由于典型的APT攻擊是在較長時間內以協調的方式運用常見工具,因此將阻斷魚叉式釣魚嘗試等孤立事件識別為更大規模APT攻擊征兆幾乎是不可能做到的。但如果將各種系統的信息關聯起來(一般是利用日志文件),就可以立刻發現這些看似無關的事件之間的關系。可以在 Web 網關代理、網關防病毒、防火墻、網頁過濾器、DNS、IPS/IDS以及其它解決方案的日志文件中找到APT活動的痕跡。在建立了典型活動的基準線后,應該制定對異常情況的敏感度,這樣就知道何時需要檢查其它系統的日志中有無相似的APT警報信號。將多個系統關聯起來的報告工具使建立反映異常活動情況的基準線和設計報告的工作得到簡化。
1.利用日志文件查找攻擊者
由于典型的APT攻擊是在較長時間內以協調的方式運用常見工具,因此將阻斷魚叉式釣魚嘗試等孤立事件識別為更大規模APT攻擊征兆幾乎是不可能做到的。但如果將各種系統的信息關聯起來(一般是利用日志文件),就可以立刻發現這些看似無關的事件之間的關系。可以在 Web 網關代理、網關防病毒、防火墻、網頁過濾器、DNS、IPS/IDS以及其它解決方案的日志文件中找到APT活動的痕跡。在建立了典型活動的基準線后,應該制定對異常情況的敏感度,這樣就知道何時需要檢查其它系統的日志中有無相似的APT警報信號。將多個系統關聯起來的報告工具使建立反映異常活動情況的基準線和設計報告的工作得到簡化。
2.網頁過濾器和安裝系統補丁
由于大部分APT都會充分利用常見的攻擊方法和工具,因此在防御上首先要正確地運用標準防御。如果正確地使用防御并經常性地對它們進行更新,當然會有幫助。不過最好是加入云服務,這樣就不需要下載、安裝補丁或更新了。
3.內部人員威脅
迄今為止,最危險的內部人員是那些因無知而向攻擊者提供攻擊組織手段的雇員。有太多的用戶并沒有意識到他們粗心大意的登錄和社交網絡習慣可能給企業數據帶來的安全風險,APT和大眾市場惡意軟件攻擊通常都會對這種疏忽加以利用。
(1)限制能夠遠程訪問機構資源的帳號,大多數攻擊都采用了某種遠程接入機制。如果信息系統提供VPN或者撥號接入,考慮把遠程接入帳號僅限于提供給那些有合法的業務需求的人。
(2)限制遠程接入的范圍,不要自動批準遠程接入者擁有與其在辦公室擁有的同樣級別的權限。限制通過遠程接入訪問重要的資源。這樣不僅可以保護不受內部人員的遠程威脅,而且還要防止惡意軟件通過遠程接入連接引起的日益增長的威脅。
(3)強制執行最小權限原則,每一個人都只需要擁有最低限度的權限,這個原則通常只是在口頭上,而沒有在行動上落實。需要進行帳號審查,保證沒有因為工作變動和職責的變動而影響到用戶的使用權限。
(4)不定期的進行內部安全培訓。
4.分層防御
提倡采用分層防御策略來應對處于生命周期各階段的威脅,以實現容錯型安全狀態。可以借助APT的實際定義評估現有解決方案對攻擊者在各個階段可能使用的各種工具的防御能力。
通過部署分層控制來實現深度防御信息系統安全,是抵御APT的最佳方法。
(1)整理網絡中已經存在的控制,確保這些控制是有效的且受到良好管理的。對已經部署的防火墻、入侵檢測和預防系統(IDS/IPS)、反惡意軟件包和其他控制,需要進行定期審計,保證它們部署一致。另外,在考慮增加額外的防御層前,也需要檢查這些基礎信息。
(2)如果沒有部署安全事故和事件管理系統,可以利用進行部署。安全事故和事件管理系統是對付APT的有效工具,因為這個系統可以從不同來源收集和關聯安全數據,幫助找出APT攻擊滲透進入網絡的蹤跡。
(3)數據丟失防護系統是一個很好的最后防線,它能夠檢測和阻止出有人有意或無意地將敏感信息從網絡中移除。
(4)內容過濾系統可以幫助進一步防止釣魚攻擊和其他web與電子郵件威脅。雖然員工培訓是防止社會工程學的最有效的方式,但內容過濾可以在用戶泄露其賬戶信息前阻止用戶。
回答所涉及的環境:聯想天逸510S、Windows 10。