|
威脅形勢(shì)的轉(zhuǎn)變并不是突然發(fā)生的。在2006年����,針對(duì)TJX公司的高度針對(duì)性攻擊導(dǎo)致千百萬(wàn)人的個(gè)人信息泄露。在2009年�����,谷歌�、Juniper和Adobe等公司遭受了極光行動(dòng)(Operation Aurora)攻擊。接下來(lái)的一年����,伊朗政府聲稱(chēng)美國(guó)和以色列對(duì)伊朗核計(jì)劃發(fā)起了Stuxnet蠕蟲(chóng)攻擊�。次年春天,RSA承認(rèn)其遭受“極其復(fù)雜的網(wǎng)絡(luò)攻擊”���。
定義和理解有針對(duì)性APT攻擊
這些攻擊是現(xiàn)在安全專(zhuān)業(yè)人員面臨的典型攻擊�����。高級(jí)持續(xù)威脅APT是一個(gè)“模糊”而富有爭(zhēng)議的術(shù)語(yǔ)�����,它指的是一種攻擊風(fēng)格�,而不是任何特定的攻擊技術(shù)。有針對(duì)性的APT攻擊是指專(zhuān)業(yè)黑客使用高級(jí)攻擊技術(shù)發(fā)起的一對(duì)一的攻擊�����。以前的腳本小子(script kiddies)首先會(huì)選擇一個(gè)漏洞�����,然后掃描互聯(lián)網(wǎng)尋找容易攻擊的系統(tǒng)�,而APT攻擊者首先會(huì)選定一個(gè)目標(biāo),通常是政府機(jī)構(gòu)����、金融機(jī)構(gòu)、企業(yè)競(jìng)爭(zhēng)對(duì)手或者其他高價(jià)值資產(chǎn)���,然后再選擇進(jìn)入的方法����。盡管許多信息安全產(chǎn)業(yè)觀察家因?yàn)檫@樣或那樣的原因不喜歡高級(jí)持續(xù)威脅這一說(shuō)法����,但高級(jí)持續(xù)威脅已經(jīng)成為定義這種攻擊類(lèi)型最常見(jiàn)的說(shuō)法���。
應(yīng)對(duì)APT需要安全專(zhuān)業(yè)人員展開(kāi)一種新的思維。信息安全專(zhuān)業(yè)人員必須假定攻擊者已經(jīng)使用高級(jí)攻擊成功地滲透進(jìn)入了企業(yè)網(wǎng)絡(luò)�����。他們將會(huì)利用零日攻擊��、社會(huì)工程學(xué)���、釣魚(yú)攻擊和其他技術(shù)來(lái)想盡辦法進(jìn)入我們的網(wǎng)絡(luò)���。一旦他們建立了一個(gè)虛擬操作基地,他們就能夠升級(jí)他們的特權(quán)���,擴(kuò)大他們的控制范圍,直到他們找到目標(biāo)����,即使這需要花上數(shù)周或者幾個(gè)月時(shí)間。
加強(qiáng)網(wǎng)絡(luò)安全 抵御有針對(duì)性APT攻擊
所幸的是���,我們已經(jīng)有一個(gè)成熟的戰(zhàn)略來(lái)幫助企業(yè)抵御APT�����,這個(gè)戰(zhàn)略強(qiáng)調(diào)了很多常見(jiàn)的網(wǎng)絡(luò)安全最佳做法���。這個(gè)通過(guò)部署分層控制來(lái)實(shí)現(xiàn)深度防御網(wǎng)絡(luò)安全的方法已經(jīng)經(jīng)過(guò)驗(yàn)證��,它是幫助企業(yè)抵御APT的最佳方法���。
首先,整理網(wǎng)絡(luò)中已經(jīng)存在的控制��,確保這些控制是有效的且受到良好管理的�。大多數(shù)企業(yè)已經(jīng)部署了防火墻、入侵檢測(cè)和預(yù)防系統(tǒng)(IDS/IPS)����、反惡意軟件包和其他控制。它們會(huì)受到定期審計(jì)嗎�����?它們有最新的簽名嗎����?部署一致嗎�?在考慮增加額外的防御層前�����,檢查這些基礎(chǔ)信息���。
其次����,檢查現(xiàn)有的用戶(hù)教育計(jì)劃����。很多APT依賴(lài)于社會(huì)工程學(xué)或者利用用戶(hù)不良的安全習(xí)慣來(lái)攻擊。例如�,專(zhuān)家推論,Stuxnet蠕蟲(chóng)病毒通過(guò)一個(gè)授權(quán)用戶(hù)的閃存驅(qū)動(dòng)器來(lái)侵入伊朗核設(shè)施邊界的控制����。確保最終用戶(hù)明白其在企業(yè)安全保護(hù)中的角色。
使用APT威脅作為催化劑�����,這是評(píng)估現(xiàn)有安全控制和增加必要的額外安全保護(hù)措施的好時(shí)機(jī)�����。在采取這些補(bǔ)救措施后���,考慮向網(wǎng)絡(luò)增加額外防御層���。有三個(gè)特定控制領(lǐng)域值得考慮:
• 如果沒(méi)有部署安全事故和事件管理(SIEM)系統(tǒng),可以利用這次計(jì)劃進(jìn)行部署��。SIEM是對(duì)付APT的有效工具���,因?yàn)檫@個(gè)系統(tǒng)可以從不同來(lái)源收集和關(guān)聯(lián)安全數(shù)據(jù)��。它們可以幫你“海里撈針”�����,找出APT攻擊滲透進(jìn)入網(wǎng)絡(luò)的蹤跡��。
• 數(shù)據(jù)丟失防護(hù)系統(tǒng)是一個(gè)很好的最后防線���,它能夠檢測(cè)和阻止出有人有意或無(wú)意地將敏感信息從網(wǎng)絡(luò)中移除���。
• 最后,內(nèi)容過(guò)濾可以幫助進(jìn)一步防止釣魚(yú)攻擊和其他web與電子郵件威脅���。雖然用戶(hù)教育是防止社會(huì)工程學(xué)的最有效的方式����,但內(nèi)容過(guò)濾可以在用戶(hù)泄露其賬戶(hù)信息前阻止用戶(hù)���。
APT確實(shí)給信息安全帶來(lái)了新的威脅����,但是這種攻擊形式并沒(méi)有改變我們保護(hù)自身所需要采取的安全措施�。我們只需要利用安全專(zhuān)業(yè)人員多年來(lái)追捧的深層防御和分層控制,就能夠有效防止高級(jí)持續(xù)威脅����。
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障��!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
