自2021年10月起,BlueHornet(藍(lán)蜂)組織,也叫 Against The West(反對(duì)西方)、APT49,對(duì)我國(guó)進(jìn)行針對(duì)性攻擊,竊取國(guó)內(nèi)數(shù)據(jù),在境外黑客論壇RaidForums進(jìn)行售賣,攻擊范圍涉及金融、醫(yī)療、政府、軍隊(duì)和高校多個(gè)行業(yè)。ATW組織雖名為反對(duì)西方,實(shí)際卻針對(duì)與西方有利益沖突的國(guó)家進(jìn)行攻擊,帶有典型的民族主義色彩。
從攻擊手法上看,該組織采用了供應(yīng)鏈攻擊方式,主要針對(duì)為我國(guó)重點(diǎn)單位提供軟件服務(wù)的中小型企業(yè),竊取的數(shù)據(jù)多為開發(fā)過(guò)程中的測(cè)試數(shù)據(jù)。攻擊目標(biāo)為SonarQube、Gogs、Gitblit等開源網(wǎng)絡(luò)系統(tǒng)存在的技術(shù)漏洞,先進(jìn)行大規(guī)模網(wǎng)絡(luò)掃描探測(cè),發(fā)現(xiàn)漏洞后進(jìn)行攻擊拖庫(kù),以達(dá)到竊取數(shù)據(jù)的目的。
從攻擊意圖上看,ATW黑客組織為凸顯被攻擊目標(biāo)的重要性,在宣傳上夸大其詞以博取公眾眼球,使其看起來(lái)攻擊能力更強(qiáng)。
從其組成來(lái)看,ATW組織由歐洲、北美地區(qū)從事程序員、網(wǎng)絡(luò)工程師的人員組成,有穩(wěn)定的收入來(lái)源支撐其攻擊基礎(chǔ)設(shè)施,具有長(zhǎng)期威脅性。
從其攻擊目標(biāo)和宣傳理念來(lái)看,ATW組織極具民族主義色彩,為博取多方眼球,不排除該組織后續(xù)將獲得多方技術(shù)資金支持,成長(zhǎng)為危害更大的APT組織。
關(guān)鍵詞:網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案
APT高級(jí)威脅監(jiān)測(cè)薄弱點(diǎn)
從ATW組織的攻擊事件可以見微知著,安全防護(hù)體系中的供應(yīng)鏈防護(hù)是木桶效應(yīng)的其中一塊短板。國(guó)內(nèi)企事業(yè)單位缺乏對(duì)上游供應(yīng)鏈的安全管理,對(duì)供應(yīng)商訪問控制策略不夠細(xì)化;對(duì)供應(yīng)商缺乏網(wǎng)絡(luò)安全層面的要求,如要求供應(yīng)商必須過(guò)等保要求,要求供應(yīng)商具備APT高級(jí)威脅監(jiān)測(cè)防御手段等。企事業(yè)單位的供應(yīng)商資產(chǎn)暴露面過(guò)大,測(cè)試系統(tǒng)等資產(chǎn)隨意暴露在公網(wǎng),缺乏對(duì)資產(chǎn)監(jiān)測(cè)的有效梳理,沒有資產(chǎn)臺(tái)賬,缺乏對(duì)資產(chǎn)開放高危端口等行為進(jìn)行有效監(jiān)測(cè)。
目前國(guó)內(nèi)企事業(yè)單位的供應(yīng)商對(duì)APT組織攻擊、攻防演練等高級(jí)威脅攻擊缺乏有效的監(jiān)測(cè)手段。現(xiàn)狀是:誰(shuí)攻擊了我不知道,攻擊有沒有成功不知道,攻擊進(jìn)來(lái)拿走了什么數(shù)據(jù)不知道。缺乏有效的高級(jí)威脅發(fā)現(xiàn)和溯源手段。
關(guān)鍵詞:網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案
網(wǎng)御星云解決方案
1. 基于已知威脅告警
APT組織雖攻擊手法多變,但也有跡可循,只要有攻擊,就會(huì)留痕。此次ATW利用的是開源系統(tǒng)的WEB漏洞和弱口令登錄,拿下主機(jī)權(quán)限后,進(jìn)行拖庫(kù)。網(wǎng)御威脅分析一體機(jī)(簡(jiǎn)稱TAR)采用雙向檢測(cè)引擎,內(nèi)置SQL注入檢測(cè)機(jī)器學(xué)習(xí)算法,可對(duì)WEB攻擊行為進(jìn)行有效監(jiān)測(cè),同時(shí)具備多場(chǎng)景分析能力,包括挖礦、弱口令、口令爆破、內(nèi)網(wǎng)橫向移動(dòng)監(jiān)測(cè)、WEB攻擊和可疑行為等多種分析場(chǎng)景。
在溯源取證方面,采用全流量檢測(cè),應(yīng)用DPDK底層數(shù)據(jù)采集方式,最大限度地提升了數(shù)據(jù)采集和數(shù)據(jù)處理性能,在海量告警中將威脅數(shù)據(jù)包完整保存,用于取證溯源和分析。
2.基于未知威脅檢測(cè)
據(jù)分析,ATW組織后續(xù)可能升級(jí)攻擊手段,初步具備APT組織的攻擊能力,如采用釣魚郵件攻擊、水坑攻擊等方式。網(wǎng)御威脅分析一體機(jī)默認(rèn)內(nèi)置沙箱,依靠自主研發(fā)沙箱,可實(shí)現(xiàn)對(duì)未知APT告警威脅的檢測(cè),可對(duì)APT特種木馬進(jìn)行有效監(jiān)測(cè)告警。
APT攻擊通過(guò)高度免殺的郵件附件,結(jié)合被攻擊單位背景,偽裝郵件內(nèi)容,達(dá)到定向攻擊的目的。針對(duì)釣魚郵件攻擊方式,網(wǎng)御威脅分析一體機(jī)內(nèi)置釣魚郵件檢測(cè)算法,可直接以中文標(biāo)簽形式標(biāo)記郵件屬性,讓釣魚郵件無(wú)所遁形,內(nèi)置沙箱可對(duì)郵件附件進(jìn)行檢測(cè)。
ATW組織使用的攻擊基礎(chǔ)設(shè)施包括跳板機(jī)和代理服務(wù)器,主要分布在英國(guó)、瑞典等西方國(guó)家,相關(guān)IOC已加入網(wǎng)御威脅分析一體機(jī)內(nèi)置威脅情報(bào)庫(kù),可基于情報(bào)層面進(jìn)行實(shí)時(shí)碰撞。同時(shí)具備威脅狩獵能力,可基于自定義情報(bào),對(duì)歷史告警進(jìn)行情報(bào)狩獵。
關(guān)鍵詞:網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案
網(wǎng)御威脅分析一體機(jī)內(nèi)置威脅情報(bào)庫(kù),可對(duì)APT組織歷史使用過(guò)的IP、域名、URL等進(jìn)行碰撞告警。
APT組織常采用DGA域名方式回連C2,網(wǎng)御威脅分析一體機(jī)內(nèi)置機(jī)器學(xué)習(xí)算法,對(duì)DGA域名進(jìn)行算法檢測(cè),通過(guò)判斷熵增、有無(wú)意義、情報(bào)碰撞等方式對(duì)DGA域名可疑度進(jìn)行綜合判定,實(shí)現(xiàn)對(duì)DGA域名的威脅檢測(cè)。
綜上,由于APT高級(jí)威脅攻擊詭譎多變,隱蔽性極強(qiáng),單一的檢測(cè)方式存在檢測(cè)盲區(qū),無(wú)法對(duì)APT高級(jí)威脅進(jìn)行有效檢測(cè)。網(wǎng)御威脅分析一體機(jī)采用多維檢測(cè)方式,已知與未知威脅檢測(cè)相結(jié)合,機(jī)器學(xué)習(xí)與威脅情報(bào)交叉運(yùn)用,可有效檢測(cè)ATW組織攻擊、APT高級(jí)威脅攻擊,助力企事業(yè)單位上游供應(yīng)鏈的安全管理。
關(guān)鍵詞:網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案