j'ai compris

Qu'est-ce que l'APT?

publié il y a  2020-5-31 23:38:23 16 0 0 0
La menace persistante avancée (APT) est un mode d'attaque qui attaque constamment une cible spécifique. Un APT typique présente les caractéristiques suivantes:
  • Persistance

    Un attaquant passe souvent beaucoup de temps à rechercher et à collecter des informations sur les environnements d'exploitation réseau du système cible ainsi qu'à explorer la vulnérabilité du système de confiance et des programmes d'application de l'attaquant. L'attaquant peut ne pas percer le système de défense de la cible dans un court laps de temps, mais il ou elle peut découvrir une vulnérabilité dans la cible ou trouver la possibilité d'attaquer la cible au fil du temps, en particulier lorsque les appareils sont mis à niveau ou des applications sont mis à jour dans le système de défense.

  • Terminal

    L'attaquant n'attaque pas directement la cible. Au lieu de cela, l'attaquant compromet d'abord un périphérique terminal (tel qu'un smartphone ou un PAD) lié au système cible pour voler le compte d'utilisateur et le mot de passe. C'est-à-dire que le dispositif terminal sert de station de transfert pour l'attaque sur le système cible.

  • Pertinence

    Sur la base des informations collectées sur les logiciels fréquemment utilisés, les politiques et produits de défense et le déploiement du réseau interne du système cible, l'attaquant établit un environnement spécifique pour découvrir la vulnérabilité et tester s'il existe des méthodes pour contourner les inspections.

  • Inconnue

    Les produits de sécurité traditionnels se défendent contre les attaques basées uniquement sur des virus et des vulnérabilités connus. Les attaquants APT peuvent exploiter la vulnérabilité 0-day pour lancer des attaques, qui peuvent facilement traverser le système de défense.

  • Dissimulation

    Lors de l'accès à un actif important, l'attaquant utilise un client contrôlé pour voler des informations via un canal de données crypté. Dans ce cas, le système d'audit et le système de détection d'anomalies ne peuvent pas détecter l'attaque.

Avec les fonctionnalités d'attaque précédentes, les attaques APT sont plus avancées, cachées et dévastatrices. Grâce à ces fonctionnalités, elles sont devenues une menace majeure pour la sécurité du réseau de nos jours.


Comment le FW fonctionne-t-il avec le bac à sable?

À l'heure actuelle, l'une des méthodes les plus efficaces pour la défense contre les attaques APT est la technologie du bac à sable, qui crée un environnement d'inspection des menaces isolé. Le trafic est acheminé vers le bac à sable pour l'analyse des menaces. Si le sandbox détecte du trafic malveillant, le FW de l'appareil   met à jour l'URL malveillante mise en cache et les entrées de fichiers malveillants en conséquence. Si le trafic suivant correspond au fichier malveillant ou à la liste d'URL malveillantes, l'action de blocage ou d'alerte est effectuée. La figure montre l'interfonctionnement entre le  FW  et le bac à sable.
en-us_image_0174376860.png

La procédure de défense contre les attaques APT est la suivante:

  1. Un attaquant externe lance une attaque APT vers le réseau de l'entreprise. Le trafic d'attaque correspondant au profil de défense APT est restauré dans un fichier.

  2. Le  FW  envoie le fichier restauré au bac à sable pour l'analyse des menaces.

  3. Le  FW  obtient périodiquement le résultat de la détection de fichiers à partir du sandbox.

    Si le bac à sable détecte le trafic malveillant, il  FW  met à jour le fichier malveillant mis en cache et les listes d'URL malveillants en fonction du résultat de détection. Si le trafic suivant correspond au fichier malveillant ou à la liste d'URL malveillantes, l'action de blocage ou d'alerte est effectuée pour protéger l'intranet de l'entreprise contre les attaques.

  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise
Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.