加強(qiáng)網(wǎng)絡(luò)安全 抵御有針對性APT攻擊

　　定義和理解有針對性APT攻擊

　　這些攻擊是現(xiàn)在安全專業(yè)人員面臨的典型攻擊。高級持續(xù)威脅APT是一個(gè)“模糊”而富有爭議的術(shù)語，它指的是一種攻擊風(fēng)格，而不是任何特定的攻擊技術(shù)。有針對性的APT攻擊是指專業(yè)黑客使用高級攻擊技術(shù)發(fā)起的一對一的攻擊。以前的腳本小子(script kiddies)首先會選擇一個(gè)漏洞，然后掃描互聯(lián)網(wǎng)尋找容易攻擊的系統(tǒng)，而APT攻擊者首先會選定一個(gè)目標(biāo)，通常是政府機(jī)構(gòu)、金融機(jī)構(gòu)、企業(yè)競爭對手或者其他高價(jià)值資產(chǎn)，然后再選擇進(jìn)入的方法。盡管許多信息安全產(chǎn)業(yè)觀察家因?yàn)檫@樣或那樣的原因不喜歡高級持續(xù)威脅這一說法，但高級持續(xù)威脅已經(jīng)成為定義這種攻擊類型最常見的說法。

　　應(yīng)對APT需要安全專業(yè)人員展開一種新的思維。信息安全專業(yè)人員必須假定攻擊者已經(jīng)使用高級攻擊成功地滲透進(jìn)入了企業(yè)網(wǎng)絡(luò)。他們將會利用零日攻擊、社會工程學(xué)、釣魚攻擊和其他技術(shù)來想盡辦法進(jìn)入我們的網(wǎng)絡(luò)。一旦他們建立了一個(gè)虛擬操作基地，他們就能夠升級他們的特權(quán)，擴(kuò)大他們的控制范圍，直到他們找到目標(biāo)，即使這需要花上數(shù)周或者幾個(gè)月時(shí)間。

　　加強(qiáng)網(wǎng)絡(luò)安全 抵御有針對性APT攻擊

　　所幸的是，我們已經(jīng)有一個(gè)成熟的戰(zhàn)略來幫助企業(yè)抵御APT，這個(gè)戰(zhàn)略強(qiáng)調(diào)了很多常見的網(wǎng)絡(luò)安全最佳做法。這個(gè)通過部署分層控制來實(shí)現(xiàn)深度防御網(wǎng)絡(luò)安全的方法已經(jīng)經(jīng)過驗(yàn)證，它是幫助企業(yè)抵御APT的最佳方法。

　　首先，整理網(wǎng)絡(luò)中已經(jīng)存在的控制，確保這些控制是有效的且受到良好管理的。大多數(shù)企業(yè)已經(jīng)部署了防火墻、入侵檢測和預(yù)防系統(tǒng)(IDS/IPS)、反惡意軟件包和其他控制。它們會受到定期審計(jì)嗎？它們有最新的簽名嗎？部署一致嗎？在考慮增加額外的防御層前，檢查這些基礎(chǔ)信息。

　　其次，檢查現(xiàn)有的用戶教育計(jì)劃。很多APT依賴于社會工程學(xué)或者利用用戶不良的安全習(xí)慣來攻擊。例如，專家推論，Stuxnet蠕蟲病毒通過一個(gè)授權(quán)用戶的閃存驅(qū)動(dòng)器來侵入伊朗核設(shè)施邊界的控制。確保最終用戶明白其在企業(yè)安全保護(hù)中的角色。

　　使用APT威脅作為催化劑，這是評估現(xiàn)有安全控制和增加必要的額外安全保護(hù)措施的好時(shí)機(jī)。在采取這些補(bǔ)救措施后，考慮向網(wǎng)絡(luò)增加額外防御層。有三個(gè)特定控制領(lǐng)域值得考慮：

　　• 如果沒有部署安全事故和事件管理(SIEM)系統(tǒng)，可以利用這次計(jì)劃進(jìn)行部署。SIEM是對付APT的有效工具，因?yàn)檫@個(gè)系統(tǒng)可以從不同來源收集和關(guān)聯(lián)安全數(shù)據(jù)。它們可以幫你“海里撈針”，找出APT攻擊滲透進(jìn)入網(wǎng)絡(luò)的蹤跡。

　　• 數(shù)據(jù)丟失防護(hù)系統(tǒng)是一個(gè)很好的最后防線，它能夠檢測和阻止出有人有意或無意地將敏感信息從網(wǎng)絡(luò)中移除。

　　• 最后，內(nèi)容過濾可以幫助進(jìn)一步防止釣魚攻擊和其他web與電子郵件威脅。雖然用戶教育是防止社會工程學(xué)的最有效的方式，但內(nèi)容過濾可以在用戶泄露其賬戶信息前阻止用戶。

　　APT確實(shí)給信息安全帶來了新的威脅，但是這種攻擊形式并沒有改變我們保護(hù)自身所需要采取的安全措施。我們只需要利用安全專業(yè)人員多年來追捧的深層防御和分層控制，就能夠有效防止高級持續(xù)威脅。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]