无法应对高级持续性威胁（APT）：现有策略无法有效应对复杂的APT攻击

本文链接：https://blog.csdn.net/liushuaishuailiu/article/details/135246272

无法应对高级持续性威胁（APT）：现有策略无法有效应对复杂的APT攻击

引言

近年来网络犯罪活动日益猖獗, 其中一种极具破坏性的网络安全威胁就是高级持续型威胁 (APT)。这种类型的攻击通常针对特定的组织或目标展开, 并且会花费数周甚至数月的时间来进行侦察、渗透和持久化控制. 然而传统的安全防御手段在面对 APT 时显得捉襟见肘, 缺乏有效性和针对性; 因此如何建立一套行之有效的安全防护体系成为了当前企业亟待解决的问题之一.

APT 的特征与危害

APT 通常由高度专业的黑客组织实施并且具有以下特点:

* **定向性**：APT 针对的目标通常是高价值的企业和组织；这些目标的资产丰富且具备很高的战略重要性．

* **隐蔽性**：APT 会采取各种隐藏自身存在的方式避免被检测和识别包括：利用恶意软件伪装正常文件来躲避检测等等行为以及使用代理服务器等手段使得攻击者很难追踪到其真实的来源地址等行动方式。

* **长期潜伏性**：与传统的网络犯罪行为不同，APT 往往需要耗费大量时间通过长期的调查和分析来确定目标和获取信息，因此攻击者会有足够的时间和资源去实施破坏性行为并维持其对受害者的远程访问权限以实现长期的控制目的。（参考：《高级可持续性威胁(APT)概述》）

APT 给受害者带来的影响是巨大的，不仅包括直接的经济损失还包括品牌声誉的损害以及对公司业务和运营的影响。(参考:《高级可持续性与威胁》)

案例剖析

一些著名的高级持续威胁案例如下所示：(参考：[维基解密事件](https://en.wikipedia.org/wiki/WikiLeaks_affair))

* [斯诺登泄露](https://en.wikipedia.org/wiki/Edward_Snowden)

* [窃取德国工业机密案](http://www.spying-world.com/story/the-German- industrial- spying-case/)

这些案件表明 APT 对国家安全和经济造成的巨大威胁必须引起高度重视和加强防范措施!

APT防护的策略与管理方法

策略层面

建立有效的情报收集机制

APT 攻击往往基于事先了解到的关键信息来实现其战略目标比如商业秘密或者国家敏感信息等关键数据. 为了有效应对 APT 可以建立一套情报搜集机制以实时掌握外部动态，包括网络入侵监测系统、漏洞扫描工具、恶意代码检测平台等多种技术手段组成.(参考: 《信息安全技术信息安全风险管理指南》）

强化网络安全管理架构

加强网络安全管理架构建设可以确保网络空间的健康发展，提高整体的安全性能水平从组织、制度和技术三个层面对网络攻击行为形成全方位的防护态势。(参考 :《网络安全管理体系要求》 )

管理与方法层面的改进建议

建立完善的信息安全管理制度

建立完善的信息安全管理制度应该将 APT 等新型态的网络安全问题纳入其中并进行专门的管理规范, 确保组织内部各个部门和岗位都能够在各自的责任范围内做好安全工作以避免出现重大安全事故的发生 . 同时, 安全管理部门也需要及时协调组织内外部的资源保障安全管理工作的顺利进行。(参考：《信息安全技术信息安全管理体系规范》)。

加强员工的培训与教育

员工是企业安全防范的基础力量也是 APT 最容易突破的地方为此需要对员工开展相关的安全教育与培训，以提高他们的安全意识及应对网络安全风险的能力尤其是在遇到类似 APT 这样复杂的攻击时能够迅速采取措施减少损失。(参考：《信息安全意识教育》)。

定期评估与修复漏洞

企业应当定期对其信息系统和业务流程进行评估并及时发现存在的安全风险并采取必要的整改措施予以消除以保证信息系统的正常运行和安全可靠运行 , 防止 APT 这样的复杂攻击造成更大的经济损失和影响范围扩大。(参考：《信息安全技术安全漏洞分类与描述》)。

总结

随着互联网的普及和发展网络空间正面临着越来越多的安全挑战，尤其是 APT这类新型网络威胁的出现更是让整个社会都感受到了前所未有的压力。因此只有不断加强对 APT这样的新型态网络威胁的研究和管理才能更好地保护国家和人民的利益不受侵害, 同时也为企业和社会的发展提供更加安全可靠的环境！

使用自动化管理工具

多品牌异构防火墙统一管理

多品牌、多型号防火墙统一管理;
确保所有设备按同一标准配置，提升安全性；
集中管理简化部署，减少重复操作；
统一流程减少配置差异和人为疏漏；
快速定位问题，提升响应速度；
集中管理减少人力和时间投入，优化成本。

策略开通自动化

减少手动操作，加速策略部署；
自动选择防火墙避免疏漏或配置错误；
自动适应网络变化或安全需求；
减少过度配置，避免浪费资源；
集中管理，简化故障排查流程。

攻击IP一键封禁

面对安全威胁迅速实施封禁降低风险；
无需复杂步骤，提高运维效率；
自动化完成减少人为失误；
全程留痕，便于事后分析与审查；
确保潜在威胁立即得到应对，避免损失扩大。

命中率分析

识别并清除未被使用的策略，提高匹配速度；
确保策略有效性，调整未经常命中的策略；
精简规则，降低设备的负担和性能需求；
使策略集更为精练，便于维护和更新；
了解网络流量模式，帮助调整策略配置；
确保所有策略都在有效执行，满足合规要求。

策略优化

通过精细化策略，降低潜在的攻击风险；
减少规则数量使管理和审查更直观；
精简规则，加速策略匹配和处理；
确保策略清晰，避免潜在的策略冲突；
通过消除冗余，降低配置失误风险；
清晰的策略集更易于监控、审查与维护；
优化策略减轻设备负荷，延长硬件寿命；
细化策略降低误封合法流量的可能性。

策略收敛

消除冗余和宽泛策略，降低潜在风险；
集中并优化规则，使维护和更新更为直观；
简化策略结构，降低配置失误概率。
更具体的策略更加精确，便于分析；
满足审计要求和行业合规标准。

策略合规检查

确保策略与行业安全标准和最佳实践相符；
满足法规要求，降低法律纠纷和罚款风险；
为客户和合作伙伴展现良好的安全管理；
标准化的策略使维护和更新更为简单高效；
检测并修正潜在的策略配置问题；
通过定期合规检查，不断优化并完善安全策略。

自动安装方法

本安装说明仅适用于CentOS 7.9版本全新安装，其他操作系统请查看公众号内的对应版本安装说明。

在线安装策略中心系统

“
要安装的服务器或虚拟机能够连接互联网的情况下可以通过以下命令自动安装，服务器或虚拟机不能连接互联网的请见下方的离线安装说明。
”

在服务器或虚拟机中，执行以下命令即可完成自动安装。

curl -O https://d.tuhuan.cn/install.sh && sh install.sh

注意：必须为没装过其它应用的centos 7.9操作系统安装。

安装完成后，系统会自动重新启动；
系统重启完成后，等待5分钟左右即可通过浏览器访问；
访问方法为： https://IP

离线安装策略中心系统

“
要安装的服务器或虚拟机无法连接互联网的情况可以进行离线安装，离线安装请通过以下链接下载离线安装包。
”

https://d.tuhuan.cn/pqm_centos.tar.gz

下载完成后将安装包上传到服务器，并在安装包所在目录执行以下命令：

tar -zxvf pqm_centos.tar.gz && cd pqm_centos && sh install.sh

注意：必须为没装过其它应用的centos 7.9操作系统安装。

安装完成后，系统会自动重新启动；
系统重启完成后，等待5分钟左右即可通过浏览器访问；
访问方法为： https://IP

激活方法

策略中心系统安装完成后，访问系统会提示需要激活，如下图所示：

激活策略中心访问以下地址：

https://pqm.yunche.io/community

审核通过后激活文件将发送到您填写的邮箱。

获取到激活文件后，将激活文件上传到系统并点击激活按钮即可。

激活成功

激活成功后，系统会自动跳转到登录界面，使用默认账号密码登录系统即可开始使用。

“
默认账号：fwadmin 默认密码：fwadmin1
”