威胁形势的转变并不是突然发生的。在2006年,针对TJX公司的高度针对性攻击导致千百万人的个人信息泄露。在2009年,谷歌、 Juniper和Adobe等公司遭受了极光行动(Operation Aurora)攻击。接下来的一年,伊朗政府声称美国和以色列对伊朗核计划发起了Stuxnet蠕虫攻击。次年春天,RSA承认其遭受“极其复杂的网络攻击”.
定义和理解有针对性APT攻击
这些攻击是现在安全专业人员面临的典型攻击。高级持续威胁APT是一个“模糊”而富有争议的术语,它指的是一种攻击风格,而不是任何特定的攻击技术。有针对性的APT攻击是指专业黑客使用高级攻击技术发起的一对一的攻击。以前的脚本小子(script kiddies)首先会选择一个漏洞,然后扫描互联网寻找容易攻击的系统,而APT攻击者首先会选定一个目标,通常是政府机构、金融机构、企业竞争对手或者其他高价值资产,然后再选择进入的方法。尽管许多信息安全产业观察家因为这样或那样的原因不喜欢高级持续威胁这一说法,但高级持续威胁已经成为定义这种攻击类型最常见的说法。
应对APT需要安全专业人员展开一种新的思维。信息安全专业人员必须假定攻击者已经使用高级攻击成功地渗透进入了企业网络。他们将会利用零日攻击、社会工程学、钓鱼攻击和其他技术来想尽办法进入我们的网络。一旦他们建立了一个虚拟操作基地,他们就能够升级他们的特权,扩大他们的控制范围,直到他们找到目标,即使这需要花上数周或者几个月时间。
加强网络安全 抵御有针对性APT攻击
所幸的是,我们已经有一个成熟的战略来帮助企业抵御APT,这个战略强调了很多常见的网络安全最佳做法。这个通过部署分层控制来实现深度防御网络安全的方法已经经过验证,它是帮助企业抵御APT的最佳方法。
首先,整理网络中已经存在的控制,确保这些控制是有效的且受到良好管理的。大多数企业已经部署了防火墙、入侵检测和预防系统 (IDS/IPS)、反恶意软件包和其他控制。它们会受到定期审计吗?它们有最新的签名吗?部署一致吗?在考虑增加额外的防御层前,检查这些基础信息。
其次,检查现有的用户教育计划。很多APT依赖于社会工程学或者利用用户不良的安全习惯来攻击。例如,专家推论,Stuxnet蠕虫病毒通过一个授权用户的闪存驱动器来侵入伊朗核设施边界的控制。确保最终用户明白其在企业安全保护中的角色。
使用APT威胁作为催化剂,这是评估现有安全控制和增加必要的额外安全保护措施的好时机。在采取这些补救措施后,考虑向网络增加额外防御层。有三个特定控制领域值得考虑:
如果没有部署安全事故和事件管理(SIEM)系统,可以利用这次计划进行部署。SIEM是对付APT的有效工具,因为这个系统可以从不同来源收集和关联安全数据。它们可以帮你“海里捞针”,找出APT攻击渗透进入网络的踪迹。
数据丢失防护系统是一个很好的最后防线,它能够检测和阻止出有人有意或无意地将敏感信息从网络中移除。
最后,内容过滤可以帮助进一步防止钓鱼攻击和其他web与电子邮件威胁。虽然用户教育是防止社会工程学的最有效的方式,但内容过滤可以在用户泄露其账户信息前阻止用户。
APT确实给信息安全带来了新的威胁,但是这种攻击形式并没有改变我们保护自身所需要采取的安全措施。我们只需要利用安全专业人员多年来追捧的深层防御和分层控制,就能够有效防止高级持续威胁。