威胁形势已不可逆转地改变。安全专业人员的主要敌人不再是盯着显示器寻找容易攻击的社会青少年,而是试图挖掘敏感信息的熟练技术人员。 定义和理解有针对性APT攻击 这些攻击是现在安全专业人员面临的典型攻击。高级持续威胁APT是一个“模糊”而富有争议的术语,它指的是一种攻击风格,而不是任何特定的攻击技术。
有针对性的APT攻击是指专业黑客使用高级攻击技术发起的一对一的攻击。以前的脚本小子(script kiddies)首先会选择一个漏洞,然后扫描互联网寻找容易攻击的系统,而APT攻击者首先会选定一个目标,通常是政府机构、金融机构、企业竞争对手或者其他高价值资产,然后再选择进入的方法。尽管许多信息……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
威胁形势已不可逆转地改变。安全专业人员的主要敌人不再是盯着显示器寻找容易攻击的社会青少年,而是试图挖掘敏感信息的熟练技术人员。
定义和理解有针对性APT攻击
这些攻击是现在安全专业人员面临的典型攻击。高级持续威胁APT是一个“模糊”而富有争议的术语,它指的是一种攻击风格,而不是任何特定的攻击技术。有针对性的APT攻击是指专业黑客使用高级攻击技术发起的一对一的攻击。以前的脚本小子(script kiddies)首先会选择一个漏洞,然后扫描互联网寻找容易攻击的系统,而APT攻击者首先会选定一个目标,通常是政府机构、金融机构、企业竞争对手或者其他高价值资产,然后再选择进入的方法。尽管许多信息安全产业观察家因为这样或那样的原因不喜欢高级持续威胁这一说法,但高级持续威胁已经成为定义这种攻击类型最常见的说法。
应对APT需要安全专业人员展开一种新的思维。信息安全专业人员必须假定攻击者已经使用高级攻击成功地渗透进入了企业网络。他们将会利用零日攻击、社会工程学、钓鱼攻击和其他技术来想尽办法进入我们的网络。一旦他们建立了一个虚拟操作基地,他们就能够升级他们的特权,扩大他们的控制范围,直到他们找到目标,即使这需要花上数周或者几个月时间。
加强网络安全 抵御有针对性APT攻击
所幸的是,我们已经有一个成熟的战略来帮助企业抵御APT,这个战略强调了很多常见的网络安全最佳做法。这个通过部署分层控制来实现深度防御网络安全的方法已经经过验证,它是帮助企业抵御APT的最佳方法。
首先,整理网络中已经存在的控制,确保这些控制是有效的且受到良好管理的。大多数企业已经部署了防火墙、入侵检测和预防系统(IDS/IPS)、反恶意软件包和其他控制。它们会受到定期审计吗?它们有最新的签名吗?部署一致吗?在考虑增加额外的防御层前,检查这些基础信息。
其次,检查现有的用户教育计划。很多APT依赖于社会工程学或者利用用户不良的安全习惯来攻击。例如,专家推论,Stuxnet蠕虫病毒通过一个授权用户的闪存驱动器来侵入伊朗核设施边界的控制。确保最终用户明白其在企业安全保护中的角色。
使用APT威胁作为催化剂,这是评估现有安全控制和增加必要的额外安全保护措施的好时机。在采取这些补救措施后,考虑向网络增加额外防御层。有三个特定控制领域值得考虑:
• 如果没有部署安全事故和事件管理(SIEM)系统,可以利用这次计划进行部署。SIEM是对付APT的有效工具,因为这个系统可以从不同来源收集和关联安全数据。它们可以帮你“海里捞针”,找出APT攻击渗透进入网络的踪迹。
• 数据丢失防护系统是一个很好的最后防线,它能够检测和阻止出有人有意或无意地将敏感信息从网络中移除。
• 最后,内容过滤可以帮助进一步防止钓鱼攻击和其他web与电子邮件威胁。虽然用户教育是防止社会工程学的最有效的方式,但内容过滤可以在用户泄露其账户信息前阻止用户。
APT确实给信息安全带来了新的威胁,但是这种攻击形式并没有改变我们保护自身所需要采取的安全措施。我们只需要利用安全专业人员多年来追捧的深层防御和分层控制,就能够有效防止高级持续威胁。
作者
Mike Chapple, CISSP,University of Notre Dame的IT安全专家。他曾担任国家安全局和美国空军的信息安全研究员。Mike经常为SearchSecurity.com撰稿,是《信息安全》杂志的技术编辑。
翻译
相关推荐
-
亚信安全网络安全威胁报告:APT攻击不断,金融业成威胁重灾区
近日,亚信安全发布《2016年第三季度网络安全威胁报告》,报告显示APT攻击在本季度持续活跃,特别是Rotten Tomato APT组织瞄准企业用户以窃取机密信息。
-
APT团伙是如何利用Windows热修复的?
高级持续性威胁(APT)团伙Platinum一直滥用Windows的热修复功能来攻击南亚和东南亚的政府组织和机构。这个APT团伙利用这个功能(Windows Server 2003中推出)将恶意代码注入到正在运行的进程中。那么,这些热修复攻击的工作原理是什么,我们应该如何应对?
-
C3峰会后续:APT成头号网络安全杀手 威胁取证难怎么破?
APT攻击是长期的。相应地,对抗也是持久之事。而在这个持续的对抗过程中,就需要综合多种技术和解决方案对APT做侦测、分析及进一步防治,而对于高级威胁取证难题,关联的智能则是其核心所在。
-
安全防御:数据与情报需唯“真”是问
如今已经是动态安全时代,传统设备和方案都是静态的,很难对抗持续变化和升级的攻击手段。威胁情报正好是以动态的手段来对抗攻击者……