APT攻击特征及案例分析课件.ppt
- 【下载声明】
1. 本站全部试题类文档,若标题没写含答案,则无答案;标题注明含答案的文档,主观题也可能无答案。请谨慎下单,一旦售出,不予退换。
2. 本站全部PPT文档均不含视频和音频,PPT中出现的音频或视频标识(或文字)仅表示流程,实际无音频或视频文件。请谨慎下单,一旦售出,不予退换。
3. 本页资料《APT攻击特征及案例分析课件.ppt》由用户(三亚风情)主动上传,其收益全归该用户。163文库仅提供信息存储空间,仅对该用户上传内容的表现方式做保护处理,对上传内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知163文库(点击联系客服),我们立即给予删除!
4. 请根据预览情况,自愿下载本文。本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
5. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007及以上版本和PDF阅读器,压缩文件请下载最新的WinRAR软件解压。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- APT 攻击 特征 案例 分析 课件
- 资源描述:
-
1、网络信息安全形势、热点、APT攻击 特征及案例分析XX -教授重庆邮电大学企业信息化研究中心重庆网安计算机技术服务中心2013年5月9日一、目前我国互联网网络安全形势(一)基础网络防护能力明显提升,但安全隐患不容忽视。一)基础网络防护能力明显提升,但安全隐患不容忽视。 (二)政府网站篡改类安全事件显著减少,网站用户信息泄(二)政府网站篡改类安全事件显著减少,网站用户信息泄漏引发社会高度关注。漏引发社会高度关注。 (三)我国遭受境外的网络攻击持续增多。(三)我国遭受境外的网络攻击持续增多。 (四)网上银行面临的钓鱼威胁愈演愈烈。(四)网上银行面临的钓鱼威胁愈演愈烈。 (五)工业控制系统安全事件呈
2、现增长态势(五)工业控制系统安全事件呈现增长态势 。 (六)手机恶意程序现多发态势。(六)手机恶意程序现多发态势。 (七)木马和僵尸网络活动越发猖獗。(七)木马和僵尸网络活动越发猖獗。 (八)应用软件漏洞呈现迅猛增长趋势。(八)应用软件漏洞呈现迅猛增长趋势。 (九)(九)DDoS攻击仍然呈现频率高、规模大和转嫁攻击的特点。攻击仍然呈现频率高、规模大和转嫁攻击的特点。 (一)基础网络防护能力明显提升,但安全隐患不容忽视 n 根据工信部组织开展的 通信网络安全防护检查情况, 基础电信运营企业的网络安全防护意识和水平较 往 年均有所提高, 对网络安全防护工作的重视程度进一步加大,网络安全防护管理水平
3、明显提升,对非传统安全的防护能力显著增强, 网络安全防护达标率稳步提高,各企业网络安全防护措施总体达标率为 98.78% ,较 2011 年前呈逐年稳步上升趋势。 但是,基础电信运营企业的部分网络单元仍存在比较高的风险。如域名解析系统( DNS) 、 移动通信网和 IP 承载网的网络单元存在风险 。n 涉及基础电信运营企业的信息安全漏洞数量较多。 据国家信息安全漏洞共享平台( CNVD )收录的漏洞统计,发现涉及电信运营企业网络设备(如路由器、交换机等)的漏洞203 个,其中高危漏洞73个; 发现直接面向公众服务的零日DNS漏洞23个, 应用广泛的域名解析服务器软件 Bind9 漏洞 7 个。
4、涉及基础电信运营企业的攻击形势严峻。据国家计算机网络应急技术处理协调中心( CNCERT )监测,近年每天发生的分布式拒绝服务攻击( DDoS )事件中平均约有 7% 的事件涉及到基础电信运营企业的域名系统或服务。 2011 年 7 月 15 日域名注册服务机构三五互联 DNS 服务器遭受 DDoS 攻击,导致其负责解析的大运会官网域名在部分地区无法解析。 8 月18日晚和 19 日晚,新疆某运营商 DNS 服务器也连续两次遭到拒绝服务攻击,造成局部用户无法正常使用互联网。(二)政府网站篡改类安全事件显著减少,网站用户 信息泄漏引发社会高度关注 n 据 CNCERT监测,中国大陆被篡改的政府网
5、站大约为 2000-3000个,比往 年大幅下降 39.4% 。 但从整体来看,近年网站安全情况并未改善,还有一定恶化趋势,接收的网络安全事件 ( 不含漏洞 )中,网站安全类事件占到 61.7% ;被植入网站后门的境内网站已为12513 个。 涉及网站相关的漏洞占 22.7%,较往年大幅上升。 网站安全问题进一步引发网站用户信息和数据的安全问题。 n CSDN 、天涯等网站发生用户信息泄露事件引起社会广泛关注,被公开的疑似泄露数据库 26 个,涉及帐号、密码信息 2.78 亿条,严重威胁了互联网用户的合法权益和互联网安全。根据调查和研判发现,我国部分网站的用户信息仍采用明文的方式存储, 相关漏
6、洞修补不及时,安全防护水平较低。(三)我国遭受境外的网络攻击持续增多 n 抽样监测发现,境外有近 4.7万个 IP 地址作为木马或僵尸网络控制服务器参与控制我国境内主机,其控制的境内主机数量已由近500万增加至近890万,呈现大规模化趋势。其中位于日本( 22.8%)、美国( 20.4% )和韩国( 7.1%)的控制服务器 IP数量居前三位。 n 在网站安全方面,境外黑客对境内1116个网站实施了网页篡改;境外 11851个 IP通过植入后门对境内10593个网站实施远程控制;仿冒境内银行网站的服务器IP有95.8%位于境外,其中美国仍然排名首位共有481个 IP(占72.1%) 仿冒了境内2
7、943个银行网站的站点,中国香港(占17.8%)和韩国(占2.7%)分列二、三位。 总体来看,近年位于美国、日本和韩国的恶意 IP地址对我国的威胁最为严重。另据工业和信息化部互联网网络安全信息通报成员单位报送的数据,在我国实施网页挂马、网络钓鱼等不法行为所利用的恶意域名约有 65%在境外注册。 这些情况表明我国面临的境外网络攻击和安全威胁越来越严重。 (四)网上银行面临的钓鱼威胁愈演愈烈 n 随着我国网上银行的蓬勃发展,广大网银用户成为黑客实施网络攻击的主要目标。全国范围大面积爆发了假冒中国银行网银口令卡升级的骗局,据报道此次事件中有客户损失超过百万元。 据CNCERT监测,近年针对网银用户名
8、和密码、网银口令卡的网银大盗、Zeus等恶意程序较往年更加活跃 , 已发现针对我国网银的钓鱼网站域名3841个。 全年要接收网络钓鱼事件举报 5459件,较 往 年增长近 2.5 倍。 (五)工业控制系统安全事件呈现增长态势 n 继2010 年伊朗布舍尔核电站遭到 Stuxnet 病毒攻击后, 2011年美国伊利诺伊州一家水厂的工业控制系统遭受黑客入侵导致其水泵被烧毁并停止运作,11月Stuxnet 病毒转变为专门窃取工业控制系统信息的 Duqu 木马。 n CNVD已 收录了100 余个对我国影响广泛的工业控制系统软件安全漏洞,较往 年大幅增长近 10 倍,涉及西门子、北京亚控和北京三维力控
9、等国内外知名工业控制系统制造商的产品。相关企业虽然能够积极配合 CNCERT 处治安全漏洞,但在处治过程中部分企业也表现出产品安全开发能力不足的问题。 (六)手机恶意程序现多发态势n 随着移动互联网生机勃勃的发展,黑客也将其视为攫取经济利益的重要目标。CNCERT已捕获移动互联网恶意程序 6249个。其中,恶意扣费类恶意程序数量最多,为1317个,占21.08% ,其次是恶意传播类、信息窃取类、流氓行为类和远程控制类。 n 从手机平台来看,约有60.7%的恶意程序针对Symbian 平台,针对Android平台的恶意程序较往年大幅增加,有望迅速超过 Symbian平台。 n 近年境内约超过71
10、2万个上网的智能手机曾感染手机恶意程序,严重威胁和损害手机用户的权益。 (七)木马和僵尸网络活动越发猖獗 n CNCERT 已发现近 890 万余个境内主机 IP地址感染了木马或僵尸程序,较 往 年大幅增加 78.5% 。其中,感染窃密类木马的境内主机 IP 地址为 5.6 万余个,国家、企业以及网民的信息安全面临严重威胁。 n 根据工业和信息化部互联网网络安全信息通报成员单位报告,位于较高水平的黑客在疯狂制造新的恶意程序的同时,也在想方设法逃避监测和打击,例如,越来越多的黑客采用在境外注册域名、频繁更换域名指向 IP 等手段规避安全机构的监测和处治。 (八)应用软件漏洞呈现迅猛增长趋势 n
11、CNVD 共收集整理并公开发布信息安全漏洞 5547 个,其中,高危漏洞有 2164 个。在所有漏洞中,涉及各种应用程序的最多,占 62.6% ,涉及各类网站系统的漏洞位居第二, 占 22.7% ,而涉及各种操作系统的漏洞则排到第三位,占 8.8% 。 n 除发布预警外, CNVD还重点协调处治了大量威胁严重的漏洞,涵盖网站内容管理系统、电子邮件系统、工业控制系统、 网络设备、网页浏览器、手机应用软件等类型以及政务、电信、银行、民航等重要部门。上述事件暴露了厂商在产品研发阶段对安全问题重视不够,质量控制不严格,发生安全事件后应急处治能力薄弱等问题。由于相关产品用户群体较大,因此一旦某个产品被黑
12、客发现存在漏洞, 将导致大量用户和单位的信息系统面临威胁。 这种规模效应也吸引黑客加强了对软件和网站漏洞的挖掘和攻击活动。(九)DDoS 攻击仍然呈现频率高、规模大和转嫁攻击的特点 n DDoS 仍然是影响互联网安全的主要因素之一,表现出三个特点: 一是DDoS 攻击事件发生频率高,且多采用虚假源 IP 地址。据CNCERT 抽样监测发现,我国境内日均发生攻击总流量超过 1G 的较大规模的 DDoS 攻击事件 365 起。其中,TCP SYN FLOOD 和 UDP FLOOD 等常见虚假源 IP 地址攻击事件约占 70% ,对其溯源和处治难度较大。 二是在经济利益驱使下的有组织的 DDoS
13、攻击规模十分巨大,难以防范。例如针对浙江某游戏网站的攻击持续了数月, 综合采用了DNS 请求攻击、UDP FLOOD 、TCP SYN FLOOD 、 HTTP 请求攻击等多种方式,攻击峰值流量达数10Gbps。 三是受攻击方恶意将流量转嫁给无辜者的情况屡见不鲜。 2011年多家省部级政府网站都遭受过流量转嫁攻击,且这些流量转嫁事件多数是由游戏私服网站争斗引起。二、网络安全值得关注的热点问题 (一) 网站安全面临的形势可能更加严峻,网站中集中存储的用户信息将成为黑客窃取的重点。由于很多社交网站、论坛等网站的安全性差,其中存储的用户信息极易被窃取,黑客在得手之后会进一步研究利用所窃取的个人信息,
14、 结合社会工程学攻击网上交易等重要系统,可能导致更严重的财产损失。 (二)随着移动互联网应用的丰富和3G 、 wifi 网络的快速发展,针对移动互联网智能终端的恶意程序也将继续增加, 智能终端将成为黑客攻击的重点目标。由于 Android 手机用户群的快速增长和 Android 应用平台允许第三方应用发布的特点,运行 Android操作系统的智能移动终端将成为黑客关注的重点。 (三)随着我国电子商务的普及,网民的理财习惯正逐步向网上交易转移,针对网上银行、证券机构和第三方支付的攻击将急剧增加。针对金融机构的恶意程序将更加专业化、复杂化,可能集网络钓鱼、 网银恶意程序和信息窃取等多种攻击方式为一
展开阅读全文