2024年1月19日发(作者:)

浅析APT网络攻击模式与防御措施发布时间:2021-10-08T06:09:13.816Z 来源:《科学与技术》2021年5月第15期 作者: 李军 赵瑞峰[导读] APT攻击作为一种高效、精确的网络攻击方式被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全的最大的威胁之一。 李军 赵瑞峰 陕西省军区某部 陕西 710061 摘要:APT攻击作为一种高效、精确的网络攻击方式被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全的最大的威胁之一。本文通过对APT网络攻击模式进行分析,获取其入侵特点及“攻击者杀链”步骤,提出安全防护策略,并采取相应安全防护措施。

关键词:网络攻击;安全策略;防御措施 随着计算机信息技术的不断发展,网络技术和Internet在社会的各个方面得到广泛应用,但随之而来的网络安全问题也不容忽视。近年来,“永恒之蓝”、Petya、GlobeImposter、“微信支付”等勒索病毒持续爆发,信息网络面临的安全威胁将日益加剧,其中APT攻击作为一种高效、精确的网络攻击方式被频繁用于各种网络攻击事件之中,并迅速成为企业信息安全的最大的威胁之一。为确保信息网络安全,应加强对网络攻击模式及安全防护策略的研究,并制定相应的防御措施。 一、APT网络攻击模式分析

(AdvancedPersistent Threat)高级持续性威胁是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为。

APT攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质、供应链和社会工程学等多种手段实施先进的、持久的且有效的威胁和攻击。APT的攻击特征,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,此类攻击行为是传统安全检测系统无法有效检测发现,尤其是高级APT攻击,目前已成为对信息网络的主要威胁。“高级”指APT具有广博的知识、能力和技巧。“持续性”指攻击者并不急于发动攻击,而是等到最有利的时间和攻击方向才发动攻击,从而确保攻击行为不被发现。从形式上看,传统攻击属于泛滥式攻击,虽然爆发迅猛但也注定将被迅速查杀。而APT更倾向于“低调且缓慢”的攻击,2010年“震网”病毒入侵伊朗核研究设施内网,破坏工业控制系统上报错误监控数据,病毒隐藏破坏长达一年之久才被发现,导致伊朗核研究计划最终失败。APT能够针对特定目标开发攻击代码,善于隐藏伪装,持续破坏系统,已成为威胁最大的攻击模式,是未来信息网络面临的首要威胁。 “攻击者杀链”(attacker kill chain)将APT网络攻击分为被动侦察、主动侦察、漏洞利用、目标获取、持久潜伏等阶段。

APT攻击的整个周期历时数月到数年,侦察时间越长获取目标的信息越多,攻击的成功率越高。与病毒扩散传播不同,APT攻击通常有较多的人为参与,攻击路径多样、模式灵活,攻击者将针对目标网络防护策略制订攻击计划,检测与防御APT攻击较为困难。

二、网络安全防护策略 2019年国家颁布网络安全等级保护2.0标准,将安全保护范围扩展到通用网络、云计算、移动互联、物联网、工业控制系统等领域。网络安全等级保护制度虽然不能彻底杜绝网络安全事件,却能够有效降低发生包括APT攻击在内的各类网络安全风险,为实施信息网络安全防护提供了具体指南。 根据安全控制功能,网络安全防护策略可分为七种:一是政策性措施,主要用于规范部门职责、任务内容、目标要求等,是信息网络防御的基本依据。二是威慑性措施,用于威慑潜在的外部或内部攻击者,包括提示警告、防御能力展示、反击作战宣言等。三是预防性措施,用于避免攻击事件的发生,主要包括边界防护、访问控制、主机防护等技术方法。四是检测性措施,用于识别异常流量和潜在入侵者,主要包括入侵检测、日志审计、综合态势感知等。五是恢复性措施,用于遭受攻击后尽快恢复网络通信,包括应急处置预案、业务连续性计划、容灾备份等。六是纠正性措施,用于从根本上修正系统漏洞杜绝再次发生同类攻击,包括补丁升级、问题管理、配置管理等。七是补偿性措施,用于提供可替代的方案,如备品备件、备用系统、回溯到人工指控活动等。 针对APT网络攻击,网络安全防护应全部包含以上七种控制措施,为每种控制措施制定若干项具体的技术和管理规定,从整体上强化网络防护能力。 三、网络防御措施 为有效预防和阻止APT网络攻击,采取预防性措施是技术手段最为多样、提升防护效果最为明显的方式,固定网络通信枢纽和节点应从以下方面加强信息网络防御措施。 (一)网络边界防护。网络边界指处于网络进出口的路由器、交换机、防火墙、加密机等设备。边界防护是通过合理的策略配置,既要保证信息系统正常使用网络,又要限制非法访问流量。一是配置路由器、交换机的访问控制列表(ACL),过滤包括445端口在内的常见高危端口进出网络双向流量。二是配置防火墙策略,同样过滤高危端口报文,并丢弃任何具有协议欺骗或拒绝服务攻击特征的异常流量。三是规范防火墙端口开放审批流程,遵守最小特权原则,确保防火墙默认策略为拒绝访问,开放的访问策略尽可能指定到实际源地址、目标地址和服务端口,且防火墙策略变更应当记入值勤日志。四是定期审核防火墙日志,搭建日志收集与分析服务器,并启用防火墙日志传送功能,值勤人员每周应对通过的流量进行审计。 (二)内网访问控制。由于处于网络边界内部,内网攻击成功率更高,统计表明内网攻击约占攻击成功总数的80%以上,加强内网访问控制极为重要。一是建立MAC与ARP绑定制度,信息网络节点接入应遵守审批制度,并在接入交换设备上配置MAC与ARP绑定,防止违规接入和IP地址滥用。二是定期巡检网络设备,由于现实网络中很少使用支持第二层安全的MACsec设备,存在设备非法接入隐患,且最近年出现的树莓派等超小型攻击设备,具有难以发现、远程操纵、流量复制等能力,应当定期巡检设备,防止非法植入。三是强化密码安全策略。用户应当设置长度不少于8位,且由数字、字母、字符组成的复杂强密码。 (三)主机系统防护。当前仍有大量信息系统运行于早期的Windows平台,默认开启服务众多,系统漏洞频发,安全性较差。一是加

固系统安全配置。首先应测试并优选系统安装程序,防止系统预装病毒、木门等恶意程序;其次应升级系统补丁,尤其是MS08-067、MS17-010等高危补丁;最后应关闭或卸载非常用系统服务和预装软件。二是安装防病毒软件。当前信息系统多使用行业内定制的防病毒软件,其授权用户数量有所限制。首先应确保信息系统内服务器和终端均安装防病毒系统,并配置合理的防护策略;其次可建立多个代理中心,提高授权用户数量;最后可安装其它杀毒软件并离线升级特征库。三是启用系统防火墙。首先应仅开放必要的服务端口,对必须开放的风险服务,如核心服务器的文件共享服务(SMB),应当限定远程主机范围。其次应根据指挥所实际,预先编写批处理脚本,调用netshfirewall命令规范终端防火墙策略配置。

参考文献: [1]刘积芬.网络入侵检测关键技术研究[D].上海:东华大学,2013.

[2]刘鑫.网络入侵检测系统中模式匹配算法的应用研究[D].大连海事大学,2013.

[3]王友钊,黄冬.一种提高系统搜索效率的BM改进算法[J].计算机工程,2014.

[4]张宏莉,徐东亮,梁敏,刘宇峰.海量模式高效匹配方法研究[J].电子学报,2014.