高级持久性威胁(APT)的发起者利用多种意想不到、时间敏感而且各不相同的攻击向量来攻击你的服务器。他们试图长期访问并控制您的IT基础架构,来达到自己的目的。这些是复杂、有针对性的攻击威胁,不光所利用的技术和方法是如此,而且从长期以来人们为控制APT所做的巨大努力中也可见一斑。他们使用的初始攻击向量易于修改而且动态多变,因此很难检测到。他们采用的命令和控制(C&C)方法通常更具有一致性,因此更不易于修改,同时C&C流量可以是APT的有效识别点。在不影响公司正常运转的情况下,抵御所有APT是难度非常大的任务,因此更务实的做法是接受APT风险始终存在这样一个事实,然后在检测到之后快速识别并予以纠正。
在尝试识别、抵御和防止此类攻击威胁时,我们的经验、知识和技术可帮助您做出有效的安全干预决策。如果缺乏对环境、实际网络流量及内容的全面了解,您只能凭空猜测,因此最终的决策可能对,也可能不对。出现APT安全问题时,企业通常会向网络安全运行专业人员施加压力,要求他们快速解释并解决问题。那么,在网络中出现疑似APT安全威胁时,您做出反应的速度有多快?更重要的是,在采取应对措施时,您是否能够确保所采取的措施正确、恰当而有效,进而最大限度地提高成功几率?
首先,让我们想想与安全分析相关的人力要求。负责应对安全事件的人需要使用现有的工具来精确而快速地解释收集到的数据,他们必须全面了解网络拓扑,具有丰富的经验并了解网络事件的背景,这是采取正确措施应对安全事件的基础。要全面测试并记录应用使用网络的方式,最好在逐个交易的基础上了解应用如何在生产网络中运行。对于那些拥有所需资源的人来说,这些条件可通过实时监控参考网络或调试网络达到。在这种方法不实用的情况下,来自生产网络的实际运行数据就是接下来最好的方法,虽然人们认识到生产环境的运行情况更不易于预测。掌握了有关任何网络中连接的真实统计和分析数据之后,就可以更轻松地发现实际数据与标准值的出入。自动化监控工具可帮助发现实际数据与标准值的差别。最后一个问题是要确保为安全团队配备有效的工作流程,这正成为在协作和任务交接过程中,减少人为延误和团队成员间沟通不畅的重要步骤。
接下来,我们需要收集与可疑网络事件相关的证据。捕获到的数据可为您提供有关网络中所发生事件的不可辩驳的有力证据。在关注的事件之前、期间和之后对网络流量进行深入调查分析,可帮助您掌握全面信息,全面了解所发生的情况,使您可以进行正确的干预并增加有效解决问题的概率。根据您网络的大小和可用的资源,捕获流量、编制索引、搜索和调用流量的方法在成本和复杂性方面可能相差很多:从PC上临时部署的简单开源软件到整个网络中分布的高性能、高保真而且能够以10万兆以太网链路带宽持续运行的专用智能网络记录(Intelligent Network Recording)架构。
但是,光靠人的能力和可靠的数据,还不足以提供迅速作出响应所需的全面信息和洞察力。若要正确地解码数据包,并获得可作为行动依据的信息,您还需要适当的分析工具。某些分析和预警工具可独立运行,对于自动运行一些流程非常有用,但只限于以一种方式解释数据,通常依赖攻击特征和分析数据,因此我们有时候不能理所当然地指望用它们捕获所有安全威胁。与此同时,它们可能会针对非安全相关事件和流量发出误报。然而,在帮助企业确保总体安全性方面,他们确实扮演着重要角色,而且可更广泛地检测数量更大、“更易于理解”的安全威胁。然而想想APT,您应该知道它们本身是量身打造的独一无二的威胁,因此光靠自动分析不足以有效解决。因此还需要事后分析工具,帮助安全分析人员处理并重复分析捕获的数据,帮助他们更有信心地做出决策。
一开始,安全团队始终应检查并确认是否配备了适当的工具,可以有效地完成自己的工作。在利用收集的数据包了解所发生的情况,并做出正确的干预操作之前,可利用以下问题来检查您当前的能力水平:
· 捕获与网络中特定事件相关的数据包需要多长时间?
· 我是否掌握了必要的技能来分析这些数据包?
· 我如何对比可能有害的恶意连接和已知的安全连接?
对这些问题的回答将帮助发现您在任何技能、培训和技术能力方面的不足之处。
通过部署专用的在线APT安全设备进行自动APT检测、预警和防护,在保护安全方面扮演着重要角色,而且目前市场上提供了很多不错的选择。然而,面对如此狡猾而且动态多变的威胁时,沉浸在假想的安全性之中是一件很危险的事情。单纯依赖自动分析和响应可能会让您的网络不堪一击。光有APT安全设备还远远不够,只有掌握了有力的证据,掌握了网络中发生的情况、每个数据包通过网络传输的位置、时间及其内容,您才能全面准确地了解网络中所发生的一切。
网络数据包捕获使您可以使用网络数据包检查和可视化技术,获取可作为行动依据的信息,确保正确洞察网络中发生的一切。在应对APT的过程中,有一点弥足珍贵,那就是确保正确了解所要面对的挑战。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
多态防御会是网络攻击防御的未来吗?
多态恶意软件会适应当前环境,逃避安全软件检测,对目标计算机进行攻击。那么我们能利用这种相同的行为用于防御措施吗?
-
企业如何提高数据泄露检测能力?(二)
当涉及数据泄露检测时,有很多原因可能造成企业的失败,这意味着并没有万能解决方案来解决这个问题,企业必须部署各种安全控制。
-
企业如何提高数据泄露检测能力?(一)
多年来,企业已经投入大量资源来购买和部署新的安全产品以防止网络攻击,但却没有对数据泄露检测投资太多。
-
如何简化网络安全:入侵检测蜜罐
入侵检测是一个复杂的业务,无论你是部署一套入侵检测系统(IDS),还是在你的网络上收集和分析计算机及设备日志,识别合法活动中的恶意流量总是既困难又费时。