以中国移动12580系统为例介绍APT系统的运用场景,其他数据业务系统(SMS、MMS、CRBT等系统类似):
一、划分了安全域的12580系统
背景与需求
12580系统现状说明:
- 安全域:根据中国移动通信集团的要求,需要对数据业务系统进行安全域划分和边界整合,通常是通过域间防火墙策略来控制数据的访问
- 核心生产区:放置12580的核心业务服务器和数据库,不允许其它域直接访问数据库,其他特定域只能通过限定策略访问对应的业务服务器
- 内部互联接口区:通常放置外部接口机,该域只允许中国移动的其它业务相关系统进行互相调用和访问,其他系统不能直接访问核心生产区;其他系统如BOSS系统和12580系统之间,在对端BOSS侧有防火墙,本端根据各省的情况可能也部署有防火墙
- 互联网接口区:放置WEB服务器,通常是12580门户,该区域允许互联网用户访问12580门户
- 业务用户区:鉴于12580系统的特殊性,需要人工座席接听和处理用户的呼叫业务以及进行后台业务处理,该区域仅能访问特定区域的特定服务器
- 运维用户区:原则上运维用户只能通过支撑系统接入内部互联区进行运维,但大多数情况本系统中都有运维接口,因此也有单独划分运维用户区来进行运维的情况,运维接入用户可能是厂家维护人员,也可能是中国移动的运维人员
威胁及攻击路径分析:
该场景主要是防护来自互联网、其他系统、以及本系统内部(已经被攻陷成为跳板的资产主机或内部不可信人员的攻击)的APT攻击和威胁。具体威胁形式包括但不限于Web网站入侵、远程溢出植入等网络渗透攻击,Web后门控制、僵木儒感染传播等各类远程控制行为
威胁和攻击路径分析如下:
- 攻击威胁通过相互调用和访问的BOSS/短信中心/彩铃等移动内部业务系统,影响内部互联接口区的资产。该攻击路径主要面临的是远程溢出漏洞植入攻击、弱口令植入攻击等内网渗透攻击威胁
- 攻击威胁通过互联网接口区暴露在互联网的服务端口对互联网接口区内的业务主机进行攻击,所以该攻击路径主要面临的是来之互联网的Web网站攻击、未知漏洞攻击等网络植入攻击威胁
- 攻击威胁通过非法控制互联网接口区和内部互联接口区的终端资产,以此为跳板攻击核心生产区。该攻击路径主要面临Web网站攻击、未知漏洞攻击、弱口令植入攻击等各种内网渗透的组合攻击手段
- 攻击威胁通过鱼叉式钓鱼攻击、水坑攻击、升级文件捆绑攻击、U盘摆渡攻击等各种典型的APT攻击方式在业务用户区和运维用户区建立立足点,以此为跳板向核心生产区等其他业务区发起内网渗透攻击
解决方案
- 1、在核心交换机处旁路部署APT检测系统,实现对来自其他系统和互联网的Web攻击、鱼叉式钓鱼攻击、水坑攻击、升级文件捆绑攻击、僵木蠕控制等APT攻击与威胁的检测和分析
- 2、在核心生产区的接入交换机处旁路部署APT检测系统,实现对来自本系统内其他安全子域的网络植入攻击行为、僵木蠕等非法控制行为的检测和分析,以达到保护本系统核心资产的目的
二、未划分安全域的12580系统
背景与需求
12580系统现状说明:
12580的所有业务服务器、接口机、坐席、和运维人员都是通过本系统的核心交换机进行连接和数据通信,其它系统通过特定线路与12580相连进行数据和业务调用,互联网用户通过CMNET访问12580门户
威胁及攻击路径分析:
该场景主要是防护来自互联网、其他系统、以及非固定接入的不可信的运维人员(恶意用户或僵尸用户)的APT攻击和威胁,具体威胁形式包括但不限于Web网站入侵、远程溢出植入等网络渗透攻击,Web后门控制、僵木儒感染传播等各类远程控制行为
威胁和攻击路径分析如下:
- 攻击威胁通过相互调用和访问的BOSS/短信中心/彩铃等移动内部业务系统,直接影响未划分安全区域的各个12580系统资产
- 攻击威胁通过暴露在互联网上的12580系统服务对系统进行网络攻击,该攻击路径主要面临的是来之互联网的Web网站攻击、未知漏洞攻击等网络植入攻击威胁
- 攻击威胁通过非法控制的12560系统终端主机,以此为跳板攻击12560系统内的其他业务服务器。由于未划分安全域,该攻击路径将普遍存在与核心交换机相连的各个资产。攻击威胁主要是Web网站攻击、未知漏洞攻击、弱口令植入攻击等各种内网渗透的组合攻击手段
- 攻击威胁通过鱼叉式钓鱼攻击、水坑攻击、升级文件捆绑攻击、U盘摆渡攻击等各种典型的APT攻击方式在坐席和运维人员主机上建立跳板,向核心生产区等其他业务区发起内网渗透攻击
解决方案
在核心交换机处旁路部署APT检测系统,实现对来自其他系统和互联网的网络植入攻击行为、僵木蠕等非法控制行为的检测和分析