轉載至 http://blogs.technet.com/b/twsecurity/archive/2013/07/08/apt.aspx
進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 是一種最近常見的網路攻擊型態,攻擊者往往都是相當龐大且有組織的駭客集團,而並非像一般的駭客事件可由單一駭客所為。駭客集團會針對特定的攻擊對象設計一套專屬的攻擊策略,攻擊的手法除了以電腦入侵方式外,也會透過其他的傳統的手法達到竊取資料的目的(如電話竊聽等)。
APT 的攻擊者往往都會透過長時間且持續性的潛伏及監控,趁使用者稍有疏忽時撈取其所需要的資訊。在一篇網路報導ADT 攻擊如何癱瘓您的網路安全(英文)中可以窺見 APT 攻擊的手法和策略。
根據美國資訊網路公司 Mandiant 在2013年所提出的 調查報告(英文) 中可將 APT 攻擊歸類成以下的生命週期來進行:
1) 初步的入侵:利用一些釣魚網站或電子郵件來做為入侵的媒介。
2) 建立立足點:植入 Rootkit 等惡意程式以掌握使用者系統。
3) 取得管理者權限:利用破解密碼等方式取得該電腦管理者權限。
4) 內部偵查與平行擴散:找尋該主機附近的其他主機或伺服器,並伺機取得其內部資料庫儲存之機密資料。
5) 持續監控並完成任務:持續掌控資料庫伺服器或是主機,並將資料匯出達到竊取機密的目的。
圖二、 APT 攻擊的生命週期(圖片來源)
APT 攻擊為一種相當有策略性且多面相的入侵,且其入侵的通常都是長時間且持續性的,並非單一事件,也因此其防範方法也必須在各種細節中嚴加堤防注意,並不能因為單一危機解除後就掉以輕心,必須要從養成良好的資訊操作習慣開始做起。
在面對釣魚網站或是電子郵件的防治部分可以參考本部落格文章 [資安小常識] 最新的釣魚攻擊 以及 [資安小常識] 玩線上遊戲也要小心釣魚攻擊 ,以了解最新的釣魚形式。而關於惡意程式的入侵,也可以參考本站文章 [資安小常識] 惡意程式Rootkit的認識及防範 來處理。
圖三、圖片來源
對於資訊管理的人員來說, APT 的防禦模型 顯得更加的重要,基本上面對如此有組織的滲透攻擊,管理人員能做的就是勤加監控網站或是資料庫的存取記錄,以便能從記錄中辨識出攻擊的事件,並阻擋該來源的讀取權限。常說知己知彼、百戰百勝,能夠知道駭客組織的常用攻擊模式之後,就能夠將對方入侵的企圖瓦解,維護資訊安全。
參考資料
- 維基百科 – 進階持續性滲透攻擊(英文)
http://en.wikipedia.org/wiki/Advanced_persistent_threat - 2013 年Mandiant 的資安調查報告(英文)
http://intelreport.mandiant.com/ - ADT 攻擊如何癱瘓您的網路安全(英文)
http://www.infoworld.com/d/security-central/how-advanced-persistent-threats-bypass-your-network-security-048
- 從APT攻擊談網路資安防禦新觀念
http://www.netadmin.com.tw/article_content.aspx?sn=1110050003 - [資安小常識] 最新的釣魚攻擊
http://blogs.technet.com/b/twsecurity/archive/2013/02/18/bouncer-list-phishing.aspx - [資安小常識] 玩線上遊戲也要小心釣魚攻擊
http://blogs.technet.com/b/twsecurity/archive/2012/07/10/3508231.aspx - [資安小常識] 惡意程式Rootkit的認識及防範
http://blogs.technet.com/b/twsecurity/archive/2013/01/07/rootkit.aspx - APT 的防禦模型
http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=12&aid=7538
沒有留言:
張貼留言