亚信安全TDA解决方案

XXX

威胁预警系统解决方案

亚信安全

2022年3月

目录

第 1 章网络安全遭遇新挑战——高级持续性威胁（APT） (3)

1.1APT概念 (3)

1.2APT攻击特点 (3)

1.3APT攻击的危害 (4)

1.4韩国金融、媒体、政府遭受APT攻击实例 (4)

1.5技术标准规范/要求 (6)

第 2 章总体方案 (9)

2.1需求概述 (9)

2.2整体方案设计思想 (9)

2.3产品部署建议 (11)

2.4TDA 3.8版本新增功能说明 (11)

2.5TDA威胁响应服务内容说明 (11)

2.6运维管理保障 (14)

2.7解决方案价值 (14)

第 3 章各行业典型案例介绍 (16)

3.1典型案例列表 (16)

3.2典型案例简述 (17)

第 4 章附录 (18)

4.1亚信安全威胁发现设备（TDA） (18)

4.2亚信安全专家服务团队 (18)

第 1 章网络安全遭遇新挑战——高级

持续性威胁（APT）

Internet互联网安全正在面临前所未有的挑战，这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁，国际上有的称之为APT（Advanced Persistent Threat）攻击，或者称之为“针对特定目标的攻击”。

1.1APT概念

APT（Advanced Persistent Threat）——高级持续性威胁。是指组织(特别是政府)或者小团体利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进，其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集，在此收集的过程中，此攻击会主动挖掘被攻击对象受信系统和应用程序的漏洞，在这些漏洞的基础上形成攻击者所需的C&C网络，此种行为没有采取任何可能触发警报或者引起怀疑的行动，因此更接近于融入被攻击者的系统或程序。

1.2APT攻击特点

1.极强的隐蔽性

对此可这样理解，APT攻击已经与被攻击对象的可信程序漏洞与业务系统漏洞进行了融合，在组织内部，这样的融合很难被发现。例如，2012年出现的APT 攻击“火焰(Flame)”就是利用了MD5的碰撞漏洞，伪造了合法的数字证书，冒充正规软件实现了欺骗攻击。

2.潜伏期长，持续性强

APT攻击是一种很有耐心的攻击形式，攻击和威胁可能在用户环境中存在一年以上，他们不断收集用户信息，直到收集到重要情报。他们往往不是为了在短时间内获利，而是把“被控主机”当成跳板，持续搜索，直到充分掌握目标对象的使用行为。所以这种攻击模式，本质上是一种“恶意商业间谍威胁”，因此具有很长的潜伏期和持续性。

3.目标性强

不同于以往的常规病毒，APT制作者掌握高级漏洞发掘和超强的网络攻击技术。发起APT攻击所需的技术壁垒和资源壁垒，要远高于普通攻击行为。其针对的攻击目标也不是普通个人用户，而是拥有高价值敏感数据的高级用户，特别是可能影响到国家和地区政治、外交、金融稳定的高级别敏感数据持有者。

1.3APT攻击的危害

一般认为，APT攻击就是一类特定的攻击，为了获取某个组织甚至是国家的重要信息，有针对性的进行的一系列攻击行为的整个过程。APT攻击利用了多种攻击手段，包括各种最先进的手段和社会工程学方法，一步一步的获取进入组织内部的权限。APT往往利用组织内部的人员作为攻击跳板。有时候，攻击者会针对被攻击对象编写专门的攻击程序，而非使用一些通用的攻击代码。

此外，APT攻击具有持续性，甚至长达数年。这种持续体现在攻击者不断尝试各种攻击手段，以及在渗透到网络内部后长期蛰伏，不断收集各种信息，直到收集到重要情报。

更加危险的是，这些新型的攻击和威胁主要就针对国家重要的基础设施和单位进行，包括能源、电力、金融、国防等关系到国计民生，或者是国家核心利益的网络基础设施。

对于这些单位而言，尽管已经部署了相对完备的纵深安全防御体系，可能既包括针对某个安全威胁的安全设备，也包括了将各种单一安全设备串联起来的管理平台，而防御体系也可能已经涵盖了事前、事中和事后等各个阶段。但是，这样的防御体系仍然难以有效防止来自互联网的入侵和攻击，以及信息窃取，尤其是新型攻击（例如APT攻击，以及各类利用零日漏洞的攻击）。

1.4韩国金融、媒体、政府遭受APT攻击实例

2013 年3月20日，韩国多家大型银行及三家大型电视公司相继出现多台电脑丢失画面的情况，有些电脑的显示屏上甚至出现骷髅头的图像以及来自名为“WhoIs”团体的警告信息。此攻击是韩国同一时间遭受的多起攻击之一。亚信安全研究显示，这是一次恶意程序攻击的结果，黑客一开始假冒银行发送主题为“三月份信用卡交易明细”的钓鱼邮件，内含会清除硬盘主引导记录（Master

Boot Record，简称MBR）的恶意程序。黑客设定该恶意程序在 2013 年3月20日同步爆发。一旦爆发，即使银行电脑系统完全瘫痪，必须逐一重装系统才能恢复。

2013 年6月25日，韩国最高政治中心青瓦台网站于昨日遭受黑客攻击，导致网页被置换并瘫痪，引发全球关注。根据亚信安全全球病毒防治中心Trend Labs的最新研究发现，韩国云端储存服务软件“SimDisk Installer”服务器在此波攻击中疑似遭受黑客攻击并被植入名为“ SimDisk Installer exe. ”的恶意软件，其通过自动更新系统分发至用户端，试图造成大量的感染，成为受黑客控制的网络“僵尸军团”，进一步发动DDoS攻击以令更多政府网站瘫痪。

1.5技术标准规范/要求

针对企业或政府机关单位，国家已有很多相关文件要求，特别是工信部下发的《木马和僵尸网络监测与处置机制》要求，明确要求电信运营商、互联网域名注册管理机构等要加强对木马和僵尸网络监测，而对于政府部门、军队以及银行、海关、税务、能源、铁路、证券、保险、民航等关系国计民生的重要行业使用的信息系统重点监测，一旦被发现存在木马和僵尸网络就将责令整改。此文件已于2009年6月1日正式实行，已发现有企事业单位已被通报并要求限期整改。

同时，2009年中国银行业监督委员会发布《商业银行信息科技风险管理指引》，在第一章总则第五条明确提出，“信息科技风险管理的目标是通过建立有效的机制，实现对商业银行信息科技风险的识别、计量、监测和控制，促进商业银行安全、持续、稳健运行，推动业务创新，提高信息技术使用水平，增强核心竞争力和可持续发展能力。”

针对韩国攻击事件，中国银监会发布的通知：