终端安全检测和防御技术

最新推荐文章于 2024-07-29 14:40:45 发布

嚴帅

最新推荐文章于 2024-07-29 14:40:45 发布

阅读量3.5k

点赞数 3

分类专栏：深信服学习

本文链接：https://blog.csdn.net/weixin_43997530/article/details/107119243

版权

本文介绍了企业终端面临的安全风险，包括黑客利用僵尸网络和勒索病毒进行攻击。终端可视可控技术和网关杀毒技术成为防御关键，其中AF网关杀毒优势明显，支持多种协议和文件类型检测。此外，僵尸网络防护通过异常流量检测和误判排除机制提升安全性。对于勒索病毒，强调事前加固、事中防御和事后快速响应的综合防护策略。

摘要由CSDN通过智能技术生成

1.终端安全风险

对于一个企业来说，90% 以上的员工需要每天使用PC终端办公，而终端是和互联网“数据交换”的重要节点，且员工的水平参差不齐，因此企业网络中80% 的安全事件来自于终端。终端已经成为黑客的战略攻击点。

黑客攻击的目的是获取有价值的“数据”。他们控制终端以后，可以直接种植勒索病毒勒索客户，更严重的是，黑客的目标往往是那些存储着重要“数据”的服务器。受控的终端将成为黑客的跳板，黑客将通过失陷主机横向扫描内部网络，发现组织网络内部重要的服务器，然后对这些重要服务器发起内部攻击。

互联网出口实现了组织内部网络与互联网的逻辑隔离。对于内部网络接入用户来说，僵尸网络是最为严重的安全问题，黑客利用病毒木马蠕虫等等多种入侵手段控制终端，形成僵尸网络，进一步实现终端存储的信息被窃取、终端被引导访问钓鱼网站、终端被利用作为攻击跳板危害其他的各类资源等问题。

黑客可以利用僵尸网络展开更多的危害行为，如APT攻击最常采用的跳板就是僵尸网络。黑客利用僵尸网络来实现渗透、监视、窃取敏感数据等目的，危害非常大。僵尸网络的主要危害有：

1.看不见的风险

互联网应用复杂，各种病毒变种和恶意代码往往隐藏在大量的互联网应用流量当中。传统的边界防御基于静态特征检测技术，不仅存在特征库不全，更新不及时的问题，而且对于应用层的内容，缺乏有效识别技术。因此，传统的防御导致客户看不到网络中应用和应用内容，无法分别内容的好坏；也无法感知威胁，不知道PC是否中毒；即使发现中毒后，也不知道感染的影响面。整个网络对于管理员来说是不可视的，看不见风险，感知不到威胁和威胁影响面。

2.高级持续威胁

我们知道APT攻击往往攻击目标明确、时间周期比较长、采用的攻击方法比较多、而且隐蔽性很好。而研究发现，黑客进行APT攻击最常采用的跳板就是僵尸网络，大量的僵尸机给了发动APT攻击的黑客很多选择，并且为了达到继续渗透、监视、敏感数据窃取等目的，黑客会让这些僵尸机很好的潜藏起来，减少暴漏的可能。

3.本地渗透扩散

由于病毒、木马植入被害主机后，会主动通过控制节点和攻击者取得联系，执行攻击者的命令，攻击者可利用此功能向被控主机传送新病毒、木马程序或者其它的恶意软件，从而实现在感染网络内部渗透扩散。单位内部新目标主机或者服务器将成为渗透感染的目标，从而控制更多的主机或者服务器，掌握组织单位网络内部更多的资源和信息。

4.敏感信息窃取

僵尸网络相当于黑客在僵尸主机上安装了间谍程序，因此它能监视和记录被害主机的各种活动行为，也能窃取用户的敏感信息，如用户的账号密码、身份信息、银行卡信息、研发代码等，给用户造成直接或间接的经济损失。

5.脆弱信息收集

攻击者通过植入的僵尸程序或扫描程序进行内部业务系统的漏洞等信息收集。各种僵尸程序偷偷的探测、收集网络内部的各种脆弱性信息，如账户口令、弱密码、开放端口、不安全配置、系统漏洞、应用程序漏洞等，并且把收集到的脆弱性信息悄悄的传递给控制者，黑客可以利用这些弱点实现更多入侵和信息窃取等目的。