威脅形勢已不可逆轉(zhuǎn)地改變�。安全專業(yè)人員的主要敵人不再是盯著顯示器尋找容易攻擊的社會青少年,而是試圖挖掘敏感信息的熟練技術人員�。
威脅形勢的轉(zhuǎn)變并不是突然發(fā)生的。在2006年�����,針對TJX公司的高度針對性攻擊導致千百萬人的個人信息泄露��。在2009年�,谷歌、 Juniper和Adobe等公司遭受了極光行動(Operation Aurora)攻擊。接下來的一年����,伊朗政府聲稱美國和以色列對伊朗核計劃發(fā)起了Stuxnet蠕蟲攻擊。次年春天�����,RSA承認其遭受“極其復雜的網(wǎng)絡攻擊”����。
定義和理解有針對性APT攻擊
這些攻擊是現(xiàn)在安全專業(yè)人員面臨的典型攻擊。高級持續(xù)威脅APT是一個“模糊”而富有爭議的術語��,它指的是一種攻擊風格����,而不是任何特定的攻擊技術����。有針對性的APT攻擊是指專業(yè)黑客使用高級攻擊技術發(fā)起的一對一的攻擊。以前的腳本小子(script kiddies)首先會選擇一個漏洞��,然后掃描互聯(lián)網(wǎng)尋找容易攻擊的系統(tǒng)�,而APT攻擊者首先會選定一個目標,通常是政府機構、金融機構�、企業(yè)競爭對手或者其他高價值資產(chǎn),然后再選擇進入的方法����。盡管許多信息安全產(chǎn)業(yè)觀察家因為這樣或那樣的原因不喜歡高級持續(xù)威脅這一說法,但高級持續(xù)威脅已經(jīng)成為定義這種攻擊類型最常見的說法�����。
應對APT需要安全專業(yè)人員展開一種新的思維�。信息安全專業(yè)人員必須假定攻擊者已經(jīng)使用高級攻擊成功地滲透進入了企業(yè)網(wǎng)絡。他們將會利用零日攻擊�����、社會工程學���、釣魚攻擊和其他技術來想盡辦法進入我們的網(wǎng)絡���。一旦他們建立了一個虛擬操作基地,他們就能夠升級他們的特權����,擴大他們的控制范圍����,直到他們找到目標���,即使這需要花上數(shù)周或者幾個月時間����。
加強網(wǎng)絡安全 抵御有針對性APT攻擊
所幸的是���,我們已經(jīng)有一個成熟的戰(zhàn)略來幫助企業(yè)抵御APT�,這個戰(zhàn)略強調(diào)了很多常見的網(wǎng)絡安全最佳做法��。這個通過部署分層控制來實現(xiàn)深度防御網(wǎng)絡安全的方法已經(jīng)經(jīng)過驗證�,它是幫助企業(yè)抵御APT的最佳方法。
首先����,整理網(wǎng)絡中已經(jīng)存在的控制�����,確保這些控制是有效的且受到良好管理的���。大多數(shù)企業(yè)已經(jīng)部署了防火墻�����、入侵檢測和預防系統(tǒng) (IDS/IPS)�、反惡意軟件包和其他控制。它們會受到定期審計嗎?它們有最新的簽名嗎?部署一致嗎?在考慮增加額外的防御層前�����,檢查這些基礎信息����。
其次,檢查現(xiàn)有的用戶教育計劃��。很多APT依賴于社會工程學或者利用用戶不良的安全習慣來攻擊���。例如����,專家推論����,Stuxnet蠕蟲病毒通過一個授權用戶的閃存驅(qū)動器來侵入伊朗核設施邊界的控制���。確保最終用戶明白其在企業(yè)安全保護中的角色。
使用APT威脅作為催化劑��,這是評估現(xiàn)有安全控制和增加必要的額外安全保護措施的好時機�����。在采取這些補救措施后��,考慮向網(wǎng)絡增加額外防御層�����。有三個特定控制領域值得考慮:
• 如果沒有部署安全事故和事件管理(SIEM)系統(tǒng)�����,可以利用這次計劃進行部署����。SIEM是對付APT的有效工具����,因為這個系統(tǒng)可以從不同來源收集和關聯(lián)安全數(shù)據(jù)����。它們可以幫你“海里撈針”��,找出APT攻擊滲透進入網(wǎng)絡的蹤跡�。
• 數(shù)據(jù)丟失防護系統(tǒng)是一個很好的最后防線,它能夠檢測和阻止出有人有意或無意地將敏感信息從網(wǎng)絡中移除���。
• 最后����,內(nèi)容過濾可以幫助進一步防止釣魚攻擊和其他web與電子郵件威脅��。雖然用戶教育是防止社會工程學的最有效的方式���,但內(nèi)容過濾可以在用戶泄露其賬戶信息前阻止用戶�。
APT確實給信息安全帶來了新的威脅��,但是這種攻擊形式并沒有改變我們保護自身所需要采取的安全措施���。我們只需要利用安全專業(yè)人員多年來追捧的深層防御和分層控制�����,就能夠有效防止高級持續(xù)威脅����。
