如何有效防范高级持续性威胁
至顶网 发表于:12年07月17日 10:42 [转载] DOIT.com.cn
取决于所询问对象的不同,高级持续性威胁(APT)或者被认为属于让首席安全官们晚上都彻夜难眠的噩梦般场景,或仅仅只是安全营销方面的最新宣传口号。因此,我们现在要做的就是全面了解一下APT的真实面目,以及什么样的安全系统可以实现有效防范。
APT的定义
自从媒体开始使用APT一词之后,市面上就出现了无数种定义。某种程度上来说,美国国家标准及技术研究所给出的定义应该属于最客观的类型。它是这么描述的:
它来自于一名具备非常先进的专业技术并拥有大量资源的对手。采取的方法是利用多种类型的攻击(举例来说,网络、物理以及欺诈等)创造出各种机会来完成既定的攻击任务。通常情况下,这里所涉及的范围将包含有目标组织内部的信息技术基础设施,进攻的方式可能是利用潜入信息来建立并扩展立足点,以达到破坏或者阻碍组织、项目或者任务重要部分工作的目标;或者将自身隐藏起来以便在未来的时间可以完成既定任务。高级持续性威胁的基本特征是:(一)能够针对同一目标进行长时间的反复攻击;(二)可以承受防御者的极力抵抗;(三)在达到既定目标之前,进行攻击的能力不会降低。
该定义澄清了一种对于APT的常见误解。这就是,有些时间,它们会被当作零日漏洞之类的纯技术问题。所谓的APT,就是针对明确目标的攻击,涉及的范围可以包含简单的社会化工程到极其复杂的恶意软件。为了达到既定目标,采取的手段可以达到无所不用其极的地步。这与利用大型自动化工具来寻找可能存在潜在机会目标的普通攻击者形成了非常鲜明的对比。
它的另一项明显特征就是可以用于攻击的资源数量极多,这也是导致APT经常会被认为属于国家支持的原因之一。这种关联会还导致了一种APT只能由外国政府发起的误解出现;但实际上,很多组织都会选择资助攻击者的活动,从希望进行工业间谍活动的公司到有组织犯罪团伙在内都属于可能的后台。
APT的防御
面对攻击者虎视眈眈所带来的严重威胁,我们应当采取哪些措施来防范APT呢?首先,在选择出可以防范这类威胁的可信防御措施之前,我们需要对相关的基本常识有所了解。威瑞森最新发布的数据泄露调查报告中的数据显示,所有违规行为中有96%都属于非常简单的情况,是由于基本安全措施不到位造成的。因此,对于公司组织来说,完善的密码与验证策略、补丁管理工具、切实有效的防火墙与IDS配置以及记录审查工具这些基本安全措施应当成为必备的选择。
第二步要做的工作就是对于安全方面的既有认识进行放大处理。由于这种类型攻击者的目标是寻找最宝贵的信息资产,因此,我们就需要掌握这些信息究竟是什么,都处于什么位置,哪些人有权进行访问,为什么需要以及什么时间进行访问。在回答这些问题的同时,我们就可以对基础设施中需要重点关注的最关键部分产生更清晰的认识。而这反过来又可以为我们在进行日志异常审核时确定出真正的搜索重点来,并能够在事故发生时为采取正确的紧急处理措施提供助力。
此外,还有一项需要重点关注的工作就是认识到用户对于组织信息资产保护的真正重要性所在。实际上,我们已经听说过数起APT利用社会化工程攻击用户的案例。毕竟,对于任何公司来说,用户安全方面的意识都应当属于相关信息安全战略中的关键要素。