艾銻人分解APT攻擊，淺析四大檢測防御方案

2020-02-25 16:47 作者：艾銻無限 瀏覽量：

疫情即將結(jié)束，如何提升企業(yè)工作效率
 

艾銻無限免費(fèi)為企業(yè)提供IT服務(wù)

 
這幾天如果大家關(guān)注疫情數(shù)據(jù)的變化，可以看到新增確診病例在持續(xù)下降，這意味著疫情很快就會結(jié)束，大家再也不用在家辦公了，到不是在家工作有什么不好，但人類發(fā)明工作不簡簡單單只是為了實現(xiàn)結(jié)果的達(dá)成，還有一個非常重要的因素就是人與人之間的聯(lián)結(jié)，這是人類內(nèi)在價值的需求，透過 工作與人接觸，共同感受彼此的能量流動，從而達(dá)到自我價值的實現(xiàn)，這就像演員都渴望登上奧斯卡的舞臺，來實現(xiàn)自我角色的認(rèn)可一樣。



 

在家辦公，畢竟是家，松、散、懶以及無所謂的態(tài)度會隨時產(chǎn)生，我相信不是每個人都會這樣，但大部分人會如此，因為家本來就是放松的能量場，接下來大家即將回到公司，回到自己的工作崗位，難免會把在家的狀態(tài)帶入工作中，如果每個人都是這樣的狀態(tài)，企業(yè)很快會陷入新的窘境，所以沒有 狀態(tài)，也不會有好的結(jié)果，狀態(tài)就是一切。
 
團(tuán)隊的勢氣決定企業(yè)整體的戰(zhàn)斗力，那如何調(diào)整陸陸續(xù)續(xù)回來的團(tuán)隊成員呢？






 
 
艾銻無限對中小企業(yè)有三條建議：
 
第一，重新梳理整個企業(yè)的戰(zhàn)略，疫情的發(fā)生，是否給你企業(yè)帶來了變化？如果有那是什么？是否需要調(diào)整自己原有的戰(zhàn)略方向來應(yīng)對疫情發(fā)生后的影響？
 
第二，重新明確每個人的目標(biāo)和目的，目標(biāo)就是重回企業(yè)的人要干什么？干到什么程度？什么時間可以看到這個結(jié)果的發(fā)生？目的就是為什么要實現(xiàn)這個目標(biāo)？這個目標(biāo)與自己的意義是什么？與企業(yè)的意義又是什么？達(dá)成了會怎么樣？達(dá)不成又會怎么樣？
 
只有清晰這些問題，才會讓回到工作崗位的人快速改變自己的狀態(tài)投入到接下來的工作中，只有積極的狀態(tài)投入工作才會有積極的成果發(fā)生，反之依然。
 
第三，企業(yè)高管與員工建立一對一的對話機(jī)制，因疫情的影響，每個人心理或多或少都會產(chǎn)生一些內(nèi)在的變化，作為企業(yè)的高層管理人員，最好與企業(yè)內(nèi)部員工一對一的進(jìn)行溝通，去了解在這個過程中員工受到的影響和產(chǎn)生的變化，以便接下來更好的調(diào)整他們的狀態(tài)，因為如果他們的心沒有回來，
企業(yè)的要求和制度帶來的也都是大家沒有能量的重復(fù)和機(jī)械的工作，最終也很難帶來好的結(jié)果。
 
以上三點(diǎn)是企業(yè)管理者需要重視的，當(dāng)然身為企業(yè)的一員無論是誰也都需要重新審視自己的狀態(tài)，因為這關(guān)系著企業(yè)接下來的生、死、存、亡，能量是企業(yè)持續(xù)發(fā)展的源泉，以上所有的目的都是為了聚合企業(yè)人的能量，重新點(diǎn)燃大家面對工作的激情和信心，這將是企業(yè)至勝的法定。
 
當(dāng)然這只是我們一家之言，每家企業(yè)可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
以上三點(diǎn)做為每一家企業(yè)的管理者都有必要重視起來，因為這關(guān)系著企業(yè)接下來的生、死、存、亡，當(dāng)然這只是我們一家之言，可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
那為什么我們會有這樣的思考，因為艾銻無限是一家企業(yè)互聯(lián)網(wǎng)”云”解決方案服務(wù)平臺，企業(yè)在初創(chuàng)時經(jīng)歷了2003年的非典，后來又經(jīng)歷了2008年的經(jīng)濟(jì)危機(jī)以及2016年互聯(lián)網(wǎng)創(chuàng)業(yè)大潮，生生死死，幾經(jīng)沉浮，最終發(fā)現(xiàn)上述三點(diǎn)是生死線中最重要的，所以愿意分享給大家，期望這次疫情大家不僅

能渡過難關(guān)，更能看見大家在這個過程中強(qiáng)而有力的領(lǐng)導(dǎo)力，讓自己企業(yè)力挽狂瀾，讓自己的工作更上一層樓，讓自己的生活在2020年更精彩。
 
在這次疫情后各個企業(yè)恢復(fù)的過程中，艾銻無限還能為大家做的就是免費(fèi)為中小企業(yè)提供相應(yīng)的IT服務(wù)，以下是艾銻無限可以提供服務(wù)的內(nèi)容，如果大家有相應(yīng)的需求，可以打下面的電話與我們的企業(yè)相關(guān)人員聯(lián)系，我們一定會盡全力幫助大家渡過難關(guān)。

   

歷經(jīng)10幾年,艾銻無限服務(wù)了5000多家中小企業(yè)并保障了幾十萬臺設(shè)備的正常運(yùn)轉(zhuǎn)，積累了豐富的企業(yè)IT緊急問題和特殊故障的解決方案，我們?yōu)槟钠髽I(yè)提供的IT服務(wù)分為三大版塊:
 
第一版塊是保障性IT外包服務(wù):如電腦設(shè)備運(yùn)維，辦公設(shè)備運(yùn)維，網(wǎng)絡(luò)設(shè)備運(yùn)維，服務(wù)器運(yùn)維等綜合性企業(yè)IT設(shè)備運(yùn)維服務(wù)。
 
第二版塊是功能性互聯(lián)網(wǎng)外包服務(wù):如網(wǎng)站開發(fā)外包，小程序開發(fā)外包，APP開發(fā)外包，電商平臺開發(fā)外包，業(yè)務(wù)系統(tǒng)的開發(fā)外包和后期的運(yùn)維外包服務(wù)。
 
第三版塊是增值性云服務(wù)外包:如企業(yè)郵箱上云，企業(yè)網(wǎng)站上云，企業(yè)存儲上云，企業(yè)APP小程序上云，企業(yè)業(yè)務(wù)系統(tǒng)上云，阿里云產(chǎn)品等后續(xù)的云運(yùn)維外包服務(wù)。
   

更多服務(wù)也可以登錄艾銻無限的官網(wǎng): www.bjitwx.com 查看詳細(xì)說明。

每家企業(yè)都有著不同的人，每個人都有著不一樣的思考，所以企業(yè)不需要統(tǒng)一所有人的思維，企業(yè)只需要統(tǒng)一所有人的心，因為只要心在一起了，能量就會合一，能量合一企業(yè)將無所不能。
 
相信這次疫情帶給中國企業(yè)的不僅僅是災(zāi)難，更有可能的是歷練，這幾年經(jīng)濟(jì)發(fā)展如此快速，大部分中小企業(yè)的成長都是隨著國家政策及整個社會的大勢起來的，沒有經(jīng)過太多的挑戰(zhàn)和困難，所以存活周期也會很短，從2016年大眾創(chuàng)業(yè)，萬眾創(chuàng)新倡導(dǎo)下成立了上千萬家企業(yè)，但真正存活下來的就只有幾萬家，這樣的結(jié)果即不能給國家?guī)矸€(wěn)定持續(xù)發(fā)展的動力，也不能為社會創(chuàng)造更大的價值，反而讓更多的人投機(jī)取巧，心浮氣躁，沉不下來真正把一件事做好，做到極致。
 
所以這次疫情也會讓大部分企業(yè)重新思考，問問自己，為什么要創(chuàng)立這家企業(yè)，想為這個國家和社會帶來的是什么？企業(yè)真正在創(chuàng)造的是什么？如何做才能讓社會因自己的企業(yè)變得更好？.....
 
當(dāng)企業(yè)真正去思考，用心去創(chuàng)造價值的時候，也就是人們幸福快樂的時候，因為再也不用擔(dān)心假貨、次貨、買到不好的產(chǎn)品，更不用擔(dān)心環(huán)境被污染，大氣被破壞，疫情即是一場災(zāi)難，又是重新成就中國企業(yè)的一次機(jī)會，讓全世界人覺醒，生命只有一次，我們要如何做才能不枉此生呢？
 
   

你對世界微笑，世界絕不會對你哭，希望大家都能積極樂觀起來，讓自己、自己的家人、自己的企業(yè)、還有自己的國家都快樂起來，把焦點(diǎn)、意識、能量放在我們想要什么上，而不是不要的事情上，我相信，就在不久的將來，我們一定會看到一個富強(qiáng)、文明、健康的中國以及一個和諧友愛的世界。

萬物同體，能量合一，最后無論你是中小企業(yè)，還是大型國有企業(yè)，只要你選擇艾銻無限，我們就一定全力以赴幫助大家渡過難關(guān)，服務(wù)有限，信息無限，透過全體艾銻人的努力，為您收集最有效的IT技術(shù)信息，讓您企業(yè)更快速解決遇到的IT問題：

艾銻人分解APT攻擊，淺析四大檢測防御方案

APT攻擊是近幾年來出現(xiàn)的一種高級攻擊，具有難檢測、持續(xù)時間長和攻擊目標(biāo)明確等特征。傳統(tǒng)基于攻擊特征的入侵檢測和防御方法在檢測和防御APT方面效果很不理想，因此，各安全廠商都在研究新的方法并提出了多種多樣的解決方案。在今年RSA峰會云集了眾多安全廠商，出現(xiàn)了許多APT安全解決方案，這里我們進(jìn)行整理和大家分享。
 
　　APT攻擊過程分解
　　整個APT攻擊過程包括定向情報收集、單點(diǎn)攻擊突破、控制通道構(gòu)建、內(nèi)部橫向滲透和數(shù)據(jù)收集上傳等步驟：



APT攻擊過程分解

　　1、定向情報收集

　　定向情報收集，即攻擊者有針對性的搜集特定組織的網(wǎng)絡(luò)系統(tǒng)和員工信息。信息搜集方法很多，包括網(wǎng)絡(luò)隱蔽掃描和社會工程學(xué)方法等。從目前所發(fā)現(xiàn)的APT攻擊手法來看，大多數(shù)APT攻擊都是從組織員工入手，因此，攻擊者非常注意搜集組織員工的信息，包括員工的微博、博客等，以便了解他們的社會關(guān)系及其愛好，然后通過社會工程方法來攻擊該員工電腦，從而進(jìn)入組織網(wǎng)絡(luò)。

　　2、單點(diǎn)攻擊突破

　　單點(diǎn)攻擊突破，即攻擊者收集了足夠的信息后，采用惡意代碼攻擊組織員工的個人電腦，攻擊方法包括：

　　1）社會工程學(xué)方法，如通過email給員工發(fā)送包含惡意代碼的文件附件，當(dāng)員工打開附件時，員工電腦就感染了惡意代碼；

　　2）遠(yuǎn)程漏洞攻擊方法，比如在員工經(jīng)常訪問的網(wǎng)站上放置網(wǎng)頁木馬，當(dāng)員工訪問該網(wǎng)站時，就遭受到網(wǎng)頁代碼的攻擊，RSA公司去年發(fā)現(xiàn)的水坑攻擊（Watering hole）就是采用這種攻擊方法。

　　這些惡意代碼往往攻擊的是系統(tǒng)未知漏洞，現(xiàn)有殺毒和個人防火墻安全工具無法察覺，最終結(jié)果是，員工個人電腦感染惡意代碼，從而被攻擊者完全控制。

　　3、控制通道構(gòu)建

　　控制通道構(gòu)建，即攻擊者控制了員工個人電腦后，需要構(gòu)建某種渠道和攻擊者取得聯(lián)系，以獲得進(jìn)一步攻擊指令。攻擊者會創(chuàng)建從被控個人電腦到攻擊者控制服務(wù)器之間的命令控制通道，這個命令控制通道目前多采用HTTP協(xié)議構(gòu)建，以便突破組織的防火墻，比較高級的命令控制通道則采用HTTPS協(xié)議構(gòu)建。

　　4、內(nèi)部橫向滲透

　　內(nèi)部橫向滲透，一般來說，攻擊者首先突破的員工個人電腦并不是攻擊者感興趣的，它感興趣的是組織內(nèi)部其它包含重要資產(chǎn)的服務(wù)器，因此，攻擊者將以員工個人電腦為跳板，在系統(tǒng)內(nèi)部進(jìn)行橫向滲透，以攻陷更多的PC和服務(wù)器。攻擊者采取的橫向滲透方法包括口令竊聽和漏洞攻擊等。

　　5、數(shù)據(jù)收集上傳
　　數(shù)據(jù)收集上傳，即攻擊者在內(nèi)部橫向滲透和長期潛伏過程中，有意識地搜集各服務(wù)器上的重要數(shù)據(jù)資產(chǎn)，進(jìn)行壓縮、加密和打包，然后通過某個隱蔽的數(shù)據(jù)通道將數(shù)據(jù)傳回給攻擊者。
 
　　APT檢測和防御方案分類
　　縱觀整個APT攻擊過程發(fā)現(xiàn)，有幾個步驟是APT攻擊實施的關(guān)鍵，包括攻擊者通過惡意代碼對員工個人電腦進(jìn)行單點(diǎn)攻擊突破、攻擊者的內(nèi)部橫向滲透、通過構(gòu)建的控制通道獲取攻擊者指令，以及最后的敏感數(shù)據(jù)外傳等過程。當(dāng)前的APT攻擊檢測和防御方案其實都是圍繞這些步驟展開。

　　

       我們把本屆RSA大會上收集到的APT檢測和防御方案進(jìn)行了整理，根據(jù)它們所覆蓋的APT攻擊階段不同，將它們分為以下四類：

　　1、惡意代碼檢測類方案：

　　該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破階段，它是檢測APT攻擊過程中的惡意代碼傳播過程。大多數(shù)APT攻擊都是通過惡意代碼來攻擊員工個人電腦，從而來突破目標(biāo)網(wǎng)絡(luò)和系統(tǒng)防御措施的，因此，惡意代碼檢測對于檢測和防御APT攻擊至關(guān)重要。

　　2、主機(jī)應(yīng)用保護(hù)類方案：

　　該類方案主要覆蓋APT攻擊過程中的單點(diǎn)攻擊突破和數(shù)據(jù)收集上傳階段。不管攻擊者通過何種渠道向員工個人電腦發(fā)送惡意代碼，這個惡意代碼必須在員工個人電腦上執(zhí)行才能控制整個電腦。因此，如果能夠加強(qiáng)系統(tǒng)內(nèi)各主機(jī)節(jié)點(diǎn)的安全措施，確保員工個人電腦以及服務(wù)器的安全，則可以有效防御APT攻擊。

　　3、網(wǎng)絡(luò)入侵檢測類方案：

　　該類方案主要覆蓋APT攻擊過程中的控制通道構(gòu)建階段，通過在網(wǎng)絡(luò)邊界處部署入侵檢測系統(tǒng)來檢測APT攻擊的命令和控制通道。安全分析人員發(fā)現(xiàn)，雖然APT攻擊所使用的惡意代碼變種多且升級頻繁，但惡意代碼所構(gòu)建的命令控制通道通信模式并不經(jīng)常變化，因此，可以采用傳統(tǒng)入侵檢測方法來檢測APT的命令控制通道。該類方案成功的關(guān)鍵是如何及時獲取到各APT攻擊手法的命令控制通道的檢測特征。

　　4、大數(shù)據(jù)分析檢測類方案：

　　該類方案并不重點(diǎn)檢測APT攻擊中的某個步驟，它覆蓋了整個APT攻擊過程。該類方案是一種網(wǎng)絡(luò)取證思路，它全面采集各網(wǎng)絡(luò)設(shè)備的原始流量以及各終端和服務(wù)器上的日志，然后進(jìn)行集中的海量數(shù)據(jù)存儲和深入分析，它可在發(fā)現(xiàn)APT攻擊的一點(diǎn)蛛絲馬跡后，通過全面分析這些海量數(shù)據(jù)來還原整個APT攻擊場景。大數(shù)據(jù)分析檢測方案因為涉及海量數(shù)據(jù)處理，因此需要構(gòu)建大數(shù)據(jù)存儲和分析平臺，比較典型的大數(shù)據(jù)分析平臺有Hadoop