安全防御----APT

这篇具有很好参考价值的文章主要介绍了安全防御----APT。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1. 什么是APT?

        APT全称:Advanced Persistent Threat 高级可持续威胁攻击。

        指的是某组织对特定对象展开持续有效的攻击活动。

        这种攻击活动具有极强的隐蔽性和针对性,通常会运用受感染的各种介质,供应链和社会工程学等手段,实施先进的、持久的有效的威胁和攻击。

        APT攻击是一个集合了多种常见攻击方式的综合攻击,综合多种攻击途径来尝试突破网络防御,通常是通过web或者电子邮件传递利用应用程序或者操作系统的漏洞,利用传统的网络保护机制无法提供统一的防御。除了使用多种途径,高级定向攻击还采用多个阶段穿透一个网络,然后提取有价值的信息。使得它的攻击更不容易被发现。

        

2. APT 的攻击过程?

        APT的攻击周期

                ①扫描探测:在APT攻击中,攻击者会花几个月甚至更长的时间对“目标”网络进行踩点,针对性地进行信息手机,目标网络环境探测,线上服务器的分布情况,应用程序的弱点分析,了解业务情况,员工信息等。

                ②攻击投送:在多数情况下,攻击者会向目标公司的员工发送邮件,诱骗其打开恶意附件,或者单击一个经过伪造的恶意URL,希望利用常见软件的0day漏洞,投送其恶意代码,一旦到位,恶意软件可能会复制自己,用微妙的改变使得每个实例都看起来不一样,并且伪装自己,以躲避扫描,也会关闭防病毒扫描引擎,经过清理后重新安装,或者潜伏数天或数周,恶意代码也能被携带在笔记本电脑、USB设备里,或者基于云的文件共享来感染一台主机,并且连接到网络时横向传播。

                ③漏洞利用:利用漏洞,达到攻击的目的,攻击者通过投送恶意代码,并且利用目标企业使用的软件中的漏洞执行自身,而如果漏洞利用成功的话,你的系统将收到感染。普通用户系统忘记打补丁是很常见的,所以塔恩很容易受到已知和位置的漏洞利用攻击,一般来说,通过使用零日攻击和社会工程技术,即使最新的主机也可以被感染,特别是当这个系统脱离企业网络后。

                ④木马植入:随着漏洞利用成功,更多的恶意软件的可执行文件一一击键记录器、木马后门、密码破解和文件采集程序被下载和安装。这意味着,犯罪分子现在已经建成了进入系统的长期控制机制。

                ⑤远程控制:一旦恶意软件安装攻击者就已经从组织防御内部建立了一个控制点。攻击者最常安装的就是远程控制工具。这些远程控制工具是以反向连接模式建立的。其目的就是允许从外部控制员工电脑或服务器,即这些工具从位于中心的命令和控制服务器接受命令,然后执行命令,而不是远程得到命令,这种连接方法使其更难以检测,因为员工的机器是主动与命令和控制服务器通信而不是相反。

                ⑥横向渗透:攻击者首先突破的员工个人电脑并不是攻击者感兴趣的,它感兴趣的是组织内部其它包含重要资产的服务器。因此,攻击者将以员工个人电脑为跳板,在系统内部进行横向渗透攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听漏洞攻击等。

                ⑦目标行动:也就是将敏感数据从被攻击的网络非法传输到由攻击者控制的外部系统。在发现有价值的数据后,APT攻击者往往要将数据收集到一个文档中,然后压缩并加密该文档。此操作可以使其隐藏内容,防止遭受深度的数据包检查和DLP技术的检测和阻止。然后将数据从受害系统偷运出去到由攻击者控制的外部。大多数公司都没有针对这些恶意传输的目的地分析出站流量。那些使用工具监控出站传输的组织也只是寻找“已知的”恶意地址和收到严格监管的数据。

3. APT的防御技术

        防御APT攻击最有效的方法就是沙箱技术,通过沙箱技术构造一个隔离的威胁检测环境,然后将网络流量送入沙箱进行隔离分析并最终给出是否存在威胁的结论。如果沙箱检测到该流量为恶意流量,则可以通知FW实施阻断。

        针对APT攻击的防御过程如下:

                黑客(攻击者)向企业内网发出APT攻击,FW从网络流量中是被并提取需要进行APT检测的文件类型。

                FW将攻击流量还原成文件送入沙箱进行威胁分析。

                沙箱通过对文件进行威胁检测,然后将检测结果返回给FW。

                FW获取检测结果后,实施相应的动作,如果沙箱分析出该文件是一种恶意攻击文件,FW则可以实施阻断操作,防止该文件进入企业内网,保护企业内网免遭攻击。

        APT防御与反病毒的差异:

                反病毒系统通常是将病毒文件的特征与病毒特征库进行对比来识别一个文件是否为病毒文件。这种防御方式具有一定的局限性,就是只能针对已知病毒进行防御,而无法是被未知攻击。

                APT防御机制则有别于反病毒系统。APT防御系统中的沙箱可以看作是一个模拟真实网络建造的虚拟检测系统,未知文件放入沙箱以后将会被运行,沙箱中的收集程序会记录该文件被运行以后的行为。沙箱通过将未知文件的行为和沙箱独有的行为模式库进行匹配,最后给出该程序是否为恶意程序的定性结论。沙箱的行为模式库是通过分析大量的的病毒、漏洞、威胁特征,提炼出各种恶意行为的规律和模式,并形成一套判断规则,因此能提供准确的检测结果。

        总体来看,反病毒系统是以被检测对象的特征来是被攻击对象,APT防御系统是以被检测对象的行为来识别攻击对象。

        沙箱处理流程:

安全防御----APT  

4. 什么是对称加密?

安全防御----APT

         加密解密用的是同一把密钥,在数学角度上说是一个双向函数

        对称加密首先要保证算法足够复杂以及密钥传输足够安全。

                加密信息传递有两个通道

                        密文传递通道

                        密钥传递通道

5. 什么是非对称加密?

安全防御----APT

 加密和解密使用的密钥是不相同的,公钥和私钥,也叫公钥加密技术

        数学方向中称为单向函数  使用模运算   mod

                m^e     mod   p   =   n

        

        DH算法解决了在公开场合密钥安全传递的问题。

        

                        对称加密算法解决信息的安全传输通道

                        非对称加密算法解决对称加密算法密钥的安全传输通道

                对称加密    速度快   但是密钥不安全

                非对称加密算法  速度慢   但是安全

        

                最佳解决方法: 用非对称加密算法加密对称加密算法的密钥

             

        非对称加密的产生过程及原理:

                对称加密的困境

                        密钥的安全传输---对称加密算法的缺陷

                

                密钥传输风险                 密钥管理难

安全防御----APT

        安全防御----APT

         机密性最佳解决:用非对称加密算法加密对称加密算法的密钥

         完整性与身份认证最佳解决:对明文a进行hash运算得到定长值h,然后对h进行非对称运算用私钥加密得到值k,然后对明文a进行对称运算得到y,传输的同时传输y和k,收到后用非堆成公钥解开k得到h‘,然后用对称算法解开y得到a,然后对a 进行hash得到h’‘如果h’与h‘’相同,则证明完整性与身份认证。

        

         6. 私密性的密码学应用?

        身份认证技术的应用:

                身份认证:通过标识和鉴别用户身份,防止攻击者假冒合法用户来获取访问权限。

                身份认证技术:在网络中确认操作者身份的过程而产生的有效解决方法。

        如何确认信息的发送者一定是本人?

        发送者是alice,使用非对称算法,生成私钥A,公钥B。

                        1. alice把公钥给bob

                        2. alice发送信息hello,world!

                        3. alice把发送的信息用对称加密算法加密到加密信息C。

                        4. alice把发送的hello,world!先用hash算法计算得到hash值D。

                        5. alice把hash值D用非对称加密计算得到E。E值就是用于身份验证的。

                        6. alice把C,E一起发给bob。

                        7. bob收到C,E值,先用非对称的公钥对E进行解密,如果能正常解开则证明C值是alice的。

                在上述1中如果黑客换了Alice的公钥,那么就会出现身份认证漏洞。

        解决的办法:

                        Alice把公钥给bob的环节能确保是安全的,一定是Alice给的。

                        想办法证明Alice的公钥一定是Alice的。

7. 非对称加密如何解决身份认证问题?

                        公钥的身份证---数字证书

安全防御----APT

 安全防御----APT

         

                PKI(公共密钥体系)是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。

                简单来说就是利用公钥技术简历的提供安全服务的基础设施。通过第三方的可信机构,CA认证中心把用户的公钥与用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户身份。

安全防御----APT

 安全防御----APT

         数字证书:

        包含:

                用户身份信息、用户公钥信息、身份验证机构的信息及签名数据

        数字证书分类:        

                签名证书----身份验证,不可抵赖性。

                加密证书---加密性、完整性、机密性。

9. SSL工作过程

        1.客户端浏览器发送一个消息,表示要和网站简历安全SSL连接

        2.网站服务器响应客户端请求,发给客户端两样东西:网站服务器自己的证书(内含网站的公钥)、一个随机值

        3.客户端浏览器验证网站服务证书是否可信

        4.客户端利用网站服务其发的随机值生成会话密钥

        5.客户端浏览器和网站服务器开始协商加密算法和密钥长度

        6.协商成功后,客户端浏览器利用网站的公钥将生成的会话密钥加密,然后传送给网站服务器。

        7.网站服务器收到客户端发送的利用网站服务器自己公钥加密的会话密钥,然后用自己的私钥解密出会话密钥,由此得到了安全的会话密钥

        8.网站服务器再随机生成一个信息,用解密后的会话密钥加密该随机信息后发送给客户端浏览器(目的是让客户端认证服务器)

        9.浏览器收到随机信息后,用会话密钥解密出信息(自然就认证了服务器),接着浏览器用自己的私钥对此信息做数字签名,连带客户端自己的证书(内含公钥),一起发送给网站服务器(目的是服务器认证客户端)

        SSL记录协议:在SSL握手协议之下,传输层之上,数据传输阶段的封装、压缩、加密(利用SSL握手协议产生的会话密钥对称加密应用层数据)文章来源地址https://www.toymoban.com/news/detail-470442.html

到了这里,关于安全防御----APT的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 为什么说云蜜罐可以让安全防御工作由被动变主动

    蜜罐技术本质上是一种对攻击方进行欺骗的技术,通过布置一些作为诱饵的主机、网络服务或者信息,诱使攻击方对它们实施攻击,从而可以对攻击行为进行捕获和分析,了解攻击方所使用的工具与方法,推测攻击意图和动机,能够让防御方清晰地了解他们所面对的安全威胁

    2024年04月10日
    浏览(42)
  • SIFT 算法和SURF(Speeded Up Robust Features)算法的全称是什么,分别是什么意思,分别是用来干什么的?

    问题描述:SIFT 算法和SURF(Speeded Up Robust Features)算法的全称是什么,分别是什么意思,分别是用来干什么的? 问题解答: SIFT 算法: 全称: 尺度不变特征变换(Scale-Invariant Feature Transform)。 意义: SIFT 算法用于检测图像中的关键点,并提取这些关键点的特征描述子,具有尺度

    2024年01月20日
    浏览(53)
  • android:persistent和android:priority的区别,对进程优先级有什么影响?

    前言:写的apk因为系统busy给我kill了,(adj 900): kill all background,在AndroidManifest.xml添加android:persistent=\\\"true\\\"后,被甲方要求不能这样做,还是得从adj改,把 priority改成1000 android:persistent和android:priority是两个不同的属性,它们分别用于不同的目的。 android:persistent:用于设置应用组

    2024年01月25日
    浏览(36)
  • 修改SSH默认端口,使SSH连接更安全_advanced ssh settings”中设置端口号

    yum provides semanage 安装 yum -y install policycoreutils-python-2.5-34.el7.x86_64 el 不是1 查询semanage ssh 已开设端口 semanage port -l | grep ssh 增加新端口 semanage port -a -t ssh_port_t -p tcp 2200 删除端口 semanage port -d -t ssh_port_t -p tcp 2200 3、防火墙端口设置(如果启用) #增加端口 firewall-cmd --zone=public -

    2024年04月12日
    浏览(67)
  • 安全测试-django防御安全策略

    django安全性 django针对安全方面有一些处理,学习如何进行处理设置,也有利于学习安全测试知识。 跨站点请求伪造(Cross-Site Request Forgery,CSRF)是一种网络攻击方式,攻击者欺骗用户在自己访问的网站上执行恶意操作,通过利用用户当前的身份和权限,发送未经用户许可的

    2024年02月11日
    浏览(36)
  • 安全防御——三、网络安全理论知识

    下边基于这次攻击演示我们介绍一下网络安全的一些常识和术语。 资产 任何对组织业务具有价值的信息资产,包括计算机硬件、通信设施、IT 环境、数据库、软件、文档资料、信息服务和人员等。 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不

    2024年02月04日
    浏览(42)
  • 什么是DNS隐蔽信道?如何防御?

    DNS隐蔽信道是一种利用域名系统(Domain Name System,DNS)进行数据传输的技术,它可以在不引起用户和网络安全系统注意的情况下,通过DNS查询和响应传输信息。由于DNS协议的设计初衷是为了解析域名到IP地址的映射,它通常不被视为用于传输大量数据的协议。然而,攻击者可

    2024年01月22日
    浏览(41)
  • 前端安全:XSS 与 CSRF 安全防御

    在当今数字化的时代,前端安全性变得愈发重要。跨站脚本攻击(XSS)和跨站请求伪造(CSRF)是常见的前端安全威胁,但通过一些简单的防御策略,我们可以有效地保护我们的应用程序和用户信息。本文将为您解释什么是 XSS 和 CSRF,以及如何防御这些威胁。 1. 跨站脚本攻击

    2024年02月13日
    浏览(41)
  • 安全防御 --- IPSec理论(02)

    附: 协议与模式分类 esp 和 ah 的分类: 数据的安全性:ESP有机密性;AH无机密性 场景:ESP适合公网场景;AH适合内网 / 私网场景 (数据的安全性主要依赖于传输端之间需要做认证) 传输模式和隧道模式的分类: 传输端的可达性:传输模式有可达性;隧道模式无可达性 场景

    2024年02月08日
    浏览(48)
  • 【安全防御】身份鉴别技术

    身份认证技术用于在计算机网络中确认操作者的身份。在计算机网络世界中,用户的身份信息是用一组特定的数据来表示的,计算机也只能识别用户的数字身份。身份认证技术能够作为系统安全的第一道防线,主要用于确认网络用户的身份,防止非法访问和恶意攻击,确保数

    2024年02月03日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包