在之前的文章中，我谈到了使用ETD发现异常活动。这次我想谈谈网络威胁，并给你一些高级持久性威胁（apt）的例子。这是克里斯蒂安·维冈、沃尔夫冈·贝尔曼和我17日在汉堡DSAG上的发言摘要。2016年2月。我将解释APT的含义以及为什么它对许多公司如此危险。然后我给你举一些例子，如何使用ETD来检测特定的APT到你的网络。高级持久性威胁

高级持久性威胁（APT）是针对特定目标的精心准备和长期持久性攻击。APT并不是一个新现象。有针对性的攻击一直存在。新的只是攻击者拥有几乎无限的资源的事实

可以得出结论，攻击者是有组织犯罪，工业间谍或情报组织的一部分。他们有长远的目标，大数据的现状，不追求快速的金钱或产生表面的损害。结果，他们平均在网络中呆了200多天没有被发现。在第一次注射后，他们保持数周不活动。攻击者观察日常工作（工作过程）。潜在目标是拥有高水平技术的公司（如汽车/船舶制造、太空旅行或国防工业）、当局、公共管理部门、政府、研究机构和银行。

APT有一个明确的结构，如下图所示。

（来源：Die Lage der IT Sicherheit in Deutschland 2015，BSI）

第一次感染几乎无法避免。这种攻击通常使用社会工程和鱼叉钓鱼邮件。目标是识别和利用员工的习惯，发现公司结构。一种简单的方法是向员工发送带有经过处理的PDF或ZIP文件的应用程序，其中包含经过处理的文档。这种攻击的典型电子邮件示例如下：

你好，施密特先生，

我们几周前谈过。这是我的申请表。我在附件中添加了所需的文档。希望这是你所需要的一切。

致以最诚挚的问候

莎拉·穆勒

这次攻击会奏效的！在下图中，您可以看到2015年度软件中的关键漏洞数量。Adobe Reader今年有60多个漏洞。因此，应用程序会带来特定的风险，淘客app系统，并为攻击者提供一个相当好的目标。数字上：60个漏洞除以52周（一年）构成每周1.15个新漏洞

（来源：Die Lage der IT Sicherheit In Deutschland 2015，BSI）

有些东西可能会阻碍第一次攻击。作为防御者，您需要深入了解您的IT基础架构以及哪些元素值得保护。最重要的是员工的意识。普通用户和管理用户在员工意识中了解到他们被黑客攻击的容易程度，以及他们能做些什么来保护自己。

安全负责的员工应该知道此类攻击者是如何工作的，他们的目标是什么。在第一次感染后，攻击者试图获得更多权限（在域控制器上）并掩盖其踪迹（访问的每个系统）。攻击者通过对受感染系统进行所谓的"标准攻击"来达到这些目标。这些可能是对用户凭据的暴力攻击或传递哈希攻击。其中一些标准攻击使用系统功能检索用户凭据。这些特性既不是bug，也不是安全问题。它们是标准的、进口的、需要特殊保护的功能。用ETD

检测APT每一种标准攻击都意味着用户帐户或系统功能的异常行为。E、 g.当攻击者收集用户凭据时，他会分析网络布局，并可能使用被劫持的凭据连接到其他各种系统。这种行为导致

ETD能够检测到这种行为。为此，它需要从各种系统（SAP和非SAP系统）收集大量日志文件。E、 域控制器和防火墙需要连接到ETD，就像我们在沃尔夫斯堡市项目中所做的那样。然后您需要为初始数据收集收集数据。最后创建模式和图表以检测"标准攻击"。下图给出了不同本地IP地址的用户登录模式的示例。我们在沃尔夫斯堡市项目中创建了这些和其他模式。这种图表/模式非常重要，因为几乎不可能检测到软件中的所有零日漏洞。因此，检测APT的最佳时间点是在第一次感染之后。这就是为什么您需要"标准攻击"模式的原因。

在ETD中，云购，可以添加特定于公司的模式，用于检测异常行为/活动并触发警报。我在"发现异常活动"这篇文章中给出了一些公司特定模式/行为的例子。

持续收集和关联不同系统的日志数据是必不可少的。普通的防病毒软件通常检测不到40%的恶意软件感染。ETD非常善于发现这些异常，因为它结合了SAP系统和非SAP系统（路由器、防火墙、代理等）的信息。

通常黑客会随后攻击不同的系统。他们通常先入侵Windows系统，免费云服务器试用，然后从那里继续攻击SAP系统。sapetd使得在这两个位置检测攻击成为可能：在Windows系统上第一次感染之后，或者稍后在SAP系统渗透时。

，52返现网