apt攻击出现哪些领域
apt攻击可以出现在所有和互联网相关的领域,一般有但不止有以下这些行业领域:
新闻咨询服务领域:简单来说就是将新闻、咨询等信息放在某些咨询中,供大家来查看;
信息搜索领域:这些一般指的是我们常用的搜索引擎厂商,他们一般是apt攻击的主要对象之一;
信息聚合领域:这一领域不同于信息搜索领域他们会集合网络上常用的信息方便人访问,如果apt针对这类网站攻击会造成更大的危害;
企业信息化服务领域:该领域提供企业的供应链管理、人力资源管理等操作,这种也是apt攻击者的目标;
电子商务领域:电子商务领域目前发展飞速并且涉及资金流动,对apt攻击者诱惑较大;
APT 攻击不能完全防止只能通过以下方法减缓和主动防御:
使用威胁情报:这包括 APT 操作者的最新信息;从分析恶意软件获取的威胁情报;已知的 C2 网站;已知的不良域名、电子邮件地址、恶意电子邮件附件、电子邮件主题行;以及恶意链接和网站。威胁情报在进行商业销售,并由行业网络安全组共享。企业必须确保情报的相关性和及时性。威胁情报被用来建立 “绊网” 来提醒你网络中的活动。
建立强大的出口规则:除网络流量(必须通过代理服务器)外,阻止企业的所有出站流量,阻止所有数据共享和未分类网站。阻止 SSH、FTP、Telnet 或其他端口和协议离开网络。这可以打破恶意软件到 C2 主机的通信信道,阻止未经授权的数据渗出网络。
收集强大的日志分析:企业应该收集和分析对关键网络和主机的详细日志记录以检查异常行为。日志应保留一段时间以便进行调查。还应该建立与威胁情报匹配的警报。
聘请安全分析师:安全分析师的作用是配合威胁情报、日志分析以及提醒对 APT 的积极防御。这个职位的关键是经验。
对未知文件进行检测:一般通过沙箱技术罪恶意程序进行模拟执行,通过对程序的行为分析和评估来判断未知文件是否存在恶意威胁。
对终端应用监控:一般采用文件信誉与嘿白名单技术在终端上检测应用和进程。
使用大数据分析方法:基于大数据分析的方法,通过网路取证,将大数据分析技术和沙箱技术结合全面分析 APT 攻击。