美俄“黑客门”持续发酵堪比大片，“灰熊草原”网络攻击该如何防御？

本帖最后由鴻鴈于 2017-1-10 17:07 编辑

2016年的美国大选

堪比一场经典的电影大片

情节叠峦起伏

先是希拉里与特朗普二人对轰

接着特朗普凭借“黑客门”成功逆袭

再下来奥巴马为希拉里助威指责俄罗斯干扰了大选

特朗普跳出来与俄罗斯一起批评奥巴马

……

不过

今天小编想说的是

别管美俄怎么扯

企业都该了解如何防御

“灰熊草原”类型的网络攻击

↓下面开始说正事儿↓

日前，美国联邦调查局FBI与美国国土安全部DHS联合发布了一份题为《灰熊草原-俄罗斯的恶意网络活动》的联合分析报告，对于俄罗斯涉嫌干预美国大选的更多网络攻击细节进行了分析和公布。

在2016年美国总统大选中，美国民主党国会竞选委员会网站被黑、希拉里邮件门、美国大选投票系统被入侵等一系列的黑客事件，直接影响到了美国大选的结果。

美国17个情报机构2016年10月得出一致结论，指认俄罗斯政府授意并帮助黑客入侵美国网络，意在影响美国总统选举。大选刚尘埃落定，美国开始扬言报复，12月29日，白宫正式就黑客干扰美国大选对俄罗斯发起制裁。

“灰熊草原”都干了些什么？
根据美国情报机构的评估和几家独立安全公司的说法，“灰熊草原”在去年和今年春天渗透进民主党全国委员会的电子邮件服务器之中。“灰熊草原”还入侵了希拉里的竞选团队主席约翰·D·波德斯塔的私人电子邮件账户。
美国政府称今年夏天，与俄罗斯政府有关的中间人将这些电子邮件传递给维基解密和一个名为Guccifer 2.0的匿名WordPress博客。这几个渠道公开了相关电子邮件，导致了持续几个星期对希拉里竞选活动不利的报道。

美国政府在灰熊草原行动报告中指出，俄罗斯民事与军事情报机构对美国政府及其公民进行了高复杂度网络入侵行动。此轮网络活动包括针对政府机构、关键性基础设施、智库组织、高校、政治团体以及企业的窥探活动，同时亦包括从这些组织机构处窃取信息，相关被盗信息随后由第三方加以公开发布。

“灰熊草原”攻击手法分析
《灰熊草原-俄罗斯的恶意网络活动》分析报告重点公布了灰熊草原行动中的两个黑客组织APT28、APT29的攻击手法。同时根据报告显示，APT 29从2015年夏天开始便入侵政党内部系统窃取资料，而另一个组织APT28从2016年春天开始就针对美国政党进行恶意网络活动。

360资深安全专家胡星儒表示， “灰熊草原”在网络攻击中主要使用鱼叉邮件作为其攻击手段(在APT攻击中鱼叉邮件攻击是主要的载荷投递方式)，如360天眼实验室披露的海莲花组织、摩诃草组织都主要使用鱼叉邮件进行攻击。

进一步“灰熊草原”网络攻击中的鱼叉邮件攻击主要是以发送恶意链接来诱导被攻击目标访问钓鱼网站，继而导致用户信息或密码被窃取，或者通过恶意链接下载恶意程序导致被攻击目标系统被感染，继而被攻击者所控制。

APT28的主要攻击步骤
1、APT28发送邮件给目标人员并诱骗他们去伪造的钓鱼网站修改个人信息及密码；
2、目标人员点击链接会被重定向到APT28精心准备的钓鱼网站，并获取用户输入的信息及密码；
3、APT28使用这些获取到的账号和密码，登录目标系统并窃取大量敏感信息。

APT29的主要攻击步骤
1、2015年夏天，APT29 使用合法的域名，发送超过1000封钓鱼邮件给政府官员，邮件内容中含有恶意链接；
2、至少有一名收件人点击激活了此恶意链接并下载木马；
3、APT29通过此木马，向目标政党组织的IT系统上传恶意软件；
4、APT29通过控制主机、提权，暴力破解域、账号、密码等方式，获取部门账号和密码；
5、APT29使用这些账号和密码获取了更多敏感信息，并通过加密通道，以邮件的方式把这些信息传输出去。

企业如何预防“灰熊草原”类型的网络攻击？
在灰熊草原行动报告中，美国对于入侵行动所使用的全球各计算机、服务器与其它设备之相关信息进行了公布，同时也公布了俄罗斯情报部门通常如何实施恶意活动的相关信息，这部分信息能够帮助网络防御方了解对手的运作方式，从而进一步识别新型攻击活动或者破坏俄罗斯方面正在执行的现有入侵行为。

最后，报告还给出了安全防御的建议：
1.备份：我们是否对全部关键信息进行了备份？这些备份是否以离线方式存储？是否测试了自身在遭遇攻击事件时恢复备份信息的能力？
2.风险分析：我们是否对组织机构进行了网络安全风险分析？
3.人员培训：我们是否就网络安全最佳实践对人员进行了培训？
安全漏洞扫描与补丁修复：我们是否定期对网络及系统进行扫描？我们是否已经妥善修复了已知的系统安全漏洞？
4.应用程序白名单：我们是否仅允许获准程序运行在我们的网络当中？
5.事件响应：我们是否具备事件响应的能力？我们是否进行过实践演练？
6.业务连续性：我们能否在无法访问某些特定系统的情况下继续维持业务正常运营？这样的运营状态能够持续多长时间？
7.渗透测试：我们是否尝试过入侵自己的系统，从而测试自身系统的安全性与攻击防御能力？

360企业安全为用户构筑“四道防线”
针对“灰熊草原”类型的网络攻击，360企业安全给出了更加适合国内政企用户的完整网络安全解决方案。

针对威胁的多样化、体系化，防御体系需利用好先发优势，在各个层面进行纵深覆盖，实现风险分化、协同互补，为此360企业安全构建了一整套环环相扣的四重纵深防御体系（云端威胁感知、边界防护、业务防护、数据防护防线）。从云端到终端、从业务到数据、从个人到企业、从事前到事后，为用户提供无所不在的保护，不仅聚焦具体安全威胁的防护，更致力于打造企业信息安全生态环境。在当今云计算和大数据时代，为用户提供多层次、多维度、体系化纵深防御的解决方案，帮助用户综合提升应对新型安全威胁的能力，真正做到有效安全。

第一道防线：威胁感知
360企业安全作为拥有全球领先威胁情报能力的安全厂商，建立了基于大数据安全分析和威胁情报的云计算中心，形成了有效对抗新型威胁的防御和检测体系。通过该体系，可以挖掘未知威胁、预知风险，让用户全面、快速、准确的感知过去、现在、未来的威胁态势，同时经过提炼后的情报信息会实时同步到边界、业务、数据安全防护体系产品中，大幅提升边界、业务、数据安全防护体系的防护能力。

第二道防线：边界防护
基于用户业务风险和控制需求不同，用户网络会被划分成不同的物理/逻辑区域。无论是安全区域边界、互联网出口边界、移动接入边界、无线接入边界，360企业安全都具有健全的边界立体防控体系，基于天擎、天堤、鹰眼等产品实现边界协同防御，同时通过与威胁情报中心的情报交互，以及流量的上下文情景感知分析，实现动态策略自动下发与阻断，将已知或未知威胁阻挡在边界之外，有效保护各边界区域的网络信息安全。

第三道防线：业务防护
通过对用户业务系统流程的深入分析，从业务系统最初的代码缺陷、自身加固不足入手，再对用户数据业务访问的行为详细审计分析，同时汇集相关信息设备日志进行综合关联判断，帮助用户构建漏洞/缺陷的挖掘、修补、审计、取证、阻断的整套可控体系，并做到对业务系统威胁事前可预知、事中可防御/审计、事后可追查。

第四道防线：数据防护
针对用户私有云、公有云及混合云等不同场景，采用深层内容分析及加密等技术，对静态数据、动态数据及使用中的数据进行即时的识别、监控和保护，实现云端数据加解密、终端数据加解密、传输过程加密与审计等，帮助用户建立统一的数据智能防泄密策略，确保数据传输中的可靠与可控、云端数据存储的安全可控、终端数据的防泄密。

最后，用360企业安全集团总裁吴云坤说过的一段话作为结尾：“网络安全已经成为大国博弈的新战场，高级可持续攻击也成为网络安全对抗的重要手段。当前世界范围内的网络监听、网络攻击、网络犯罪等此起彼伏，并向国防、经济、文化等多领域渗透。作为国家继陆海空天电之后的“第六疆域”，我们需要对网络空间严守以待。”