敵を知り、己を知れば百戦危うからず」ということわざがあるように、APT攻撃には、APT攻撃に対する一定の理解だけでなく、企業のセキュリティの現状を理解するために、自分自身を内省し、防衛の良い仕事をする必要があります。
APT(Adavanced Persistent Threat)とは、明確に定義された標的に対する持続的かつ巧妙なサイバー攻撃のことです。2010年にGoogleが深刻なハッキング攻撃を認めたことで、APT攻撃は情報セキュリティ業界でホットな話題のひとつとなりました。
APT攻撃の主な特徴
APTは、サイバー世界におけるミステリアスで予測不可能な暗殺者のようなもので、独自の特徴をもって標的システムのセキュリティを抑止します。
標的型攻撃:従来のネットワーク攻撃と比較して、APT攻撃は非常に標的が絞られています。伝統的なネットワーク攻撃は、一般的にターゲットを攻撃するために比較的簡単な選択され、選択された攻撃ターゲットのAPT攻撃は、一般的に変更されません、全体の攻撃プロセスは、攻撃者によって慎重に計画されている、攻撃が開始されると、攻撃者は、さまざまな攻撃技術、攻撃の手段を試してターゲットネットワークに向けられ、目標を達成しない決してあきらめません。
隠蔽:APT攻撃は極めてステルス性が高く、攻撃者は豊富な経験、高度な技術、並外れた忍耐力を駆使して痕跡を隠し、従来のセキュリティ製品の検知を回避する傾向があります。
複雑性:APTの攻撃プロセスにおいて、攻撃者は多くの場合、様々な攻撃手法、攻撃手段を使用し、既知のセキュリティ脆弱性、トロイの木馬のバックドアを使用するだけでなく、0DAY脆弱性、特殊なトロイの木馬を使用する可能性があり、通常、ソーシャルエンジニアリングの関連知識と組み合わせることで、攻撃経路は複雑です。#p#
APT攻撃の一般的なプロセス
各APT攻撃インシデントには、異なる試みと異なる攻撃ターゲットがありますが、APT攻撃の準備と実行には共通のプロセスがあり、それは一般的に4つのフェーズ、すなわち、探索フェーズ、侵入フェーズ、侵入フェーズ、収穫フェーズに分けることができます。
APT攻撃の攻撃者は、標的システムに関する関連情報の検索に多くの時間とエネルギーを費やします。APT攻撃の攻撃者は、標的システムの関連情報の検索に多くの時間とエネルギーを費やします。彼らは、企業の背景、企業文化、人事組織を理解し、標的システムのネットワーク構造、業務システム、アプリケーションのバージョンなどに関する情報も収集します。APT攻撃は、特殊なトロイの木馬、0DAY脆弱性攻撃ツール、パスワード推測ツール、その他の侵入テストツールを使用することがあります。
侵入段階:攻撃者は、突破口を見つけ、企業イントラネット上の最初のコンピュータを制御できるようになるまで、断続的に侵入を試みます。一般的な方法を以下に示します:
悪意のある文書:慎重に作成され、電子メール、IMソフトウェアなどの形で社内の従業員に送信されます;
悪意のあるリンク:悪意のあるコードを含むURLリンクを電子メールやIMソフトなどで社内の社員に送り、クリックさせる手口;
ブロイラー」の購入:これは最も便利な攻撃方法の1つで、組織内の他のハッカーによってすでに侵害されたコンピュータを、地下の闇市場から直接購入する方法です。
侵入フェーズ:攻撃者は、コントロールされているコンピュータを踏み台にして、リモートコントロールにより企業イントラネットに侵入し、貴重なデータを探します。 このフェーズでは、侵入フェーズと同様に、攻撃者の忍耐力、スキル、手段が試されます。
収穫段階:攻撃者は、入手した機密データを送信するために、隠されたデータ送信チャネルを構築します。実際、このフェーズの名称は「ハーベスティング・フェーズ」ですが、APT攻撃の開始者は通常の攻撃者に比べて極めて貪欲であるため、発見されない限り、攻撃は停止せず、新たな機密データや機密情報を盗み続けようとします。#p#
APT攻撃に対する防御方法
諺にあるように、"汝自身を知り、敵を知り、百戦百勝"、APT攻撃では、APT攻撃の一定の理解を持っているだけでなく、自分自身を内省するために、企業のセキュリティの現状を理解するために、保護するために良い仕事をするために、例えば:企業は、どの組織との通信や相互作用?企業の組織構造は?既存のセキュリティポリシーは?どのようなデータが機密であり、保護の強化が必要か?APT 攻撃を検知する技術的手段はあるか?情報セキュリティ侵害に対処するための緊急対応プロセスはあるか?従業員のセキュリティ意識を強化する必要があるか?
APT攻撃の4つの段階を振り返り、それぞれの段階で何ができるのか?
探索段階:この段階における攻撃者の主な任務は、情報の収集と計画の立案です。この段階では、セキュリティ脅威の検知や早期警告システムを頼りに、攻撃者が企業ネットワーク上で行うスニッフィングやスキャニングの行動を特定し、事前に防ぐことができます。また、情報システムのセキュリティ管理を強化し、例えば、定期的なセキュリティチェックや強化、システム情報の露出をできるだけ少なくすることで、初期攻撃の難易度を高めることができます。さらに、従業員に対して定期的なセキュリティ意識教育を実施し、セキュリティに対する注意意識を向上させることができます。
侵入段階:攻撃者はこの段階で、侵入行為を実行するための最初の着地点として、企業の内部コンピュータを制御する方法を見つけます。この段階では、セキュリティ脅威の検出、進行中の攻撃を識別するための早期警告システムに依存することができます。侵入防御システム、ファイアウォールやその他の製品、セキュリティポリシーの合理的な構成は、定期的な攻撃の試みをブロックし、攻撃者がおびき寄せるためにソーシャルエンジニアリングの使用を避けるために警戒を高める。
侵入フェーズ:侵入フェーズは、攻撃者が標的システムに侵入するために様々な攻撃手法や攻撃方法を試みるという点で、侵入フェーズと似ています。セキュリティドメインの合理的な計画、システムアカウントのセキュリティ監査の強化、システムアカウントと権限の管理、システムセキュリティポリシーの最適化などにより、攻撃者が侵入を継続しにくくすることを検討します。
ハーベスティング・フェーズ:このフェーズでは、攻撃者は取得した機密データや情報を企業の外部ネットワークに送信しようとするため、機密トラフィックや不正な接続を検出することが特に重要です。
APTの攻撃は、効果的に単一のセキュリティ製品やセキュリティ技術、保護を介して検出することはできません、企業は、セキュリティ技術と保護システムの深さのセキュリティ管理の組み合わせを確立するために、APTの攻撃に抵抗するために。また、APT攻撃と防御の一般的なプロセスでは、全体的な脅威の検出は、APT攻撃の唯一のタイムリーな検出は、順序で悪化し続け、その後、企業のセキュリティ保護システムを改善するために最初の時間でネットワーク攻撃を停止するため。
ADLab APTの検出と防御
Qisdaは業界をリードするセキュリティ製品、セキュリティサービス、セキュリティソリューションのプロバイダーであり、長年のセキュリティサービスにおける技術的な沈殿と蓄積を持ち、ADLabセキュリティサービスチームは多くの国家重点科学研究プロジェクトと情報セキュリティ保護プロジェクトの洗礼を経験し、専門的なセキュリティ製品、セキュリティサービス、ベストプラクティスに基づき、QisdaはM2S2.0継続的脅威監視サービスを開始しました。サービスを開始しました。
M2S2.0継続的脅威監視サービスの目的は、専門的なセキュリティ製品を通じて、顧客の情報システムにおける異常なネットワーク挙動と悪質な攻撃を監視することです。例えば、0DAY脆弱性攻撃、特殊なトロイの木馬イベント、スパイウェアイベント、複合攻撃イベントなど。七星晨ADLabの専門的なセキュリティサービス能力を頼りに、セキュリティ製品のアラーム情報とログデータを徹底的に発掘・分析し、異常なネットワーク挙動と悪質な攻撃イベントを分析レポートの形で明確に示し、顧客がタイムリーにセキュリティイベントを処理できるようにします。異常なネットワーク動作や悪質な攻撃事象を分析レポートとして明示し、お客様がタイムリーにセキュリティインシデントを処理できるようにします。
M2S2.0継続的脅威監視サービスは、セキュリティ製品とセキュリティサービスを有機的に結合します。つまり、専門的なセキュリティサービスを接着剤として使用し、従来の侵入検知、ハニーポットシステム、異常トラフィック検知などを、高感度トラフィック検知、悪意のあるコード検知、その他の新しいセキュリティ製品や検知技術と統合することで、APT攻撃の監視、識別、警告を実現します。次の図は、監視とサービスの目的の一部を示しています:
現在、M2S2.0の継続的な脅威検出サービスは、いくつかの主要顧客で試験的に導入され、半年以内に複数の悪意のあるネットワーク侵入を検出するなど、良好な結果を得ています。
