現(xiàn)如今,IT安全威脅越來越大,迫使許多企業(yè)只好拼命追趕,以應(yīng)對最新的安全威脅,這早已不是什么秘密。沒有什么比高級持續(xù)性威脅(APT)更讓人憂心忡忡的了,這種比較新的攻擊手段其目的是竊取有價值的信息。
APT的工作原理是,查找網(wǎng)絡(luò)安全漏洞,找到漏洞后鉆空子,然后利用該漏洞作為跳板,進(jìn)而侵入到網(wǎng)絡(luò)里面。簡而言之,APT利用多種似乎不相關(guān)聯(lián)的方法,獲得立足點,進(jìn)而闖入管理員誤以為很安全的系統(tǒng)。
APT的真正危險來自這個事實:得逞的攻擊常常無人注意,直到信息丟失或其他破壞已造成過去很久后才恍然大悟;這樣一來,查明實際發(fā)生的真相和破壞程度變得極其困難。
防范APT與其說是個技術(shù)問題,還不如說是個戰(zhàn)術(shù)問題:事實證明,采用層次防御這種戰(zhàn)術(shù)是可取的策略,可以阻止APT滲透,并通過企業(yè)網(wǎng)絡(luò)擴(kuò)散開 來。簡單地說,APT可能只需要一個安全漏洞就能滲入到企業(yè),不過如果能檢測到并阻止攻擊活動,就能規(guī)避滲透后造成的大部分危害。
然而,這可能是個艱難的過程,因為許多基于APT的攻擊旨在模仿合法用戶的行為,并通過隱蔽手段收集信息。不過,安全工作重在預(yù)防,而不是補救;如 果結(jié)合一些最佳實踐,只要做好某些基本安全工作,就算不能防止所有基于APT的攻擊,至少也能防止大多數(shù)此類攻擊造成任何破壞:
部署反病毒軟件:保護(hù)端點設(shè)備遠(yuǎn)離惡意軟件是防止攻擊的一個關(guān)鍵要素。然而,由于攻擊手段越來越多樣,病毒特 征急劇增多,加上自我變異的病毒不斷演變,傳統(tǒng)的反病毒軟件包可能滿足不了保護(hù)的需求。這就是為什么有必要采用多層次、基于威脅的保護(hù)體系,這種體系包括傳統(tǒng)的完全和部分特征匹配,以及識別、阻止和刪除已知惡意軟件和變種的功能。此外,反病毒系統(tǒng)應(yīng)包括先進(jìn)的行為分析、漏洞檢測和沙盒機制。這有助于識別、 阻止和刪除隱藏的和未知的惡意軟件。此外,解決方案需要按需深層掃描功能,應(yīng)該提供具有集中可視性的自動更新。消費級產(chǎn)品往往在這些功能的某個或多個方面不盡如人意,網(wǎng)絡(luò)管理人員應(yīng)該尋求企業(yè)級解決方案,以實現(xiàn)最大程度的保護(hù)。
充分利用配置和補丁管理:軟件漏洞繼續(xù)層出不窮,每天都在發(fā)現(xiàn)新的漏洞,因而連最積極主動的網(wǎng)絡(luò)管理人員也很 難將安全補丁工作做得井井有條。這里,自動化變得必不可少,尤其是由于系統(tǒng)越來越復(fù)雜,變得更加分散。隨時了解已知漏洞需要經(jīng)常打補丁,而且要謹(jǐn)慎。漏洞識別出來與修復(fù)漏洞的補丁發(fā)布存在一個時間差,攻擊者在打這個時間差。報告表明,90%以上的網(wǎng)絡(luò)攻擊鉆了已有相應(yīng)補丁的已知安全漏洞的空子。配置和補丁管理系統(tǒng)對任何企業(yè)來說已成為必不可少的工具,不過一些系統(tǒng)缺少成功保護(hù)所需要的全部功能。解決方案應(yīng)該提供集中式管理,監(jiān)控和管理跨平臺系統(tǒng)的功能,以 及為監(jiān)控的所有系統(tǒng)(包括端點設(shè)備、服務(wù)器和移動設(shè)備)提供基于策略的安全配置。除了所使用的操作系統(tǒng)外,解決方案還應(yīng)該為第三方應(yīng)用程序提供全面日志記錄、報告和支持功能。此外,自動化是任何安全解決方案取得成功的真正關(guān)鍵,如果更多的任務(wù)能夠自動完成,就能縮短修復(fù)漏洞的時間。
設(shè)備管理:企業(yè)中使用的幾乎任何設(shè)備都會成為APT得逞的根源。這些設(shè)備種類繁多,既有可移動介質(zhì),又有智能手機,還有便攜計算產(chǎn)品。簡而言之,如果設(shè)備能連接到企業(yè),它就有可能成為竊取數(shù)據(jù)或感染系統(tǒng)的媒介。為了應(yīng)對與設(shè)備有關(guān)的威脅,必須建立控制機制,這通 常表現(xiàn)為數(shù)據(jù)泄漏防護(hù)系統(tǒng)。有了該系統(tǒng),訪問得到控制,所有信息統(tǒng)統(tǒng)加密。解決方案還應(yīng)該有辦法來監(jiān)控和限制數(shù)據(jù)傳輸,以及防止惡意軟件藏在可移動存儲設(shè)備里面混入企業(yè)。
應(yīng)用程序控制:由于基于Web的應(yīng)用程序、云服務(wù)和社交網(wǎng)絡(luò)大行其道,用戶啟動外部應(yīng)用程序、下載信息、啟動腳本或安裝應(yīng)用程序變得非常容易――任何這些內(nèi)容都有可能含有惡意軟件,讓APT越過企業(yè)防火墻。安裝支持應(yīng)用程序白名單(黑名單)功能的Web過濾系統(tǒng),可大大有助于防止用戶訪問上面的應(yīng)用程序或腳本可能傳播惡意軟件或發(fā)動攻擊的網(wǎng)站。應(yīng)用程序白名單最有希望,因為只允許用戶訪問那些已經(jīng)獲得公司信任 的內(nèi)容。
部署內(nèi)存/數(shù)據(jù)注入預(yù)防技術(shù):其中一種最常見的端點漏洞就是緩沖區(qū)溢出,即有效載荷“被注入”到系統(tǒng)內(nèi)存中。另一種注入手法表現(xiàn)為代碼被注入到數(shù)據(jù)庫輸入表單(通常被稱為SQL注入),這迫使數(shù)據(jù)庫服務(wù)器返回應(yīng)加以保護(hù)的信息。這兩種攻擊都依賴外部人員能夠借助 復(fù)雜手段將代碼注入到系統(tǒng)中。防止這些攻擊通常需要配置安全平臺,以便能夠檢測并防止SQL注入、DLL注入、Skape/JT注入和RMI攻擊。其中一 些功能內(nèi)置于現(xiàn)有的解決方案中,比如Windows Server和桌面操作系統(tǒng)提供了本地內(nèi)存安全控制機制,比如DEP(數(shù)據(jù)執(zhí)行防護(hù))和ASLR(地址空間布局隨機化)。理想情況下,應(yīng)部署集中式解決方 案,以便跟蹤那些安全問題,并提供自動響應(yīng)機制,以修復(fù)和保護(hù)系統(tǒng)。
D1Net評論:
總而言之,對大大小小的企業(yè)來說,APT已成為一種嚴(yán)重的威脅。不過,合適的策略、最佳實踐和適當(dāng)?shù)陌踩a(chǎn)品應(yīng)該對保護(hù)企業(yè)系統(tǒng)遠(yuǎn)離威脅大有幫助,讓APT威脅消失于無形。
京公網(wǎng)安備 11010502049343號