他指出,首先了解自己的網絡、技術、設備等等,因為黑客可能比網絡設計、開發人員更了解網絡。企業制定程序評估將要使用的服務和安裝的服務,應鎖定或禁用未使用的服務。從而減少攻擊面。例如企業應了解網絡的曝光面積,組建“紅隊”尋找網絡中的問題、風險和漏洞,引入滲透測試人員,仔細檢查、鉆研網絡。切勿低估任何漏洞或問題,因為對國家支持型黑客而言,就算是一個小的漏洞,他們也會仔細鉆研,企圖通過小小的漏洞找到突破口進入網絡。他指出,國家黑客會等待機會趁虛而入,因為他們一直在鉆研,一直在等待機會,因此, 企業切勿掉以輕心。
此外,他還提出,企業應找出網絡邊界,應思考引入設備的趨勢,例如物聯網、在家辦公訪問網絡,這會導致出現互聯因素存在各種不同的管理控制,因此,要考慮信任區,例如云計算可能會成為風險或帶來不利因素。當黑客進入網絡之后就會開始進行初步利用,例如魚叉式網絡釣魚,“水坑式”攻擊,利用已知CVE,SQL注入等。國家支持型攻擊者利用的媒介相當多,包括電子郵件、網站、可刪除媒體等,,因此,對員工的安全教育遠遠不夠,他建議使用反漏洞利用(Anti-Exploitation)功能,例如微軟的EMET(NSA內部推薦使用),利用軟件改進優勢(及時了解更新、補丁,后臺活動等),使用Secure Host Baseline(安全配置基線,例如Host緩解計劃,IED產品)等。
喬伊斯提出以下具體措施來應對國家支持型黑客的網絡攻擊:
1.保護并監控登錄憑證訪問登錄憑證是網絡間諜實施網絡釣魚活動和嗅探網絡的關鍵。保護并監控登錄憑證訪問尤為重要,最佳防御保護措施如下:
啟動雙因素認證,使登錄憑證竊取難上加難。
監控用戶,并檢查異常行為。
設置特定操作訪問網絡。
盡量將特權賬戶數量控制在最小范圍內。僅為特定用于提供必要的特權。這些賬戶一旦被惡意利用,將會釀成大規模入侵。
避免硬編碼管理員和系統登錄憑證。雖然大多數現代協議不會以明文形式移交登錄憑證,因此,國家攻擊者正在尋找舊協議。企業必須尋找這些老舊協議,將其從自己的網絡剔除,此外,應確保賬號和密碼不以明文形式體現,不要登錄某個賬號訪問其它服務執行其他活動。
2 啟用并查看日志如果網絡發生入侵事件,事件響應小組進入網絡后發現日志。如果能獲取日志,就能對發生的事了如指掌。應啟用這些日志,并進行查看。
日志是關鍵,可以幫助企業理解是否遇到問題,是否有某人試圖闖入網絡,并制造麻煩。
3使用信譽服務測試軟件想在目標設備執行操作的一款軟件經過哈希處理,并存在云端,信譽服務將確定軟件安全與否。
4 使用信譽服務測試域名大多數黑客工具一旦激活,便會企圖與域名通信,與自己的服務器通信,返回成功入侵的喜訊,或帶回數據。
但是,如果企業網絡在流量進入之前檢測并測試域名,阻止黑客工具將通信返回服務器的可能性較大。如果某些服務正在評估信譽,如果無人企圖進入域名或內容老舊,那么信譽將會是中立或負面的。
5 阻止橫向網絡活動一旦入侵者進入網絡,下一步就是橫向活動,搜索更有價值的登錄憑證或其它訪問權限。阻止橫向活動對降低損害至關重要,其應對措施如下:
限制訪問權限。
細分特權,以便網絡的不同部分需要額外的認證。
在所有地方執行雙因素認證。
6 掌控一切,切勿輕信較好的網絡采用合規連接確保遠程連接合法。有些網絡可以確定遠程用戶的位置,并會質疑響應。
想象自己的網絡易遭受攻擊,并已經被滲透,應思考:是否有措施了解誰入侵了網絡或已經潛入網絡?
7 備份,備份,備份數字攻擊形式多樣。某些攻擊試圖滲漏數據,獲取情報或獲利;其它攻擊只是普通的惡意攻擊。確保有離線備份,以防遭遇毀滅性攻擊。
喬伊斯多次強調,企業或組織機構要了解自身網絡,這一點至關重要。國家支持型黑客會打持久戰,因此組織機構應持續防御改進,繼而評估并改進。
京公網安備 11010502049343號