ATW攻擊頻發(fā) 看網(wǎng)御星云如何應(yīng)對(duì)APT威脅_2023網(wǎng)絡(luò)安全公司排名

自2021年10月起，BlueHornet(藍(lán)蜂)組織，也叫 Against The West(反對(duì)西方)、APT49，對(duì)我國(guó)進(jìn)行針對(duì)性攻擊，竊取國(guó)內(nèi)數(shù)據(jù)，在境外黑客論壇RaidForums進(jìn)行售賣，攻擊范圍涉及金融、醫(yī)療、政府、軍隊(duì)和高校多個(gè)行業(yè)。ATW組織雖名為反對(duì)西方，實(shí)際卻針對(duì)與西方有利益沖突的國(guó)家進(jìn)行攻擊，帶有典型的民族主義色彩。

從攻擊手法上看，該組織采用了供應(yīng)鏈攻擊方式，主要針對(duì)為我國(guó)重點(diǎn)單位提供軟件服務(wù)的中小型企業(yè)，竊取的數(shù)據(jù)多為開發(fā)過(guò)程中的測(cè)試數(shù)據(jù)。攻擊目標(biāo)為SonarQube、Gogs、Gitblit等開源網(wǎng)絡(luò)系統(tǒng)存在的技術(shù)漏洞，先進(jìn)行大規(guī)模網(wǎng)絡(luò)掃描探測(cè)，發(fā)現(xiàn)漏洞后進(jìn)行攻擊拖庫(kù)，以達(dá)到竊取數(shù)據(jù)的目的。

從攻擊意圖上看，ATW黑客組織為凸顯被攻擊目標(biāo)的重要性，在宣傳上夸大其詞以博取公眾眼球，使其看起來(lái)攻擊能力更強(qiáng)。

從其組成來(lái)看，ATW組織由歐洲、北美地區(qū)從事程序員、網(wǎng)絡(luò)工程師的人員組成，有穩(wěn)定的收入來(lái)源支撐其攻擊基礎(chǔ)設(shè)施，具有長(zhǎng)期威脅性。

從其攻擊目標(biāo)和宣傳理念來(lái)看，ATW組織極具民族主義色彩，為博取多方眼球，不排除該組織后續(xù)將獲得多方技術(shù)資金支持，成長(zhǎng)為危害更大的APT組織。

關(guān)鍵詞：網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案

APT高級(jí)威脅監(jiān)測(cè)薄弱點(diǎn)

從ATW組織的攻擊事件可以見微知著，安全防護(hù)體系中的供應(yīng)鏈防護(hù)是木桶效應(yīng)的其中一塊短板。國(guó)內(nèi)企事業(yè)單位缺乏對(duì)上游供應(yīng)鏈的安全管理，對(duì)供應(yīng)商訪問(wèn)控制策略不夠細(xì)化;對(duì)供應(yīng)商缺乏網(wǎng)絡(luò)安全層面的要求，如要求供應(yīng)商必須過(guò)等保要求，要求供應(yīng)商具備APT高級(jí)威脅監(jiān)測(cè)防御手段等。企事業(yè)單位的供應(yīng)商資產(chǎn)暴露面過(guò)大，測(cè)試系統(tǒng)等資產(chǎn)隨意暴露在公網(wǎng)，缺乏對(duì)資產(chǎn)監(jiān)測(cè)的有效梳理，沒有資產(chǎn)臺(tái)賬，缺乏對(duì)資產(chǎn)開放高危端口等行為進(jìn)行有效監(jiān)測(cè)。

目前國(guó)內(nèi)企事業(yè)單位的供應(yīng)商對(duì)APT組織攻擊、攻防演練等高級(jí)威脅攻擊缺乏有效的監(jiān)測(cè)手段�，F(xiàn)狀是：誰(shuí)攻擊了我不知道，攻擊有沒有成功不知道，攻擊進(jìn)來(lái)拿走了什么數(shù)據(jù)不知道。缺乏有效的高級(jí)威脅發(fā)現(xiàn)和溯源手段。

關(guān)鍵詞：網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案

網(wǎng)御星云解決方案

1. 基于已知威脅告警

APT組織雖攻擊手法多變，但也有跡可循，只要有攻擊，就會(huì)留痕。此次ATW利用的是開源系統(tǒng)的WEB漏洞和弱口令登錄，拿下主機(jī)權(quán)限后，進(jìn)行拖庫(kù)。網(wǎng)御威脅分析一體機(jī)(簡(jiǎn)稱TAR)采用雙向檢測(cè)引擎，內(nèi)置SQL注入檢測(cè)機(jī)器學(xué)習(xí)算法，可對(duì)WEB攻擊行為進(jìn)行有效監(jiān)測(cè)，同時(shí)具備多場(chǎng)景分析能力，包括挖礦、弱口令、口令爆破、內(nèi)網(wǎng)橫向移動(dòng)監(jiān)測(cè)、WEB攻擊和可疑行為等多種分析場(chǎng)景。

在溯源取證方面，采用全流量檢測(cè)，應(yīng)用DPDK底層數(shù)據(jù)采集方式，最大限度地提升了數(shù)據(jù)采集和數(shù)據(jù)處理性能，在海量告警中將威脅數(shù)據(jù)包完整保存，用于取證溯源和分析。

2.基于未知威脅檢測(cè)

據(jù)分析，ATW組織后續(xù)可能升級(jí)攻擊手段，初步具備APT組織的攻擊能力，如采用釣魚郵件攻擊、水坑攻擊等方式。網(wǎng)御威脅分析一體機(jī)默認(rèn)內(nèi)置沙箱，依靠自主研發(fā)沙箱，可實(shí)現(xiàn)對(duì)未知APT告警威脅的檢測(cè)，可對(duì)APT特種木馬進(jìn)行有效監(jiān)測(cè)告警。

APT攻擊通過(guò)高度免殺的郵件附件，結(jié)合被攻擊單位背景，偽裝郵件內(nèi)容，達(dá)到定向攻擊的目的。針對(duì)釣魚郵件攻擊方式，網(wǎng)御威脅分析一體機(jī)內(nèi)置釣魚郵件檢測(cè)算法，可直接以中文標(biāo)簽形式標(biāo)記郵件屬性，讓釣魚郵件無(wú)所遁形，內(nèi)置沙箱可對(duì)郵件附件進(jìn)行檢測(cè)。

ATW組織使用的攻擊基礎(chǔ)設(shè)施包括跳板機(jī)和代理服務(wù)器，主要分布在英國(guó)、瑞典等西方國(guó)家，相關(guān)IOC已加入網(wǎng)御威脅分析一體機(jī)內(nèi)置威脅情報(bào)庫(kù)，可基于情報(bào)層面進(jìn)行實(shí)時(shí)碰撞。同時(shí)具備威脅狩獵能力，可基于自定義情報(bào)，對(duì)歷史告警進(jìn)行情報(bào)狩獵。

關(guān)鍵詞：網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案

網(wǎng)御威脅分析一體機(jī)內(nèi)置威脅情報(bào)庫(kù)，可對(duì)APT組織歷史使用過(guò)的IP、域名、URL等進(jìn)行碰撞告警。

APT組織常采用DGA域名方式回連C2，網(wǎng)御威脅分析一體機(jī)內(nèi)置機(jī)器學(xué)習(xí)算法，對(duì)DGA域名進(jìn)行算法檢測(cè)，通過(guò)判斷熵增、有無(wú)意義、情報(bào)碰撞等方式對(duì)DGA域名可疑度進(jìn)行綜合判定，實(shí)現(xiàn)對(duì)DGA域名的威脅檢測(cè)。

綜上，由于APT高級(jí)威脅攻擊詭譎多變，隱蔽性極強(qiáng)，單一的檢測(cè)方式存在檢測(cè)盲區(qū)，無(wú)法對(duì)APT高級(jí)威脅進(jìn)行有效檢測(cè)。網(wǎng)御威脅分析一體機(jī)采用多維檢測(cè)方式，已知與未知威脅檢測(cè)相結(jié)合，機(jī)器學(xué)習(xí)與威脅情報(bào)交叉運(yùn)用，可有效檢測(cè)ATW組織攻擊、APT高級(jí)威脅攻擊，助力企事業(yè)單位上游供應(yīng)鏈的安全管理。

關(guān)鍵詞：網(wǎng)御星云、網(wǎng)絡(luò)安全、數(shù)據(jù)安全、2023網(wǎng)絡(luò)安全公司排名、十大網(wǎng)絡(luò)安全運(yùn)營(yíng)公司、網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)、企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)、安全運(yùn)營(yíng)整體解決方案、數(shù)據(jù)安全運(yùn)營(yíng)、數(shù)據(jù)安全上市公司、數(shù)據(jù)安全廠商、數(shù)據(jù)安全治理、數(shù)據(jù)安全解決方案