-
-
[分享]从流量中检测高级持续性威胁的困难与对策
-
发表于: 2024-10-29 16:17 1505
-
网络安全攻防形势的变化对网络安全提出了新的挑战。万物互联趋势下,企业数字化转型浪潮下,“云大物移智”等新技术的应用,让政企用户的网络安全边界逐渐模糊,高级持续性威胁风险日益增强。当高级未知威胁穿透企业当前的安全防御体系后,如何快速做出响应,锁定攻击源头,降低减小资产损失,将成为客户最关心的问题。
高级持续性威胁是什么?
江民高级威胁产品部持续追踪全球的0DAY攻击和APT事件,以攻击者的视角去分析跟踪多起威胁活动,总结了几点高级威胁的演变规律:
(1)高级威胁隐蔽性地在逐步提高。首先,威胁流量占全流量的比例不明显,甚至出现了在整体流量占比下降的趋势。再者,部分场景上,高级威胁流量的发送频度也有降低。但是,这并不表明高级威胁在减少,反而说明其隐蔽性的提升。
(2)加密的高级威胁流量比重在逐渐上升。如果高级威胁流量采用加密技术,留给分析者就只剩下元数据了,内容层面的分析带来了很大的挑战。
高级持续性威胁(Advanced Persistent Threat,APT),又叫高级长期威胁。“高级”是指计划、执行APT攻击需要比传统攻击更高的定制程度和复杂程度。攻击的发起方需要系统性地研究和利用系统漏洞,确保渗透成功。“持续性”是指从渗透开始到攻击发生的周期长,动作持续。通过对目标的持续监控,确保控制目标和达到攻击意图。“威胁”是指有特定组织参与策划的攻击,攻击目标是高价值的组织或者资产。攻击一旦得手,会造成巨大的经济损失或政治影响。
高级威胁防御的难点:
从技术层面来讲,应对高级威胁的产品和方案越来越丰富,但是能够真正实时跟踪最新的APT攻击,并对未知攻击做出精确预判的并不多。传统上认为,流量设备是检测高级威胁的重要战场,根据最新的高级威胁攻击的发展状况,传统流量设备的局限性日益突出,表现在下面几个方面:
(1)基于规则的检测方案滞后性明显。同样,情报更新也有滞后性。
(2)纯粹的流量设备算力有限,并不能实时进行大数据分析。
(3)攻击场景多元化,发起攻击的组织日益增多,抽象出统一的对抗模型的技术难度高。
高级威胁的防御策略:
江民高级威胁产品部在高级威胁对抗实践中持续改进,提出了自己的见解。
首先,应对未知高级威胁,归根结底还是需要提高行为分析模型的准确度;真实的情况往往是高级威胁在流量中表现为多个不同的会话,因此会话关联才能真正地把“蛛丝马迹”串联起来,才能形成攻击过程。
其次,真正地从攻击者视角进行攻击捕获,可以有效弥补传统对抗性检测方案的不足。赤豹高级威胁检测与响应系统(NDR)是江民流量安全的落地产品,能够较为完整的覆盖ATT&CK模型,可以形成攻击回溯。
再者,与江民大数据分析平台进行数据协同,通过异常行为画像等多重分析可以提升未知高级威胁的识别率。与江民终端安全检测与响应(EDR)产品的紧密联动,可以有效提升自动化处置能力,快速锁定攻击范围,降低高级威胁对用户核心数字资产的破坏。