Apt攻击哪些设备
Apt攻击以下这些设备:
中继器:是一种网络物理层上的连接设备;中继器(RP repeater)是工作在物理层上的连接设备。适用于完全相同的两个网络的互连,主要功能是通过对数据信号的重新发送或者转发,来扩大网络传输的距离。 中继器是对信号进行再生和还原的网络设备:OSI模型的物理层设备。
网卡:使计算机或者服务器连接网络的设备;网卡是一块被设计用来允许计算机在计算机网络上进行通讯的计算机硬件。由于其拥有MAC地址,因此属于OSI模型的第1层和2层之间。它使得用户可以通过电缆或无线相互连接。
网桥:工作在数据链路层连接两个网络的设备;网桥(Bridge)是早期的两端口二层网络设备。网桥的两个端口分别有一条独立的交换信道,不是共享一条背板总线,可隔离冲突域。网桥比集线器(Hub)性能更好,集线器上各端口都是共享同一条背板总线的。后来,网桥被具有更多端口、同时也可隔离冲突域的交换机(Switch)所取代。
路由器 :工作在网络层连接网络与网络的设备。路由(routing)是指分组从源到目的地时,决定端到端路径的网络范围的进程。路由工作在OSI参考模型第三层——网络层的数据包转发设备。路由器通过转发数据包来实现网络互连。
网关:在网络层以上实现网络互连,是最复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关(Gateway)又称网间连接器、协议转换器。网关在网络层以上实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。网关既可以用于广域网互连,也可以用于局域网互连。 网关是一种充当转换重任的计算机系统或设备。使用在不同的通信协议、数据格式或语言,甚至体系结构完全不同的两种系统之间,网关是一个翻译器。与网桥只是简单地传达信息不同,网关对收到的信息要重新打包,以适应目的系统的需求。同层–应用层。
预防抵抗APT攻击的方法有以下这些:
使用威胁情报:这包括APT操作者的最新信息、从分析恶意软件获取的威胁情报、已知的C2网站、已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行、以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立“绊网”来提醒你网络中的活动。
建立强大的出口规则:除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止SSH、FTP、Telnet或其他端口和协议离开网络。这可以打破恶意软件到C2主机的通信信道,阻止未经授权的数据渗出网络。
收集强大的日志分析:企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
聘请安全分析师:安全分析师的作用是配合威胁情报、日志分析以及提醒对APT的积极防御。这个职位的关键是经验。
对未知文件进行检测:一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。
对终端应用监控:一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。
使用大数据分析方法:基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析APT攻击。