1、一场不对等的战争APT实例分析APT当前形势APT攻防分析及发展态势APT攻击技术分析下一代威胁:APT攻击事件是他们的安全体系不够好吗?对安全还不够重视吗?下一代威胁:其他关联定向攻击攻击者通过邮件、定向挂马发起利用0DAY或改造可对抗的NDAY配合可免杀的木马,辅助一定的社会工程,向大量目标发起受害者这种攻击针对中小企业或个人,往往不是攻击者的最终目标,是攻击者用来做情报收集、供应链渗透、社工欺骗,跳板、或者撒网打鱼用途但企业被关联攻击也会导致严重后果下一代威胁:对手与手段单机时代少量信息资产依赖IT与网络PC与网络时代大量信息资产与少量实体资产依赖IT与网络云与物联网时代大量信息资产与传
2、统的实体资产依赖IT与网络爱好者、恶作剧、证明能力(灰帽)技术高超,但很少破坏,单兵为主破坏者、商业犯罪 (黑帽)大范围无针对性攻击,NDAY为主,单兵或小团队为主组织、国家级对抗 (专业黑客和部队)针对性攻击,武器级手段,配合情报与社工,团队为主下一代威胁目标 国家 情报/破坏/控制/扰乱/科研 国计民生行业 情报/破坏/控制/扰乱/科研 大型企业和组织 敏感信息/商密/知识产权/供应链跳板/资产 中小企业和组织 敏感信息/知识产权/供应链跳板 个人 敏感信息/社工跳板 重要个人目标APT攻击危害评估我们不是旁观者APT当前形势APT攻防分析及发展态势APT攻击技术分析攻击者入侵生命周期每年
3、全球漏洞公布情况2010年4651个漏洞2011年4155个漏洞2012年5297个漏洞2013年(截止6月)2096个漏洞漏洞严重程度以Adobe居首新型攻击呈爆发式增长趋势尴尬的传统检测技术http:/www.sans.org/reading_room/whitepapers/intrusion/beating-ips_34137传统检测技术为什么检测不到APTFWIDS/IPSAV/HIPS审计加固风评权限与安全策略基于已知知识:已知安全漏洞与缺陷已知木马行为与特征已知攻击行为明文内容限定的权限难以应对未知安全漏洞与缺陷未知木马行为与特征未知攻击行为加密内容社会工程加密等基础安全设施与信
4、任美政府被爆利用顶级互联网公司监视公民同时曝光的巧言计划:NSA收集了通过骨干网收发电子邮件或浏览互联网的计算机和设备的元数据,包含全球大量计算机操作系统、浏览器和Java的版本。美国情报机构可以利用这些数据去攻击计算机和手机,刺探用户信息。棱镜计划(PRISM)是一项由美国国家安全局(NSA)自2007年起开始实施的绝密电子监听计划。该计划的正式名号为“US-984XN”。美国可以监控境内大站点的数据PRISM(棱镜)的机密项目,直接利用9大美国顶级互联网公司的中央服务器,提取音频、视频、照片、电子邮件、文件和连接日志,以便帮助分析师追踪个人用户的动向和联系人。根据该项目的花名册PRISM棱
5、镜门事件的提示美国已经针对国内展开了多年的入侵(TAO)外交政策报导,美国国家安全局下设的绝密电子窃听机构TAO(Office of Tailored Access Operations),成功侵入中国的电脑和电信系统已有15年之久,TAO的使命很简单:秘密侵入目标锁定的外国电脑和电信系统,破解密码,窃取储存在电脑硬盘上的数据,复制电子邮件和文本通信系统之间的所有信息和数据。如果总统下令,TAO也负责发起网络攻击,使美国得以摧毁或损害外国电脑和电信系统。美国可以通过路由控制数据信息斯诺登认为,NSA在全球展开了超过6.1万次黑客行动,包括位于中国香港和中国大陆的目标。“我们会入侵网络主干,例如
6、大型互联网路由器,这些设施会为数以万计的电脑提供通讯服务。但我们不会逐一入侵每台电脑。” 1 FIRST组织和APCERT组织了解到韩国主要广播电视台KBS、MBC、YTN,以及韩国新韩银行(ShinNan Bank)、农协银行(NongHyup Bank)等部分金融机构疑似遭受黑客攻击,相关网络与信息系统突然出现瘫痪 ? 月中事件调查出炉,报导说朝鲜至少用了 8 个月来策划这次攻击,成功潜入韩国金融机构 1500 次,以部署攻击程序,受害计算机总数达 48000 台,这次攻击路径涉及韩国 25 个地点、海外 24 个地点,部分地点与朝鲜之前发动网络攻击所使用的地址相同。黑客所植入的恶意软件共
7、有 76 种,其中 9 种具有破坏性,其余恶意软件仅负责监视与入侵之用。APT攻击-韩国320事件攻击行为分析邮件植入木马病毒传播病毒在3月20日下午2:00以后激活taskkill /F /IM pasvc.exe AhnLab clienttaskkill /F /IM Clisvc.exeVista以上系统覆盖文件、其他的破坏引导扇区shutdown -r -t 0韩国320事件攻击行为分析APT当前形势APT攻防分析及发展态势APT攻击技术分析2011网络空间行动战略2013奥巴马签署932.b预算法案美国动向 主要内容 信息网络威胁指针对政府或私人实体的系统或网络的漏洞或努力破坏系统
8、或网络或盗窃或盗用私人或政府的信息,知识产权,或个人身份信息的意图或发起的攻击事件信息 要求私营部门实体和政府共享网络威胁情报 进程 2011年众议院情报委员会成员、共和党议员迈克罗杰斯提案 2012年4月众议院通过,被奥巴马否据 2013年1月复提,参议院听证提出3000亿美金损失 2013年2月mandiant apt1报告 2013年3月奥巴马签署关于提升关键基础设施网络安全的决定的行政令网络情报共享和保护法案(CISPA) 美国网络战司令部司令部正在新增40支网络队伍,其中13支重点任务是在美国网络遭受攻击时,向其他国家发起进攻性网络攻击。 美国网络司令部2013年将扩编为接近5,00
9、0人,年度预算达到34亿美元。该司令部2010年建立时仅有1,000人 爱因斯坦计划:1收集日志,2以IDS为主,3以内容检测为主,针对邮件做深度内容检测(70% APT攻击通过邮件发起)军事-美国 投资 2012年一年,美国有6.5亿美金创业基金投资到新型网络安全威胁解决的创业公司 新型公司和方向 Fireeye:累计获取了1亿美金投资,包括cia下属的infoq,动态威胁检测技术 Mandiant:获得7000万美金投资,蜜罐和取证技术 CrowdStrike:半年获得2600万美金投资,主动攻击和APT检测 Cylance:工控保护。 Bromium:移动手机保护 Shapesecurity:企业XSS和钓鱼攻击产业我们的问题 政策 自主与可控(安全) 现实:基础设施大量依赖国外 在不可信组件之上构建可信系统 分权/加密 危害感知能力/监控体系 惩罚/制衡 产业 新的安全威胁解决技术扶持与应用
