一、终端安全风险
黑客攻击的目的是获取有价值的数据--终端,控制终端以后,可以直接种植勒索病毒勒索客户,更严重的是,黑客的目标往往是那些存储着重要数据的服务器,受控的终端称为黑客的跳板,通过这些失陷主句横向扫描内部网络,发现组织网络内部重要的服务器,然后对服务器发起内部攻击
二、常见的攻击手段
1.僵尸网络是最为严重的安全问题
2.利用病毒、木马、蠕虫等等多种入侵手段
3.APT攻击最常用的跳板就是僵尸网络
4.僵尸网络的主要危害有:
- 看不见风险
- 高持续威胁
- 本地渗透扩散
- 敏感信息窃取
- 脆弱信息收集
三、终端安全检测和防御技术
1.基于7层应用的深度数据报检测可实现终端安全可控
2.应用控制策略可对应用/服务的访问做双向控制,NGAF存在一条默认拒绝所有服务/应用的控制策略
3.基于应用的控制策略:通过匹配数据包特征来进行过滤,需要一定的包通行后才能判断应用类型
4.基于服务的控制策略:通过匹配数据包的五元组来进行过滤动作,对于任何包可以立即进行拦截动作判断
5.web过滤:对符合设定条件的访问网页数据进行过滤,包括URL过滤、文件过滤。根据HTTP不同动作进行区分,可以针对HTTPS URL进行过滤
四、计算机病毒
1.什么是计算机病毒:编制或在计算机程序中能插入的破坏计算机功能或毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或程序代码
2.工作步骤
五、网关杀毒技术
1.演变过程
单机版杀毒软件->网络版杀毒软件->杀毒软件+杀毒网关
2.基于杀毒软件的防御是一种被动解决方案
3.杀毒网关对进站数据进行扫描,把病毒拦截在外
4.功能优势
- 基于应用层过滤病毒
- 过滤出入网关的数据
- 网关阻断病毒传输,主动防御病毒于网络之外
- 部署简单,方便管理
- 与杀毒软件联动,建立多次防护
5.实现方式
(1)代理扫描方式
将所有经过网关的需要进行病毒检测的数据报文透明的转交给网关自身的协议栈,通过网关自身协议栈将文件全部缓存下拉后,再送入病毒检测引擎进行病毒检测
(2)流扫描方式
依赖于状态检测技术以及协议解析技术,简单的提取文件的特征与本地签名库进行匹配
6.工作流程
六、僵尸网络
1.什么是僵尸网络:又称丧尸网络、机器人网络,指黑客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即黑客所说的僵尸电脑或肉鸡组织成一个个控制节点用来发送伪造包或是垃圾数据包,使预定攻击目标瘫痪并拒绝服务
2.相关名词
- C&C服务器:命令与控制服务器是攻击者操控已植入目标终端的中枢神经系统,也是APT攻击得以长期持续的关键基础设施。其核心功能包括:向受控终端(肉鸡)发送指令、收集窃取数据、更新恶意代码、协调横向移动等。
- APT(高级持续性威胁):其核心在于隐蔽性、针对性和长期性。攻击者(通常是有国家背景或高度组织化的犯罪集团)针对特定高价值目标(如政府、军工、能源、金融、高科技企业)进行精心策划、分阶段实施的复杂网络攻击。
3.攻击过程
4.检测和防御技术
- 传统防毒墙和杀毒软件查杀木马的效果有限
- 在APT场景下,更是形同虚设
- 需要一种时候检测机制用于发现和定位客户端受感染的机器
- 记录的日志要求有较高的可追溯性
- 受感染的机器试图与外部通信时,AF识别出该流量,并根据用户策略进行阻断和记录日志
5.主要防御技术
(1)木马远控:对防护区域发出的数据及收到的请求都进行木马远控安全检测
(2)恶意链接:针对可能导致威胁的URL进行拦截
(3)移动安全:包含apk包杀毒功能和移动僵尸网络检测功能
(4)异常流量:包含非标准端口运行对应协议检测等手段
(5)云端沙盒:将可以流量上报给厂商的安全云产品,执行检测生成策略,将规则下发同时进行云同步