艾锑人分解APT攻击，浅析四大检测防御方案

2020-02-25 16:47 作者：艾锑无限 浏览量：

疫情即将结束，如何提升企业工作效率
 

艾锑无限免费为企业提供IT服务

 
这几天如果大家关注疫情数据的变化，可以看到新增确诊病例在持续下降，这意味着疫情很快就会结束，大家再也不用在家办公了，到不是在家工作有什么不好，但人类发明工作不简简单单只是为了实现结果的达成，还有一个非常重要的因素就是人与人之间的联结，这是人类内在价值的需求，透过 工作与人接触，共同感受彼此的能量流动，从而达到自我价值的实现，这就像演员都渴望登上奥斯卡的舞台，来实现自我角色的认可一样。



 

在家办公，毕竟是家，松、散、懒以及无所谓的态度会随时产生，我相信不是每个人都会这样，但大部分人会如此，因为家本来就是放松的能量场，接下来大家即将回到公司，回到自己的工作岗位，难免会把在家的状态带入工作中，如果每个人都是这样的状态，企业很快会陷入新的窘境，所以没有 状态，也不会有好的结果，状态就是一切。
 
团队的势气决定企业整体的战斗力，那如何调整陆陆续续回来的团队成员呢？






 
 
艾锑无限对中小企业有三条建议：
 
第一，重新梳理整个企业的战略，疫情的发生，是否给你企业带来了变化？如果有那是什么？是否需要调整自己原有的战略方向来应对疫情发生后的影响？
 
第二，重新明确每个人的目标和目的，目标就是重回企业的人要干什么？干到什么程度？什么时间可以看到这个结果的发生？目的就是为什么要实现这个目标？这个目标与自己的意义是什么？与企业的意义又是什么？达成了会怎么样？达不成又会怎么样？
 
只有清晰这些问题，才会让回到工作岗位的人快速改变自己的状态投入到接下来的工作中，只有积极的状态投入工作才会有积极的成果发生，反之依然。
 
第三，企业高管与员工建立一对一的对话机制，因疫情的影响，每个人心理或多或少都会产生一些内在的变化，作为企业的高层管理人员，最好与企业内部员工一对一的进行沟通，去了解在这个过程中员工受到的影响和产生的变化，以便接下来更好的调整他们的状态，因为如果他们的心没有回来，
企业的要求和制度带来的也都是大家没有能量的重复和机械的工作，最终也很难带来好的结果。
 
以上三点是企业管理者需要重视的，当然身为企业的一员无论是谁也都需要重新审视自己的状态，因为这关系着企业接下来的生、死、存、亡，能量是企业持续发展的源泉，以上所有的目的都是为了聚合企业人的能量，重新点燃大家面对工作的激情和信心，这将是企业至胜的法定。
 
当然这只是我们一家之言，每家企业可根据自身的情况做出相应的调整和改变。
 
以上三点做为每一家企业的管理者都有必要重视起来，因为这关系着企业接下来的生、死、存、亡，当然这只是我们一家之言，可根据自身的情况做出相应的调整和改变。
 
那为什么我们会有这样的思考，因为艾锑无限是一家企业互联网”云”解决方案服务平台，企业在初创时经历了2003年的非典，后来又经历了2008年的经济危机以及2016年互联网创业大潮，生生死死，几经沉浮，最终发现上述三点是生死线中最重要的，所以愿意分享给大家，期望这次疫情大家不仅

能渡过难关，更能看见大家在这个过程中强而有力的领导力，让自己企业力挽狂澜，让自己的工作更上一层楼，让自己的生活在2020年更精彩。
 
在这次疫情后各个企业恢复的过程中，艾锑无限还能为大家做的就是免费为中小企业提供相应的IT服务，以下是艾锑无限可以提供服务的内容，如果大家有相应的需求，可以打下面的电话与我们的企业相关人员联系，我们一定会尽全力帮助大家渡过难关。

   

历经10几年,艾锑无限服务了5000多家中小企业并保障了几十万台设备的正常运转，积累了丰富的企业IT紧急问题和特殊故障的解决方案，我们为您的企业提供的IT服务分为三大版块:
 
第一版块是保障性IT外包服务:如电脑设备运维，办公设备运维，网络设备运维，服务器运维等综合性企业IT设备运维服务。
 
第二版块是功能性互联网外包服务:如网站开发外包，小程序开发外包，APP开发外包，电商平台开发外包，业务系统的开发外包和后期的运维外包服务。
 
第三版块是增值性云服务外包:如企业邮箱上云，企业网站上云，企业存储上云，企业APP小程序上云，企业业务系统上云，阿里云产品等后续的云运维外包服务。
   

更多服务也可以登录艾锑无限的官网: www.bjitwx.com 查看详细说明。

每家企业都有着不同的人，每个人都有着不一样的思考，所以企业不需要统一所有人的思维，企业只需要统一所有人的心，因为只要心在一起了，能量就会合一，能量合一企业将无所不能。
 
相信这次疫情带给中国企业的不仅仅是灾难，更有可能的是历练，这几年经济发展如此快速，大部分中小企业的成长都是随着国家政策及整个社会的大势起来的，没有经过太多的挑战和困难，所以存活周期也会很短，从2016年大众创业，万众创新倡导下成立了上千万家企业，但真正存活下来的就只有几万家，这样的结果即不能给国家带来稳定持续发展的动力，也不能为社会创造更大的价值，反而让更多的人投机取巧，心浮气躁，沉不下来真正把一件事做好，做到极致。
 
所以这次疫情也会让大部分企业重新思考，问问自己，为什么要创立这家企业，想为这个国家和社会带来的是什么？企业真正在创造的是什么？如何做才能让社会因自己的企业变得更好？.....
 
当企业真正去思考，用心去创造价值的时候，也就是人们幸福快乐的时候，因为再也不用担心假货、次货、买到不好的产品，更不用担心环境被污染，大气被破坏，疫情即是一场灾难，又是重新成就中国企业的一次机会，让全世界人觉醒，生命只有一次，我们要如何做才能不枉此生呢？
 
   

你对世界微笑，世界绝不会对你哭，希望大家都能积极乐观起来，让自己、自己的家人、自己的企业、还有自己的国家都快乐起来，把焦点、意识、能量放在我们想要什么上，而不是不要的事情上，我相信，就在不久的将来，我们一定会看到一个富强、文明、健康的中国以及一个和谐友爱的世界。

万物同体，能量合一，最后无论你是中小企业，还是大型国有企业，只要你选择艾锑无限，我们就一定全力以赴帮助大家渡过难关，服务有限，信息无限，透过全体艾锑人的努力，为您收集最有效的IT技术信息，让您企业更快速解决遇到的IT问题：

艾锑人分解APT攻击，浅析四大检测防御方案

APT攻击是近几年来出现的一种高级攻击，具有难检测、持续时间长和攻击目标明确等特征。传统基于攻击特征的入侵检测和防御方法在检测和防御APT方面效果很不理想，因此，各安全厂商都在研究新的方法并提出了多种多样的解决方案。在今年RSA峰会云集了众多安全厂商，出现了许多APT安全解决方案，这里我们进行整理和大家分享。
 
　　APT攻击过程分解
　　整个APT攻击过程包括定向情报收集、单点攻击突破、控制通道构建、内部横向渗透和数据收集上传等步骤：



APT攻击过程分解

　　1、定向情报收集

　　定向情报收集，即攻击者有针对性的搜集特定组织的网络系统和员工信息。信息搜集方法很多，包括网络隐蔽扫描和社会工程学方法等。从目前所发现的APT攻击手法来看，大多数APT攻击都是从组织员工入手，因此，攻击者非常注意搜集组织员工的信息，包括员工的微博、博客等，以便了解他们的社会关系及其爱好，然后通过社会工程方法来攻击该员工电脑，从而进入组织网络。

　　2、单点攻击突破

　　单点攻击突破，即攻击者收集了足够的信息后，采用恶意代码攻击组织员工的个人电脑，攻击方法包括：

　　1）社会工程学方法，如通过email给员工发送包含恶意代码的文件附件，当员工打开附件时，员工电脑就感染了恶意代码；

　　2）远程漏洞攻击方法，比如在员工经常访问的网站上放置网页木马，当员工访问该网站时，就遭受到网页代码的攻击，RSA公司去年发现的水坑攻击（Watering hole）就是采用这种攻击方法。

　　这些恶意代码往往攻击的是系统未知漏洞，现有杀毒和个人防火墙安全工具无法察觉，最终结果是，员工个人电脑感染恶意代码，从而被攻击者完全控制。

　　3、控制通道构建

　　控制通道构建，即攻击者控制了员工个人电脑后，需要构建某种渠道和攻击者取得联系，以获得进一步攻击指令。攻击者会创建从被控个人电脑到攻击者控制服务器之间的命令控制通道，这个命令控制通道目前多采用HTTP协议构建，以便突破组织的防火墙，比较高级的命令控制通道则采用HTTPS协议构建。

　　4、内部横向渗透

　　内部横向渗透，一般来说，攻击者首先突破的员工个人电脑并不是攻击者感兴趣的，它感兴趣的是组织内部其它包含重要资产的服务器，因此，攻击者将以员工个人电脑为跳板，在系统内部进行横向渗透，以攻陷更多的PC和服务器。攻击者采取的横向渗透方法包括口令窃听和漏洞攻击等。

　　5、数据收集上传
　　数据收集上传，即攻击者在内部横向渗透和长期潜伏过程中，有意识地搜集各服务器上的重要数据资产，进行压缩、加密和打包，然后通过某个隐蔽的数据通道将数据传回给攻击者。
 
　　APT检测和防御方案分类
　　纵观整个APT攻击过程发现，有几个步骤是APT攻击实施的关键，包括攻击者通过恶意代码对员工个人电脑进行单点攻击突破、攻击者的内部横向渗透、通过构建的控制通道获取攻击者指令，以及最后的敏感数据外传等过程。当前的APT攻击检测和防御方案其实都是围绕这些步骤展开。

　　

       我们把本届RSA大会上收集到的APT检测和防御方案进行了整理，根据它们所覆盖的APT攻击阶段不同，将它们分为以下四类：

　　1、恶意代码检测类方案：

　　该类方案主要覆盖APT攻击过程中的单点攻击突破阶段，它是检测APT攻击过程中的恶意代码传播过程。大多数APT攻击都是通过恶意代码来攻击员工个人电脑，从而来突破目标网络和系统防御措施的，因此，恶意代码检测对于检测和防御APT攻击至关重要。

　　2、主机应用保护类方案：

　　该类方案主要覆盖APT攻击过程中的单点攻击突破和数据收集上传阶段。不管攻击者通过何种渠道向员工个人电脑发送恶意代码，这个恶意代码必须在员工个人电脑上执行才能控制整个电脑。因此，如果能够加强系统内各主机节点的安全措施，确保员工个人电脑以及服务器的安全，则可以有效防御APT攻击。

　　3、网络入侵检测类方案：

　　该类方案主要覆盖APT攻击过程中的控制通道构建阶段，通过在网络边界处部署入侵检测系统来检测APT攻击的命令和控制通道。安全分析人员发现，虽然APT攻击所使用的恶意代码变种多且升级频繁，但恶意代码所构建的命令控制通道通信模式并不经常变化，因此，可以采用传统入侵检测方法来检测APT的命令控制通道。该类方案成功的关键是如何及时获取到各APT攻击手法的命令控制通道的检测特征。

　　4、大数据分析检测类方案：

　　该类方案并不重点检测APT攻击中的某个步骤，它覆盖了整个APT攻击过程。该类方案是一种网络取证思路，它全面采集各网络设备的原始流量以及各终端和服务器上的日志，然后进行集中的海量数据存储和深入分析，它可在发现APT攻击的一点蛛丝马迹后，通过全面分析这些海量数据来还原整个APT攻击场景。大数据分析检测方案因为涉及海量数据处理，因此需要构建大数据存储和分析平台，比较典型的大数据分析平台有Hadoop