APT极其狡猾、隐匿,这预示着机构很可能在几个月内持续遭受入侵,却浑然不知。如果出现这种受到攻击者数月隐匿攻击,自己却蒙在鼓里的情况,该如何应对呢?
如何防范 APT?
防范是理想举措,而检测则是必要的。多数机构仅仅重视防范措施,对于 APT 而言,它是伪装成合法流量侵入网络的,很难加以分辨,因此防范效果甚微。只有攻击数据包进入网络内部,破坏和攻击才开始实施。
针对 APT这种新的攻击媒介,以下是防范此类威胁的必要措施:
1)控制用户并增强安全意识 — 一条通用法则是:你不能阻止愚蠢行为发生,但你可以对其加以控制。许多威胁通过引诱用户点击他们不应理会的链接侵入网络。限制没有经过适当培训的用户使用相关功能能够降低整体安全风险,这是一项需要长期坚持的措施。
2)对行为进行信誉评级 — 传统安全解决方案采用的是判断行为“好”或“坏”、进而“允许”或“拦截”之类的策略。不过,随着高级攻击日益增多,这种分类方法已不足以应对威胁。许多攻击在开始时伪装成合法流量进入网络,得逞后再实施破坏。由于攻击者的目标是先混入系统,因此,需要对行为进行跟踪,并对行为进行信誉评级,以确定其是否合法。
3)重视传出流量 — 传入流量通常被用于防止和拦截攻击者进入网络。毋庸置疑,这对于截获某些攻击还是有效的,而对于 APT,传出流量则更具危险性。如果意在拦截数据和信息的外泄,监控传出流量是检测异常行为的有效途径。
4)了解不断变化的威胁 — 对于您不了解的东西很难做到真正有效的防范。因此,有效防范的唯一途径是对攻击威胁有深入了解,做到知己知彼。如果组织不能持续了解攻击者采用的新技术和新伎俩,将不能做到根据威胁状况有效调整防范措施。
5)管理终端 — 攻击者可能只是将侵入网络作为一个切入点,他们的最终目的是要窃取终端中保存的信息和数据。要有效控制风险,控制和锁定终端将是一项长期有效的机构安全保护措施。
如今的威胁更加高级、更具持续性、更加隐匿,同时主要以数据为目标,因此,机构必须部署有效的防护措施加以应对。
总结
确保机构得到适当保护的有效方法是运行模拟攻击(例如,入侵测试、红队和伦理黑客攻击),以了解组织的漏洞状况。最为重要的是,如何快速检测漏洞。确保成功的关键要素是:
1) 切记一定获得明确批准
2) 确保执行测试的人员具备等同于真正黑客的专业技术水平
3) 运行良性攻击
4) 及时修复漏洞
好消息是通过了解威胁和机构的漏洞情况,用户将能够有效抵御APT。
今后一段时期,APT将会越来越频繁的出现。忽视这一问题意味着您的机构将面临着威胁破坏的风险。应对APT的核心要务是要“了解系统/网络”。越了解网络流量和服务,越能更好的确定/识别异常行为,进而能更好的防范APT。
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点