本站使用 cookies,继续浏览表示您同意我们使用 cookies。
5月31日,由freebuf 主办的「2018威胁情报&apt攻击技术与趋势高峰论坛」在上海召开。在本次高峰论坛上,深信服资深安全专家庞思铭分享了近期安全领域的攻击热点,以及新的攻击形势下的安全实践,为安全从业者提供攻防指南。
攻击热点指南针:知己知彼,方能百战不怠
孙子曾说:知己知彼方能百战不殆。在攻防世界里,防御者在明,敌手在暗,面对复杂不确定的攻击者,如果对其意图和布阵策略都一无所知,防御自然是无从谈起。为此,在本次高峰论坛,深信服资深安全专家庞思铭基于近期热点事件的分析汇总,分享攻击热点指南,帮助用户明晰攻击形势。
可分为服务器恶意挖矿、客户端挖矿以及盗币三种主要场景。进入2018年以来,针对区块链相关的攻击,勒索有所减少,挖矿逐渐增多。挖矿攻击容易造成用户服务器和pc异常卡顿,消耗主机大量cpu资源。与此同时,挖矿病毒往往具有蠕虫特征,可在内网利用漏洞进行传播,扩大影响。
此类僵尸网络面向数量规模巨大的路由器、dvr设备、摄像头等iot设备进行感染,支持多种协议的ddos攻击,通信的c&c服务器逐渐使用dga算法变更域名。目前,iot设备供应商数量众多,且往往对安全疏于监管,安全隐患极大。
供应链攻击通常利用用户对供应商的固有信任,将官方软件沦为感染源(比如利用安全软件当后门),是apt组织常用手段。已经有黑产利用供应链污染等手段开展攻击。不少国家政府表示对供应链的完整性和脆弱性越来越担忧。
ai将会给人类带来巨大的变革,但与此同时,ai系统存在很大的安全风险,通过深度学习框架的漏洞、机器学习对抗样本、训练数据污染等都可能让智能设备变为僵尸网络。比如通过一种畸形样本输入的针对ai的攻击手段,熊猫被误识别为长臂猿。不仅如此,黑客也能够利用ai进行自动攻击并逃避检测。
此外,恶意软件,各类钓鱼攻击、勒索攻击等多种攻击场景也是攻击的热点。庞思铭表示:对于大部分黑客,经济利益是最终目的。网络安全从业者未来将会面临更多的安全挑战:
新攻击形势下的安全实践
从攻击的发展趋势看,来源于内网的攻击逐渐增多。面对内网服务器被感染、传播挖矿病毒、勒索恶意软件、以及来自供应链的潜在攻击威胁,组织单位往往无能为力,其主要原因是缺乏对这些威胁的感知能力。
因此,组织单位需要构建一个以可视为基础,增强检测响应能力的安全体系。庞思铭在分享中指出:构建对威胁的检测、响应能力最为关键。要构建这些能力,需要从“数据来源”、“检测分析”、“可视化”、与“处置响应”四个方面来构建:数据来源必须广泛有效,利用威胁情报、云端沙箱等外部数据来提供最新情报,结合自有设备在用户网络内部进行主动的全流量检测,提取有效数据。检测分析上,通过机器学习等智能检测分析技术来构建准确的检测模型,提升检测能力。通过微观、宏观两方面的可视化呈现,让安全看得见,让运维更简单。在处置响应上,通过安全联动 自动化服务实现更及时高效的响应。
此外,庞思铭还介绍了另外一种安全建设思路:业务安全托管。深信服通过saas 人工的方式为用户的业务提供由持续评估、持续加固、主动响应构建的闭环安全托管体系,保障业务安全稳定运行,并以全程可视的方式让用户随时随地掌握安全状况。用户零部署零维护,安全交付更加简单。