APT攻击防护方案:弥补短板 加固环境

M女士对那块保存了几乎所有在全球恐怖组织内卧底的北约特工身份名单的硬盘抱有势在必得的决心,这种东西绝对不能落在敌人的手里。为了夺回它,在邦德和敌人混战的过程当中,M女人下达了对敌人开枪的命令,但是很不幸邦德被误伤,敌人带着硬盘逃跑了。

三个月后,敌人带着破解的硬盘数据入侵了军情六处,炫耀性的引爆了一幢楼顶。

M做错了什么导致事态发展到现在这种状况?

APT攻击防护:弥补短板 加固环境

发现被攻击需要壮士断腕

在发现重要数据即将丢失,M很果断的下达了开枪的命令,但是注水的枪手让观众失望了。这就造成了好的坏的"数据"都被污染了。但是不管怎么说,这里所采取的手段无疑是正确的,在我们发现自己的敏感服务器被入侵后,要及时的物理隔离该机器,然后认真的对该服务器进行病毒和入侵检查。排查问题的原因所在,因为这个阶段往往已经发生了一些损失(如果没有损失那么一般我们也不会去管你住),所以如何让这种损失不扩散就成了重中之重。

木桶理论

"网络安全"就像一个木桶,安全与否不在于防护的最强健的部分,而在于防护最弱的短板。短板一旦被入侵,后果不堪设想。我们也许花了大价钱购买了防火墙、防水墙、也做了数据防泄密(DLP),但最终数据还是遗失了,这是为何?也许一封没有被过滤的病毒邮件、一个没有受控的优盘,都是万里长城毁于一旦的蚁穴。从以往来看,真正被入侵的计算机用户,很少是专业的安全运维人事,这部分人事都是相对难啃的骨头;真正被入侵的用户往往都是位高权重且缺少安全意识的高级管理人员。而这部分人的失误,却需要专业的安全运维人员买单。就像M女士的位于军情六处的计算机被入侵一样,位高权重人士的信息丢失似乎更加难以让人接受。

加固环境,双因素认证

M的例子无疑是一个反面教材,那么我们应该如何做,以应对这种APT(高级持续性威胁)呢?首先要做的就是加强短板防护,对"位高权重"但是缺少安全意识的用户我们应该进行一个简短却有力的分享,把它们账号失窃的损失进行严峻的剖析。

不过这种言语上的教育有时候只剩下"教育意义"了,我们首先要弥补的是"弱点A",移动用户通过互联网接入到私密网络时的身份验证问题,那么采用"双因素认证"无疑是一个不错的解决方案。什么是双因素认证呢?简单来说,双因素身份认证就是通过你"所知道"再加上你"所能拥有"的这二个要素组合到一起才能发挥作用的身份认证系统。例如,在ATM上取款的银行卡就是一个双因素认证机制的例子,需要知道取款密码和银行卡这二个要素结合才能使用。在安全行业,我们一般把这种"所知所持"换成一个牢记于心的密码和一个USB加密狗,当然也有高级一点的使用动态口令牌,但是技术原理都是一样的。保证一个"所知",一个" 所持"。如果把密码告破当做敌人中了500万,那么这个USB加密狗或者动态令牌就相当于敌人要连续中两次500万才能成功入侵,这样无形的提升了入侵的难度,同时使用难度也没有明显提升,对"位高权重"人士来说,应该很容易接受吧?

加固环境,苛刻网络限制

对于信息泄密来说,很多时候用户被入侵是后知后觉,发现之后往往意味着信息已经被大量泄露。那么在网络层面,其实我们也有很多好方法。比如使用简单的ACL(访问控制列表)就可以到一定的防护效果。骇客在成功进入系统后,总是需要将有用的信息发送到它自己的服务器上。那么假设我们的工作环境不允许访问除了baidu.com/workspace.com这种公信的网站之外的地址。那么即使骇客能力再大,也无法跳出这种网络层面的限制。一个访问条件苛刻的互联网环境尽管有那么点影响用户最终使用,但相信我们总能够找到安全和便捷性的一个平衡点,以达到有效应对网络攻击的效果。

加固环境,"硬"碰"硬"

敌人科技装备优良,我们自然也不能示弱。在"弱点B",我们可以对网络设备尽可能的采用性能和功能强大的设备。尽管从历史上来看,被恶意和垃圾电子邮件中附带的恶意链接攻击成功的用户占多数,但我们依然可以通过购买较为高级的邮件防火墙来降低这种可能性。如果这种恶意垃圾邮件无法被过滤,那我们可以提交这份邮件给厂商,以寻求更准确的垃圾邮件分类和筛选。这种方法可以有效保障用户的访问习惯,在用户不知不觉中进行过滤和保护。

不同于邮件防火墙,我们也可以考虑WEB过滤防火墙,对恶意的网址进行有效的筛选和过滤,同样,作为和邮件系统一样占据了大家生活中很大一部分比率的WEB访问,如果保护好了它,那么多数情况下我们的数据安全也就得到了有效的保障。

加固环境,注重人为因素

非常无奈的是,很多时候的泄密,并不是技术不过关造成的,而是在于使用人员的不在乎、不作为导致重大损失。"弱点C"正是这样一种情况,由于人的因素,我们的需要对人员管理付出更大的努力。加强平日里的安全意识,对欺诈邮件、欺诈电话以及网站的恶意链接等等,进行普及和持续性的介绍。

总结

我们总结一下在发现APT之后的行为:首先找出有问题的服务器,将它"区别对待";弥补短板,反思错误;加固环境,考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。