神算子三期必出特肖Fortinet为企业提出应对APT攻击

日期:2019-11-18编辑作者:科技展览

原标题:美陆军研究实验室开发基于“软件定义网络”的MTD技术应对网络威胁

【51CTO.com 专家特稿】企业及其雇员越来越依赖于互联网,不管是在家里、在路途中、在办公室中都是如此。这种依赖性在与多种最新的Web威胁结合之后,将会使企业比以往更加脆弱,更容易遭受攻击。近半年来的Web攻击都有一个鲜明的特点,在无需用户干预的情况下,这些威胁就可以进入网络,严重威胁着企业的数据安全、工作效率,直至企业的最终利益。

美国陆军研究实验室、新西兰坎特伯雷大学和韩国光州科学技术研究所组成团队共同研究移动目标防御技术(MTD)。目前,该技术在“软件定义网络”中取得了新进展。研究人员称,这些基于“软件定义网络”的MTD技术对于支持陆军作战至关重要。

如同一个APT攻击需要突破多个网络层才可以成功一样,如果企业不希望沦为APT的猎物必须实施能够进行多层网络防御的安全策略。也就是说单一的网络安全功能是不能够防御APT攻击的。

而且,由于Web内容和形式的多样性,其威胁的花样也是不断翻新。比方说,前些日子使得许多网站深受其害的SQL注入式攻击就采用了不同于以往的手段。前几天利用Flash player漏洞的攻击,也体现出这种威胁形式的变化性和无常性。面对新的威胁,加强防御是唯一的制胜之道。

神算子三期必出特肖 1

神算子三期必出特肖 2

Web威胁的种类

背 景

安全协助:

此处谈的种类虽不能代表全部全部,至少代表了最为严重的一些Web威胁。现在的黑客日益聪明,他们认识到通过互联网络搞点“外快”要远比炫耀自己的本领更加实惠。

如今,针对计算机系统的网络攻击越来越普遍。任何计算机系统一旦连接网络,电脑中的信息很可能成为黑客的目标,进而遭到窃取、破坏或勒索。

攻击者不会止步于获取更多的目标来彰显其“荣誉”,所以公司机构的安全策略与防御体系也不是一日之功。公司机构需要可靠的IT雇员了解最新的威胁与潜在的攻击路径,与网络安全组织保持近距离的接触,在必要的时候可获得帮助。

前一段时间的“艳照门”事件和抗震救灾期间的“救灾视频”,都有黑客们的手脚在里面,他们往往用一些令人感兴趣的东西来吸引受害者,所谓愿者上钩。孰不知,这些表面的东西往往包含着恶意软件,甚至rootkit程序。根据赛门铁克的调查,以下这些可谓最具危险性的Web威胁:

出现这一问题是由于互联网的构建方式所导致的。为访问网站上的内容,计算机需要了解信息的来源。即互联网协议或IP地址,而IP地址不仅仅用于网站,每台联网的计算机都有一个专属的IP地址。

最终用户的引导:

可信任站点的漏洞:我们都有这样的看法,大的知名网站是相对安全的。黑客们也知道这一点,他们会想方设法修改这些网站的网页,将用户的浏览器重新导向到其精心打造的恶意站点,这个恶意站点看起来还是是非常可信的。但在用户向其中输入个人信息时,它们“统吃”。“吃”了你的还不算,还要在你的系统上种上点东西(如间谍软件等),或者破坏你的邮件地址簿,肆意传播垃圾邮件等。

为获取有价值的内容,黑客有针对性的搜索IP地址,并使用计算机病毒或蠕虫代码攻击它们。如果受到攻击的计算机或系统安装了安全系统,如防火墙或杀毒软件,就可能识别出一些威胁代码,并防止计算机被感染。而在计算机的安全系统更新或安装漏洞补丁之前,黑客只要稍微修改代码,就不会被识别出来。

网络攻击者选定的最终用户攻击目标,一定是攻击目标存在可以发动首次攻击的最佳机会。这如同银行劫匪的“座右铭”,“钱在哪我们就在哪”的道理是一样的。 引导并教育最终用户正确地使用社交媒体保护隐私以及机密信息防止被利用是安全防御中重要的一环。同样关键的是,在公司机构具有访问敏感数据的雇员应受到数据处理方面的专门培训。定期对公司雇员进行内部的安全风险防范意识培训可减少被攻击的机率。

浏览器和浏览器插件的漏洞:前几天我们看到一些安全专家建议不要使用IE浏览器。其实其它的浏览器也并非无懈可击,只是漏洞暂时还不太多或者说是攻击者对其关注的程度还不够高而已。不管哪种浏览器,攻击者都可以利用其漏洞或其插件的漏洞将恶意软件下载并安装到用户计算机上,或者将用户指引到一个恶意站点。

从本质上说,对这些攻击的典型防御反应是被动的。攻击者有时间准备、计划并执行攻击,而潜在的受害者只有在入侵者闯入计算机系统后才会做出反应。

网络隔离:

终端用户:许多攻击者都是从终端用户下手的。许多企业面临的威胁主要是由于其针对笔记本电脑、桌面系统、服务器、未受保护的移动设备的安全策略不健全造成的。如空口令、关闭防火墙等都是具体表现。

神算子三期必出特肖 3

如果一个雇员没有来由地访问了可能包含敏感数据的特别资源,那么基本的网络隔离可以协助防御在内部网络之间的流传。对内部网络资源进行用户访问细分,可潜在的避免攻击者。

可移动的存储设备:由于U盘、移动硬盘、MP3、MP4等设备的快速流行和使用,恶意软件也可以轻易地从外部的设备传输到网络系统中。此外,插到iPod中的插件也可以成为窃取系统数据的重要媒介。

技术原理

Web过滤/IP信誉:

网络钓鱼:前面笔者在谈到Web的新威胁时谈到,网络骗子伪造冒似金融网站的虚假站点欺骗消费者。它们还能够以金融公司作为其伪装,在电子邮件中诱骗消费者输入其个人机密信息。

移动目标防御(MTD)技术是一种新的主动防御手段,可以保护计算机系统中的重要信息。该技术可使黑客之前监测到的信息失去作用,从而导致其做出错误的攻击决策。

通过使用当前的IP信誉数据与web过滤规则的解决方案,可能会阻挡一些攻击。举例说明,如果会计团队没来由地去访问地球另一端国家的网站或者IP地址,创建web访问过滤规则可以有效防止可能中招被攻击网站的访问。通过使用IP信誉服务,可以避免一些攻击者使用攻击其他公司的伎俩,来故伎重演的攻击下一个目标公司。

僵尸网络:攻击者通过隐藏的程序控制大量的计算机系统并执行多任务,如发送垃圾邮件和发动拒绝服务攻击等。

MTD技术的原理是:频繁地更改计算机的IP地址,导致黑客无法识别攻击对象。该技术被称为“灵活的随机虚拟IP多路复用技术”,即FRVM。主动防御可能会在运行MTD技术增强的安全性的同时,引入不利因素。研究团队下一步目标是探索FRVM在系统安全性和整体性能之间的平衡。

白名单:

键盘记录程序:黑客在用户的系统上安装可以记录用户击键的程序,并将记录的结果秘密地通过电子邮件发送到黑客的邮箱。

神算子三期必出特肖 4

白名单功能的使用有很多方法可言。例如,网络白名单可设置只允许一些内部流量访问网络资源。这可以避免攻击者侵入内部网络。网络白名单还可以防止用户访问那些没有明确被允许的网站。应用白名单可设置一个只允许在计算机设备运行的应用名单,阻断其他软件在设备的运行。这样可避免攻击方在目标用户的计算机系统运行新的程序。

多重攻击:黑客使出“组合拳”,即将多种战术结合在一起(如综合运用键盘记录程序、僵尸网络、钓鱼等手段)来窃取用户的敏感信息。

基于“软件定义网络”的MTD

黑名单:

此外,攻击者还可以通过间谍软件窃取个人的机密信息,并能够通过垃圾邮件传播病毒、间谍软件、木马等。

主动防御手段需要不断改变IP地址,因此部署主动防御和安全系统会产生一定的成本。研究人员通过利用“软件定义网络”的技术,使计算机在保持真实IP地址不变的情况下,通过频繁改变虚拟IP地址将真实地址与网络隔离,可以在一定程度上降低成本。“软件定义网络”技术通过将网络中的各个设备的网络控制转移到集中控制器上,提供对网络策略的动态管理。SDN控制器可定义网络配置,在可变条件下使网络操作更可靠、反应更迅速。

白名单顾名思义是明确被允许执行或访问资源的名单,黑名单同理是设置阻断对不安全的资源、网络或应用访问的名单。

以上这些威胁并不代表全部,现在的web威胁日益体现出综合化,并向纵深发展。以前攻击者主要利用操作系统漏洞,现在对应用软件的漏洞越来越感兴趣;以前的SQL攻击可以检测,现在却越来越难;以前黑客们控制一两台计算机,现在可以通过一个网站攻击其它网站,并感染用户,进而构建僵尸网络,借以发动分布式拒绝服务攻击(DDoS)。因此任何企业都应当重视防范措施的多样性和多重性,不要依赖单纯的一种技术,有了UTM并不意味着万事大吉。为此笔者提供以下防护Web威胁的方法:

由于目标系统的IP地址一直在改变,所以为了发现目标系统的漏洞,黑客必须花费时间、计算能力等更多的资源。据韩国光州科学技术研究所的Hyuk Lim教授介绍,这种主动防御手段可在攻击者进入目标系统之前采取防御措施。

应用控制:

阻止对恶意服务器的访问

来源:美国陆军实验室网站/图片来自互联网

如今雇员使用网络服务的现象相当普遍,例如Facebook、Twitter以及Skype。许多公司是不对这些应用的访问作控制与管理的,如此自由的访问与应用可会将公司暴露在新一代的基于web的威胁与灰色软件之下。应用控制功能可以识别与控制网络中的应用,无论是基于端口、协议或者IP地址。通过行为分析工具、最终用户关联与应用分类可以识别并阻断潜在的恶意应用与灰色软件。

企业应建立恶意站点的清单,借助防火墙、UTM等设备,在桌面用户试图打开已知的恶意服务器的网页时,立即阻止这种企图。这样做不但有助于安全,还可以节省大量的带宽和网络资源。

军事科学院军事科学信息研究中心 张彩

基于云端的沙盒:

仅允许对可信任站点的移动代码的访问

编辑:刘伟雪

基于云端的技术与资源进化得更为丰富了,“移交”式分析与检测成为检测潜在威胁的一种好工具。基于云端的沙盒可以在可控的系统中执行未知的文件与URL,所述可控的系统可以分析这些文件与URL的行为规则以检测可疑或异常的活动。

所谓移动代码是一段计算机程序,能够在计算机或网络之间传播,在未经授权的情况下,它可以修改计算机系统。如ActiveX,Java Scripts,Rootkit等都属于移动代码。虽然移动代码使得web更加生动活泼、富有活力,但它也为攻击者提供了深透进入桌面计算机的便利,

如需转载请注明出处:“国防科技要闻”(ID:CDSTIC)

终端控制/AV:

网关扫描

人工智能

旧有的基于客户端的反病毒与反灰色软件防御解决方案仍可提供可靠的病毒与灰色软件防御。但是多数客户端应用不能防御零日攻击,可以阻断的是黑客使用过去的相同或相似的攻击手段。

任何时候都不要假定用户一定拥有最新的反病毒定义,并运行着防火墙等软件,也不要认为正在访问的计算机都受到了良好的管理。企业可以在威胁进入网络之前,通过网关集中扫描恶意代码从而轻易地控制所有进入的Web通信。

陆军

数据防泄漏(DLP):

依靠不同厂商的软硬件实施桌面和Web网关的扫描

海军

正确的识别敏感数据并有效地实施DLP解决方案是公司机构能够高效的保护敏感的数据避免泄漏的方法。

不要一棵树上吊死。因为现代的攻击在发布之前都针对某些流行的反病毒机制进行了测试。企业应当通过恶意代码扫描工具的多样性来加强对威胁的检查和阻击能力。

空军

入侵防御(IPS)/入侵检测(IDS):

经常更新桌面和服务器的补丁

航天

IPS与IDS产品可以作为另一层监控网络流量可疑活动的防御体系。好的IPS与IDS系统同样会对IT人员报警潜在的威胁。

这样做的原因是经常有新的漏洞出现。且不说零日漏洞,只要我们认识到多数的攻击都是通过利用未打补丁的应用程序和系统来传播的,那么也就会自觉的经常为系统打补丁。

网络空间

主动打补丁:

桌面要安装反病毒程序并保持最新

电子信息

计算机设备的安全有赖于所运行的软件的安全,所以及时的打补丁是非常必要的。关键补丁不及时安装的话,公司机构的网络系统就存在着可被攻击的漏洞。对于业务环境要求苛刻、不间断运行的用户,保持测试设备能够运行补丁测试关键应用的环境很重要,这样才能够不影响到主网络环境。

企业要告诫用户不要认为安装反病毒程序会影响性能而禁用之。一台没有安装反病毒程序并能够保持升级的电脑不应当连接到互联网和企业内部网,也不应当访问光盘和移动存储设备。

核武器

管理权限的限制:

仅准许访问通过所有浏览器检查的HTTPS网站

精确打击

一些公司对雇员提供的是基于本地的管理权限,便于随时管理安全驱动或软件。这样的权限管理是一把双刃剑,一方面是减少了技术支持的经理且赋予了雇员更多的IT自由度,另一方面会导致网络系统轻易的被黑客访问或安装恶意软件,以及在受害人计算机系统安装远程访问工具(也就是RAT:remote access tools)。细化管理权限也有助于攻击的防御。

多数用户并不理解三个SSL浏览器检查的意义,也不能理解为什么不能访问没有通过全部三个检查的站点。SSL检查是指证书与所请求的URL之间的到期证书、不可信任的发行者、主机不匹配三个方面。

新概念武器

网络访问控制:

仅从可信任的网站下载可执行程序

基础科学

NAC是一种网络资源访问限制的解决方案,也就是说,只有符合某些规则或策略后访问网络资源。举例说明,如果一台计算机设备最近没有打补丁,NAC可以做策略限制将该设备隔离在子网直至其打了补丁后才可以访问网络资源。

许多用户都有这样的体验,在安装某个下载的工具时,它要求访问网络。而这种访问对普通而言,首先是不必要,因为我们仅需要其当前功能;二是风险很大,因为普通用户并不清楚访问网络程序的具体行为,而且也无法保障所访问的网络真正安全。而且,现在许多恶意软件都是将自己与一个冒似“忠良”的程序结合起来发布。这种程序在执行时,其中的恶意软件就会为所欲为。

技术

双因子验证:

不要访问以IP地址作为服务器的网站

与能源

适用于最终用户可选的有很多种双因子认证方式。通过对远程用户或需要访问敏感数据的用户实行双因子认证,也可以有效防御数据的丢失或信用状被窃取,因为攻击者需要提供另一种方式的识别才能够进行网络访问。

近来的一些攻击更多地利用了安装有简单Web服务器功能的、受到损害的家用计算机。一些受害者多是通过IP地址被指引到家用电脑,而不是域名。实际上,真正合法的网站都会在URL中采用主机名。

与制造返回搜狐,查看更多

通常使用的双因子认证方式包括标准的用户名与密码,加上基于硬件或软件的认证密钥,该密钥是用于提供一次性有效的数字串,在用户名与密码输入后必须输入的密钥数字。

仔细键入网站的URL,避免输入错误

责任编辑:

UDB使用限制:

任何一个正常的用户都不会愿意访问一个恶意的站点,但为什么还是屡屡中招呢?对一些知名的网站的域名输入错误会将用户带到一些早就潜伏在那里等待用户上钩的网站。此外,如果用户的浏览器并没有打上最新的补丁,也有可能被偷渡式下载(drive-by download)安装恶意软件。

多数的计算机设备是没有任何限制运行USB及其中的自动的应用。在驱动中嵌入恶意代码也是黑客常用的攻击手段之一。严格禁止USB的使用是相对最安全的做法,但是如果USB的使用是必需的,那么可以配置策略阻断自动运行的驱动程序。

结束语

基于云端文件共享的访问限制:

以上这些防御手段可以看出,多数措施需要企业的雇员或用户的配合。因为正是他们是网络链条中最薄弱的环节。所以对雇员等加强安全教育的力度和广度,强化用户的安全意识,提高全体工作人员的防范意识才能真正地对付各种不断变化的威胁。

例如Dropbox这样的服务是享有广泛的应用的,不管是在家或是在办公室。如同USB驱动访问,限制策略是必要的。基于云端的文件共享与同步应用使攻击者先攻击家用的计算机,并在用户同步文件到公司网络时将恶意软件带到公司网络中有机可趁。

【51CTO.COM 独家特稿,转载请注明出处及作者!】

融合性防御

【相关文章】

我们能够很明确的是,一些组织是不惜一切代价将感兴趣的数据弄到手,同时也没有一种万能的方法消除APT攻击的风险; 企业或公司机构可以采取风险最小化的多层以及融合性防御战略。

  • 安全专家谈:Web攻击的最新技术和保护机制

防火墙与入侵防御技术的部署是综合有效安全防御策略的开始;反灰色软件技术,结合数据防泄漏以及基于角色的安全策略配置也应用综合防御应包括的重要部分。同时,反垃圾邮件与网页过滤的解决方案,也是应用控制机制的进一步落实,在攻击的每个阶段步骤都具有有效的防御,才是APT攻击防御的万全之策。

  • 黑客用YouTube视频做广告 Web2.0成为恶意软件温床

【责任编辑:于捷 TEL:(010)68476606】

  • 神算子三期必出特肖 5) 给力)

    (0票)

  • 神算子三期必出特肖 6) 动心)

    (0票)

  • 神算子三期必出特肖 7) 废话)

    (0票)

  • 神算子三期必出特肖 8) 专业)

    (0票)

  • 神算子三期必出特肖 9) 标题党)

    (0票)

  • 神算子三期必出特肖 10) 路过)

    (0票)

原文:安全专家详谈Web威胁种类及其防御方法 返回网络安全首页

本文由神算子论坛六肖发布于科技展览,转载请注明出处:神算子三期必出特肖Fortinet为企业提出应对APT攻击

关键词:

北京独有四个厂商加班到中午,美国证券豪赌趣

原标题:刚刚两岁的“资源消息界拼多多”趣头条,也要在争议中上市了 原标题:美国股票(stock卡塔尔国豪赌趣头...

详细>>

北京独有四个厂商加班到中午,美国证券豪赌趣

原标题:刚刚两岁的“资源消息界拼多多”趣头条,也要在争议中上市了 原标题:美国股票(stock卡塔尔国豪赌趣头...

详细>>

7位科学家热评物农学奖,发行人伊Lisa谈

原标题:获威尼斯最佳VR大奖,导演伊丽莎谈《SPHERES》背后的灵感与创作 引力波探测获得2017诺贝尔物理学奖,真是众...

详细>>

杰克 Ma今年卸职,退休并非马云(英文名:杰克

责任编辑: 上图﹕阿里巴巴集团创办人马云(左)宣布,一年后将不再担任集团董事局主席,届时由集团CEO张勇(右...

详细>>