高级威胁的挑战与治理-huaweienterprise.pdf

高级威胁的挑战不治理 蒋世琪，趋势科技资深产品经理 案例一：全球最大的劢态密码锁公司研发数据外泄 案例二：韩国多家企业业务中断 • 时间：2013年3月20 日下午2时 • 韩国多家媒体不金融机构约48,700台计算机不服务 器无法使用 媒体 银行 韩国广播公司（KBS） 新韩银行 韩国文化广播公司（MBC） 农协银行 韩联社新闻台（YTN） 济州银行 • 影响： – 业务运行中断 – 受感染机器上的数据无法回复 这些都只是冰山一角… 还有许多攻击事件隐藏在水面之下还有许多攻击事件隐藏在水面之下 针对性攻击 高级持续性威胁 零日攻击 多形态攻击 国家互联网应急中心的关注 来源：CNCERT 2012年我国互联网网络安全态势综述 来自Gartner 的建议 • 始终跟上威胁的发展变化 • 建构多层次防御体系 • 改迚事件响应功能 来自Gartner 的建议 • 始终跟上威胁的发展变化 • 建构多层次防御体系 • 改迚事件响应功能 RSA攻击事件 RSA攻击事件：由一封以假乱真的邮件开始 Excel文档 RSA攻击事件：由一封以假乱真的邮件开始 Adobe FlashAdobe Flash 零日漏洞零日漏洞 (CVE2011(CVE2011--0609)0609) Excel File Attachment RSA攻击事件过程 根据Uni Rivner的 调查，这起造成 RSA史上最重大损 这个Excel文档包含 害的源头，是2封 该员工计算机植入 入侵开发用服务器， 一个当时还没有发 锁定RSA公司内两 后门后，被远程遥 加密并压缩机密数 现、也还没有被修 小群员工的网络钓 控在内部做探测取 据用FTP传到远程主 补的Adobe Flash 鱼邮件。标题写着 得更高管理者权限 机，清除入侵痕迹 零日漏洞 「2011年招募计 划」，也夹带一个 附加文档 320韩国攻击事件：伪装成银行通知的邮件 恶意附件，文件名为 “信用卡交易记录” 伪装伪装的三月份信用卡账单通知三月份信用卡账单通知 受害企业 320 Unix/Linux服务器区 韩国攻击事 攻击者 带有恶意附件的 植入木马 件过程 社交工程邮件 程序