j'ai compris

Qu'est-ce que l'APT?

publié il y a  2020-5-31 23:15:48 62 0 0 0 0
La menace persistante avancée (APT) est un mode d'attaque qui attaque constamment une cible spécifique. Un APT typique présente les caractéristiques suivantes:
  • Persistance

    Un attaquant passe souvent beaucoup de temps à rechercher et à collecter des informations sur les environnements d'exploitation réseau du système cible ainsi qu'à explorer la vulnérabilité du système de confiance et des programmes d'application de l'attaquant. L'attaquant peut ne pas percer le système de défense de la cible dans un court laps de temps, mais il ou elle peut découvrir une vulnérabilité dans la cible ou trouver la possibilité d'attaquer la cible au fil du temps, en particulier lorsque les appareils sont mis à niveau ou des applications sont mis à jour dans le système de défense.

  • Terminal

    L'attaquant n'attaque pas directement la cible. Au lieu de cela, l'attaquant compromet d'abord un périphérique terminal (tel qu'un smartphone ou un PAD) lié au système cible pour voler le compte d'utilisateur et le mot de passe. C'est-à-dire que le dispositif terminal sert de station de transfert pour l'attaque sur le système cible.

  • Pertinence

    Sur la base des informations collectées sur les logiciels fréquemment utilisés, les politiques et produits de défense et le déploiement du réseau interne du système cible, l'attaquant établit un environnement spécifique pour découvrir la vulnérabilité et tester s'il existe des méthodes pour contourner les inspections.

  • Inconnue

    Les produits de sécurité traditionnels se défendent contre les attaques basées uniquement sur des virus et des vulnérabilités connus. Les attaquants APT peuvent exploiter la vulnérabilité 0-day pour lancer des attaques, qui peuvent facilement traverser le système de défense.

  • Dissimulation

    Lors de l'accès à un actif important, l'attaquant utilise un client contrôlé pour voler des informations via un canal de données crypté. Dans ce cas, le système d'audit et le système de détection d'anomalies ne peuvent pas détecter l'attaque.

Avec les fonctionnalités d'attaque précédentes, les attaques APT sont plus avancées, cachées et dévastatrices. Grâce à ces fonctionnalités, elles sont devenues une menace majeure pour la sécurité du réseau de nos jours.


Comment le FW fonctionne-t-il avec le bac à sable?

À l'heure actuelle, l'une des méthodes les plus efficaces pour la défense contre les attaques APT est la technologie du bac à sable, qui crée un environnement d'inspection des menaces isolé. Le trafic est acheminé vers le bac à sable pour l'analyse des menaces. Si le sandbox détecte du trafic malveillant, le FW de l'appareil   met à jour l'URL malveillante mise en cache et les entrées de fichiers malveillants en conséquence. Si le trafic suivant correspond au fichier malveillant ou à la liste d'URL malveillantes, l'action de blocage ou d'alerte est effectuée. La figure montre l'interfonctionnement entre le  FW  et le bac à sable.
en-us_image_0174376860.png

La procédure de défense contre les attaques APT est la suivante:

  1. An external attacker initiates an APT attack towards the enterprise network. Attack traffic matching the APT defense profile is restored to a file.

  2. The FW sends the restored file to the sandbox for threat analysis.

  3. The FW periodically obtains the file detection result from the sandbox.

    If the sandbox detects malicious traffic, it FW updates the cached malicious file and malicious URL lists based on the detection result. If subsequent traffic matches the malicious file or malicious URL list, the block or alert action is performed to protect the enterprise intranet from attacks.


 APT    Sandbox      Security


  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.