤毁于蚁穴,在详尽的安全策略,都有可能毁于某个员工的错误操作。因此企业机构内部员工安全意识培训同样必不可少。对于APT攻击行为,控制用户终端使用习惯并提升安全操作意识,通过企业OA定时向员工发送更新杀毒软件病毒库、安装系统漏洞补丁的消息,禁止员工在重要机器上使用U盘;制定明确的信息安全手册,禁止员工点击垃圾邮件,点击不明链接;了解安全威胁趋势和合理的终端设备管理,禁止员工将存储有企业信息的笔记本电脑在非安全的环境下连接Internet;这都会帮助用有效降低APT攻击的发生。
3结束语
本文对APT攻击的技术特点进行了阐述和总结,并针对中小型企业环境提出了针对APT攻击的一些防范措施。但是APT攻击不是仅凭阻止或破坏一次攻击就能让问题消失的。APT攻击的特性,决定了APT攻击防范是是长期的过程。因此,在APT攻击的防范上,我们应该思考将其他案例中可能用来拦截、检测和遏制的各种方式都组合起来,已应对APT的长期威胁。
参考文献:
[1]余志高、周国祥,Web应用中SQL注入攻击研究[J].信息安全与通信保密,2010(04):81-83.
[2]陈利婷,基于ASP.NET平台的SQL注入攻击分析及防范措施[J].科技信息,2010(01):836-837.
[3]安钢,企业网络纵深防御体系问题探讨[J].信息与电脑(理论版),2010(07).
[4]李小庆,构建农发行纵深防御的信息安全体系[J].华南金融电脑,2010(10):62-64.
作者简介:
陈阳(1979-),男,广西南宁人,广西大学计算机与电子信息学院在职研究生,广西农业职业技术学院电子信息工程系教师,讲师,主要从事网络安全应用研究。(注:本文版权归作者本人和硅谷杂志所有,禁止他人未经授权转载)
|
|
|
|
【对“中小企业如何应对APT攻击”发布评论】 |
版权及免责声明:
① 本网站部分投稿来源于“网友”,涉及投资、理财、消费等内容,请亲们反复甄别,切勿轻信。本网站部分由赞助商提供的内容属于【广告】性质,仅供阅读,不构成具体实施建议,请谨慎对待。据此操作,风险自担。
② 内容来源注明“硅谷网”及其相关称谓的文字、图片和音视频,版权均属本网站所有,任何媒体、网站或个人需经本网站许可方可复制或转载,并在使用时必须注明来源【硅谷网】或对应来源,违者本网站将依法追究责任。
③ 注明来源为各大报纸、杂志、网站及其他媒体的文章,文章原作者享有著作权,本网站转载其他媒体稿件是为传播更多的信息,并不代表赞同其观点和对其真实性负责,本网站不承担此类稿件侵权行为的连带责任。
④ 本网站不对非自身发布内容的真实性、合法性、准确性作担保。若硅谷网因为自身和转载内容,涉及到侵权、违法等问题,请有关单位或个人速与本网站取得联系(联系电话:01057255600),我们将第一时间核实处理。
|
|
|
|
