安全团队如何为高级持续威胁做好准备

日期: 2021-03-14 作者:Daniel Clayton翻译:邹铮 来源:TechTarget中国 英文

当企业CISO和安全团队为2021年及以后制定防御策略时,高级持续威胁(APT)是重要讨论部分,因为与过去相比,现在这种威胁带来更高风险。现在有很多APT团伙,例如Cozy Bear或APT29、Dynamite Panda或者说APT18,这些团伙源自俄罗斯和伊朗等国家,旨在实现具有国家层面意义的目标,例如为政治目的进行间谍活动、盗窃知识产权或破坏基础设施。

APT的共同点是他们具有无限的资源。他们可无限制地获取专业技能、技术、情报和资金,这使得他们所产生的攻击变得更加复杂、难以检测并且更加持续。考虑到这种情况,我们是否可以安全地假设APT仅针对最大的目标,例如政府和跨国公司?事实并不是这样。

构建涵盖APT的安全策略

当任何规模的企业开始制定安全策略时,重要的是回答三个关键问题:

  1. 谁可能会攻击我们,以及为什么?
  2. 他们可能如何攻击我们?
  3. 我们将需要部署哪些技术来缓解这些攻击?

在过去,第一个问题和第二个问题紧密相关,因为这些APT团伙通常有自己的一套策略、技巧和流程。从网络安全的角度来看,了解APT的攻击手法至关重要,这使防御者能够集中资源来构建功能,以抵御他们最容易受到的攻击,这意味着大多数企业(尤其是规模较小的企业)可以相当准确地计算APT风险。然而,在当今的全球经济下,情况已经发生变化。

在民族国家攻击者对大型企业或政府组织发起攻击时,通常会选择小型企业作为滩头阵地。但是,最近发生的数据泄露事故让我们意识到供应链的蔓延和相互联系性质的严重性。谁可能攻击我们、原因和手段之间的关联在很大程度上已被打破。

在2016年末和2017年初,Shadow Brokers团伙在互联网上丢弃了据称是从国家安全局窃取的网络工具。这些工具以及其他类似工具使资源不太丰富的攻击者可以利用以前仅由国家支持的攻击者可以使用的资源和技术。

此外,更令人担忧的是,安全研究人员最近报告了“雇佣黑客”或“APT即服务”类型攻击的示例。卡巴斯基实验室和Bitdefender都最近发布报告称,APT团伙似乎被雇佣作为数字刺客,以对小型商业组织发起攻击,但没有迹象表明这些攻击的目标是在国家层面。这种“雇佣攻击”模型主要出于金钱目的。

了解当前的威胁形势

现在的威胁形势需要各种规模的企业都准备好防御更复杂和持续的攻击。通过了解和整合最佳做法和措施–有关全球最大的组织和政府机构如何保护自己的,任何成熟度水平的网络安全计划都可以从中受益。

下面是需要考虑的事情:

  • 假设攻击会发生。早在2014年,时任联邦调查局局长James Comey说:“美国公司分为两种类型:已经遭受攻击的公司和还不知道的公司。”这个说法在当时可能是正确的,现在更是如此。APT使社会工程学成为一种艺术形式。因此,凭证盗窃与67%的数据泄露事故有关。攻击必然会发生;攻击者会找到入侵网络的方式。请接受现状,假设它会发生,然后去查找。
  • 保持主动,而不是被动。假设攻击会发生意味着我们知道我们的工具将无法阻止每一次攻击。采取被动的姿态并等待工具告诉我们何时采取行动是一种过时的运营模式。主动分析(通常称为网络威胁搜寻)是所有现代安全程序的重要组成部分。威胁搜寻小组执行情境化搜寻,由威胁情报引导并基于数据驱动分析,以根除隐藏的入侵者-搜索和破坏的练习。
  • 快速响应能力。在过去,安全团队对事件进行分级响应。警报会触发调查,然后触发更多的信息收集,这通常需要部署更多的工具,从而触发进一步的监视;然后,开始执行阻止和清除计划。这种方法太慢,并且给精明的攻击者提供时间来了解目标环境,并部署持续性机制,也使抵御工作变得更加困难。有效的安全团队知道在给定情况下需要立即采取行动,包括事件验证和适当的响应,以及哪些领域可以从自动化中受益。
  • 用专业技能对付专业技能。无论技术多么先进,光靠技术,永远无法取代高技能、积极进取和支持的团队所能提供的无形直觉。如果没有训练有素、装备精良且经验丰富的安全分析师来应对APT攻击者,内部安全团队的失败概率会超过成功概率。

了解如何抵御当今的高级持续威胁

当我们看到越来越多的证据表明APT攻击正在逐渐产品化时,可以确定的是,与过去相比,所有企业都可能面临更持续更复杂的攻击。因此,对于安全团队来说,重要的是要认识到,在当今威胁形势下,有效的安全计划需要结合防御技术与24小时连续监控,因为攻击者在多个时区工作。如果安全团队想要成功保护他们其企业,则需要有效和主动的威胁检测,以及一套明确的快速响应措施。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

翻译

邹铮
邹铮

相关推荐

  • 如何删除勒索软件?

    无论受害者是个创企业还是大型跨国公司,勒索软件攻击都可能带来严重影响。当你看到计算机屏幕显示系统遭到破坏或试图 […]

  • SolarWinds供应链攻击目标包括Autodesk

    在去年12月披露的SolarWinds供应链攻击中,Autodesk也是攻击目标,但该公司在最近的10-Q文件 […]

  • 深入了解Fortinet的SASE平台

    随着规模更大、更严重的网络攻击在全球范围内蔓延,很多企业需要为其网络提供强大的安全架构。Fortinet在提供 […]

  • 区块链改进IAM的10种方式

    社会的数字化正在推动身份的数字化。从健康信息到专业认证,对身份信息和凭证的需求都在不断增加,无论是在数量、种类 […]