企业信息安全APT治理战略.pdf

企业信息安全APT治理战略 Custom Defense 2.0 Confidential | Copyright 2013 Trend Micro Inc. 不断演化的威胁 The Evolving Threats 2 信息安全 不堪回首 80,000家公司被黑 2,122 家公司被迫公开承认 全球500强公司大面积沦陷 涉及全球60多个国家 往事历历在目触目惊心 2015.2 Anthem 2015.1 加密勒索软件 2014.11 索尼影业 2014.9 家得宝 医疗保险用户资料外泄 遭APT攻击 信用卡信息被窃 2014.9 iCloud 2013.9 Target 2013.3 韩国银行及媒体 2011.3 RSA 好莱坞女性艳照门 信用卡信息被窃 遭APT攻击 SecurID 被窃 案例一:全球最大的动态密码锁公司RSA遭受APT 攻击 RSA攻击事件：由一封以假乱真的邮件开始 Excel文档 Adobe Flash 零日漏洞(CVE2011-0609) RSA 遭受APT攻击的来龙去脉 根据Uni Rivner的调查，这起造成RSA史上最重大损害的源 头，是2封锁定RSA公司内两小群员工的网络钓鱼信件。 标题写着 「2011年招募计划」，也夹带一个附加文档 这个Excel档案其实已经包含了一个当时还没有发现、也还没 有被修补的Adobe Flash漏洞 该员工计算机被植入后门后，被远程遥控在内部做探测取得更 高管理者权限 入侵开发用服务器，加密并压缩机密数据用FTP传到远程主 机，清除入侵痕迹 案例二：320韩国攻击事件 • 时间： – 2013年3月20日下午2时 • 范围： – 韩国多家媒体与金融机构约48,700台计算机与服务器无法使 用 媒体 银行 韩国广播公司 （KBS） 新韩银行 韩国文化广播公司 （MBC） 农协银行 韩联社新闻台 （YTN） 济州银行 • 影响： – 业务运行中断 • 银行：ATM、网银、营业厅交易停摆 • 媒体：媒体向外播送的内容无法更新，对外网站无法连接 – 受感染机器上的数据无法回复 8 320韩国攻击事件：伪装成银行账单邮件 恶意附件，文件名为 “信用卡交易记录” 伪装的三月份信用卡账单通知 320韩国攻击事件过程 受害企业 Unix/Linux服务器区 攻击者 带有恶意附件的