APT防御之用沙盒斩断APT的“生命链条”

安全 黑客攻防
今天,APT(高级持续性威胁)攻击已经不再是新鲜话题,但却仍是令整个安全业界头疼的问题。目前来看,沙盒(模拟一个虚拟用户环境)无疑是最有效的方法之一,因为其斩断了APT攻击的“生命链条”。

今天,APT(高级持续性威胁)攻击已经不再是新鲜话题,但却仍是令整个安全业界头疼的问题。作为将众多渗透技术整合在一起实现的隐秘性攻击手法——APT攻击凭借特征未知、隐蔽性强,持续时间长等特性,令传统的安全防护解决方案几乎全部失效。那么谁又能有效阻击APT攻击呢?目前来看,沙盒(模拟一个虚拟用户环境)无疑是最有效的方法之一,因为其斩断了APT攻击的“生命链条”。

[[116245]]

为何说沙盒可以斩断APT攻击的“生命链条”?在解答这一问题之前,我们先来看一个典型的APT攻击过程,大约分为五步:

第一步,攻击者会盗用一个企业的供应商或者合作伙伴的账号,从而达到访问企业内网的目的;

第二步,攻击者利用自制的攻击工具(利用已知的和0day等未知的安全漏洞),在企业的某一台服务器或PC上种下木马病毒;

第三步,该木马会在企业网络中不断渗透,寻找企业关键的数据库,盗取包括企业核心数据,员工ID、信用卡密码、手机号等重要信息;

第四步,通过FTP、邮件、甚至是更加隐秘的方式,不断地把这些数据发送给攻击者;

第五步,整个攻击过程大约持续数个月,甚至是半年/一年。

这五步相互关联,也就形成了APT攻击的“生命链条”。而其中最关键的当属第二步,即攻击者利用0day等未知漏洞攻陷企业服务器或PC,该攻击方式隐蔽性强,传统的入侵防御系统、防病毒系统、以及web应用防火墙等均无法感知;而当攻击者完成“突破”之后,还要经历渗透(包括提权与迁移),窃听,偷数据等过程,即APT攻击需要一定的持续时间。由此不难看出,如果能够打破APT攻击隐蔽性和持续性这两个特性,也就能斩断其“生命链条”,即可有效阻止APT攻击,而沙盒就具备这样的能力。

沙盒,即为一些不可靠的程序提供试验而不影响系统运行的环境,有时也被称作沙箱。

对于基于0day的APT攻击,传统的基于签名的检测方式确实难以识别,而通过沙盒所打造的虚拟运行环境,我们即可通过其“行为”来判断一个文件、一个访问等是恶意的还是善意的,从而有效阻止APT攻击。举例来说,当一个文件在虚拟的沙箱中运行时,如果我们发现其修改了注册表、删除了文件,或是自身创造出了新的文件,亦或是试图访问恶意网站,并下载一些病毒和木马等等,那么即可确定这个文件是恶意的,即使我们现在没有其特征码,也可以防御它。与此同时,我们还可提取其“特征码”,在第一时间封堵这一未知(0day)威胁。

此外,沙盒还可快速发现网络中的安全隐患,比如有一台服务器/PC中了木马,其可快速找到这台设备,并且处理它(或隔离它),从而打断APT攻击的持续性。

通过上述介绍我们不难看出,沙盒的确是目前阻击APT攻击的最有效方法之一,其通过“行为”识别,打破其隐蔽特性;通过快速发现安全隐患(将其隔离,修补漏洞),打破其持续特性,从而斩断了APT攻击的“生命链条”,让企业的信息安全更有保证!

责任编辑:蓝雨泪 来源: IT专家网
相关推荐

2013-04-25 11:04:42

2013-07-27 20:19:14

2015-08-10 11:32:52

2013-10-12 13:40:09

2013-07-27 21:04:58

2013-09-25 10:32:39

2014-08-21 10:46:57

2015-11-25 16:12:13

2021-02-01 17:55:44

SolarWinds/

2013-10-12 11:16:47

2013-08-30 10:41:04

2021-06-01 09:26:20

网络安全APT代码

2013-02-27 16:22:59

2013-04-23 08:59:19

2014-05-16 11:13:22

2014-07-16 12:11:42

2014-09-18 13:16:26

2013-12-06 17:52:08

2015-08-24 13:46:17

2013-05-07 10:34:16

点赞
收藏

51CTO技术栈公众号