IT安全威脅越來越大,迫使許多企業只好拼命追趕,以應對最新的安全威脅,這早已不是什么秘密。沒有什么比高級持續性威脅(APT)更讓人憂心忡忡的了,這種比較新的攻擊手段其目的是竊取有價值的信息。
APT的工作原理是,查找網絡安全漏洞,找到漏洞后鉆空子,然后利用該漏洞作為跳板,進而侵入到網絡里面。簡而言之,APT利用多種似乎不相關聯的方法,獲得立足點,進而闖入管理員誤以為很安全的系統。
APT的真正危險來自這個事實:得逞的攻擊常常無人注意,直到信息丟失或其他破壞已造成過去很久后才恍然大悟;這樣一來,查明實際發生的真相和破壞程度變得極其困難。
防范APT與其說是個技術問題,還不如說是個戰術問題:事實證明,采用層次防御這種戰術是可取的策略,可以阻止APT滲透,并通過企業網絡擴散開 來。簡單地說,APT可能只需要一個安全漏洞就能滲入到企業,不過如果能檢測到并阻止攻擊活動,就能規避滲透后造成的大部分危害。
然而,這可能是個艱難的過程,因為許多基于APT的攻擊旨在模仿合法用戶的行為,并通過隱蔽手段收集信息。不過,安全工作重在預防,而不是補救;如 果結合一些最佳實踐,只要做好某些基本安全工作,就算不能防止所有基于APT的攻擊,至少也能防止大多數此類攻擊造成任何破壞:
部署反病毒軟件:保護端點設備遠離惡意軟件是防止攻擊的一個關鍵要素。然而,由于攻擊手段越來越多樣,病毒特 征急劇增多,加上自我變異的病毒不斷演變,傳統的反病毒軟件包可能滿足不了保護的需求。這就是為什么有必要采用多層次、基于威脅的保護體系,這種體系包括 傳統的完全和部分特征匹配,以及識別、阻止和刪除已知惡意軟件和變種的功能。此外,反病毒系統應包括先進的行為分析、漏洞檢測和沙盒機制。這有助于識別、 阻止和刪除隱藏的和未知的惡意軟件。此外,解決方案需要按需深層掃描功能,應該提供具有集中可視性的自動更新。消費級產品往往在這些功能的某個或多個方面 不盡如人意,網絡管理人員應該尋求企業級解決方案,以實現最大程度的保護。
充分利用配置和補丁管理:軟件漏洞繼續層出不窮,每天都在發現新的漏洞,因而連最積極主動的網絡管理人員也很 難將安全補丁工作做得井井有條。這里,自動化變得必不可少,尤其是由于系統越來越復雜,變得更加分散。隨時了解已知漏洞需要經常打補丁,而且要謹慎。漏洞 識別出來與修復漏洞的補丁發布存在一個時間差,攻擊者在打這個時間差。報告表明,90%以上的網絡攻擊鉆了已有相應補丁的已知安全漏洞的空子。配置和補丁 管理系統對任何企業來說已成為必不可少的工具,不過一些系統缺少成功保護所需要的全部功能。解決方案應該提供集中式管理,監控和管理跨平臺系統的功能,以 及為監控的所有系統(包括端點設備、服務器和移動設備)提供基于策略的安全配置。除了所使用的操作系統外,解決方案還應該為第三方應用程序提供全面日志記 錄、報告和支持功能。此外,自動化是任何安全解決方案取得成功的真正關鍵,如果更多的任務能夠自動完成,就能縮短修復漏洞的時間。
設備管理:企業中使用的幾乎任何設備都會成為APT得逞的根源。這些設備種類繁多,既有可移動介質,又有智能 手機,還有便攜計算產品。簡而言之,如果設備能連接到企業,它就有可能成為竊取數據或感染系統的媒介。為了應對與設備有關的威脅,必須建立控制機制,這通 常表現為數據泄漏防護系統。有了該系統,訪問得到控制,所有信息統統加密。解決方案還應該有辦法來監控和限制數據傳輸,以及防止惡意軟件藏在可移動存儲設 備里面混入企業。
應用程序控制:由于基于Web的應用程序、云服務和社交網絡大行其道,用戶啟動外部應用程序、下載信息、啟動 腳本或安裝應用程序變得非常容易――任何這些內容都有可能含有惡意軟件,讓APT越過企業防火墻。安裝支持應用程序白名單(黑名單)功能的Web過濾系 統,可大大有助于防止用戶訪問上面的應用程序或腳本可能傳播惡意軟件或發動攻擊的網站。應用程序白名單最有希望,因為只允許用戶訪問那些已經獲得公司信任 的內容。
部署內存/數據注入預防技術:其中一種最常見的端點漏洞就是緩沖區溢出,即有效載荷“被注入”到系統內存中。 另一種注入手法表現為代碼被注入到數據庫輸入表單(通常被稱為SQL注入),這迫使數據庫服務器返回應加以保護的信息。這兩種攻擊都依賴外部人員能夠借助 復雜手段將代碼注入到系統中。防止這些攻擊通常需要配置安全平臺,以便能夠檢測并防止SQL注入、DLL注入、Skape/JT注入和RMI攻擊。其中一 些功能內置于現有的解決方案中,比如Windows Server和桌面操作系統提供了本地內存安全控制機制,比如DEP(數據執行防護)和ASLR(地址空間布局隨機化)。理想情況下,應部署集中式解決方 案,以便跟蹤那些安全問題,并提供自動響應機制,以修復和保護系統。
對大大小小的企業來說,APT已成為一種嚴重的威脅。不過,合適的策略、最佳實踐和適當的安全產品應該對保護企業系統遠離威脅大有幫助。
京公網安備 11010502049343號