Fortinet為企業(yè)提出應(yīng)對(duì)APT攻擊的一些建議
如同一個(gè)APT攻擊需要突破多個(gè)網(wǎng)絡(luò)層才可以成功一樣,如果企業(yè)不希望淪為APT的獵物必須實(shí)施能夠進(jìn)行多層網(wǎng)絡(luò)防御的安全策略。也就是說單一的網(wǎng)絡(luò)安全功能是不能夠防御APT攻擊的。
安全協(xié)助:
攻擊者不會(huì)止步于獲取更多的目標(biāo)來彰顯其“榮譽(yù)”,所以公司機(jī)構(gòu)的安全策略與防御體系也不是一日之功。公司機(jī)構(gòu)需要可靠的IT雇員了解最新的威脅與潛在的攻擊路徑,與網(wǎng)絡(luò)安全組織保持近距離的接觸,在必要的時(shí)候可獲得幫助。
最終用戶的引導(dǎo):
網(wǎng)絡(luò)攻擊者選定的最終用戶攻擊目標(biāo),一定是攻擊目標(biāo)存在可以發(fā)動(dòng)首次攻擊的最佳機(jī)會(huì)。這如同銀行劫匪的“座右銘”,“錢在哪我們就在哪”的道理是一樣的。 引導(dǎo)并教育最終用戶正確地使用社交媒體保護(hù)隱私以及機(jī)密信息防止被利用是安全防御中重要的一環(huán)。同樣關(guān)鍵的是,在公司機(jī)構(gòu)具有訪問敏感數(shù)據(jù)的雇員應(yīng)受到數(shù)據(jù)處理方面的專門培訓(xùn)。定期對(duì)公司雇員進(jìn)行內(nèi)部的安全風(fēng)險(xiǎn)防范意識(shí)培訓(xùn)可減少被攻擊的機(jī)率。
網(wǎng)絡(luò)隔離:
如果一個(gè)雇員沒有來由地訪問了可能包含敏感數(shù)據(jù)的特別資源,那么基本的網(wǎng)絡(luò)隔離可以協(xié)助防御在內(nèi)部網(wǎng)絡(luò)之間的流傳。對(duì)內(nèi)部網(wǎng)絡(luò)資源進(jìn)行用戶訪問細(xì)分,可潛在的避免攻擊者。
Web過濾/IP信譽(yù):
通過使用當(dāng)前的IP信譽(yù)數(shù)據(jù)與web過濾規(guī)則的解決方案,可能會(huì)阻擋一些攻擊。舉例說明,如果會(huì)計(jì)團(tuán)隊(duì)沒來由地去訪問地球另一端國家的網(wǎng)站或者IP地址,創(chuàng)建web訪問過濾規(guī)則可以有效防止可能中招被攻擊網(wǎng)站的訪問。通過使用IP信譽(yù)服務(wù),可以避免一些攻擊者使用攻擊其他公司的伎倆,來故伎重演的攻擊下一個(gè)目標(biāo)公司。
白名單:
白名單功能的使用有很多方法可言。例如,網(wǎng)絡(luò)白名單可設(shè)置只允許一些內(nèi)部流量訪問網(wǎng)絡(luò)資源。這可以避免攻擊者侵入內(nèi)部網(wǎng)絡(luò)。網(wǎng)絡(luò)白名單還可以防止用戶訪問那些沒有明確被允許的網(wǎng)站。應(yīng)用白名單可設(shè)置一個(gè)只允許在計(jì)算機(jī)設(shè)備運(yùn)行的應(yīng)用名單,阻斷其他軟件在設(shè)備的運(yùn)行。這樣可避免攻擊方在目標(biāo)用戶的計(jì)算機(jī)系統(tǒng)運(yùn)行新的程序。
黑名單:
白名單顧名思義是明確被允許執(zhí)行或訪問資源的名單,黑名單同理是設(shè)置阻斷對(duì)不安全的資源、網(wǎng)絡(luò)或應(yīng)用訪問的名單。
應(yīng)用控制:
如今雇員使用網(wǎng)絡(luò)服務(wù)的現(xiàn)象相當(dāng)普遍,例如Facebook、Twitter以及Skype。許多公司是不對(duì)這些應(yīng)用的訪問作控制與管理的,如此自由的訪問與應(yīng)用可會(huì)將公司暴露在新一代的基于web的威脅與灰色軟件之下。應(yīng)用控制功能可以識(shí)別與控制網(wǎng)絡(luò)中的應(yīng)用,無論是基于端口、協(xié)議或者IP地址。通過行為分析工具、最終用戶關(guān)聯(lián)與應(yīng)用分類可以識(shí)別并阻斷潛在的惡意應(yīng)用與灰色軟件。
基于云端的沙盒:
基于云端的技術(shù)與資源進(jìn)化得更為豐富了,“移交”式分析與檢測(cè)成為檢測(cè)潛在威脅的一種好工具。基于云端的沙盒可以在可控的系統(tǒng)中執(zhí)行未知的文件與URL,所述可控的系統(tǒng)可以分析這些文件與URL的行為規(guī)則以檢測(cè)可疑或異常的活動(dòng)。
終端控制/AV:
舊有的基于客戶端的反病毒與反灰色軟件防御解決方案仍可提供可靠的病毒與灰色軟件防御。但是多數(shù)客戶端應(yīng)用不能防御零日攻擊,可以阻斷的是黑客使用過去的相同或相似的攻擊手段。
數(shù)據(jù)防泄漏(DLP):
正確的識(shí)別敏感數(shù)據(jù)并有效地實(shí)施DLP解決方案是公司機(jī)構(gòu)能夠高效的保護(hù)敏感的數(shù)據(jù)避免泄漏的方法。
入侵防御(IPS)/入侵檢測(cè)(IDS):
IPS與IDS產(chǎn)品可以作為另一層監(jiān)控網(wǎng)絡(luò)流量可疑活動(dòng)的防御體系。好的IPS與IDS系統(tǒng)同樣會(huì)對(duì)IT人員報(bào)警潛在的威脅。
主動(dòng)打補(bǔ)丁:
計(jì)算機(jī)設(shè)備的安全有賴于所運(yùn)行的軟件的安全,所以及時(shí)的打補(bǔ)丁是非常必要的。關(guān)鍵補(bǔ)丁不及時(shí)安裝的話,公司機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)就存在著可被攻擊的漏洞。對(duì)于業(yè)務(wù)環(huán)境要求苛刻、不間斷運(yùn)行的用戶,保持測(cè)試設(shè)備能夠運(yùn)行補(bǔ)丁測(cè)試關(guān)鍵應(yīng)用的環(huán)境很重要,這樣才能夠不影響到主網(wǎng)絡(luò)環(huán)境。
管理權(quán)限的限制:
一些公司對(duì)雇員提供的是基于本地的管理權(quán)限,便于隨時(shí)管理安全驅(qū)動(dòng)或軟件。這樣的權(quán)限管理是一把雙刃劍,一方面是減少了技術(shù)支持的經(jīng)理且賦予了雇員更多的IT自由度,另一方面會(huì)導(dǎo)致網(wǎng)絡(luò)系統(tǒng)輕易的被黑客訪問或安裝惡意軟件,以及在受害人計(jì)算機(jī)系統(tǒng)安裝遠(yuǎn)程訪問工具(也就是RAT:remote access tools)。細(xì)化管理權(quán)限也有助于攻擊的防御。
網(wǎng)絡(luò)訪問控制:
NAC是一種網(wǎng)絡(luò)資源訪問限制的解決方案,也就是說,只有符合某些規(guī)則或策略后訪問網(wǎng)絡(luò)資源。舉例說明,如果一臺(tái)計(jì)算機(jī)設(shè)備最近沒有打補(bǔ)丁,NAC可以做策略限制將該設(shè)備隔離在子網(wǎng)直至其打了補(bǔ)丁后才可以訪問網(wǎng)絡(luò)資源。
雙因子驗(yàn)證:
適用于最終用戶可選的有很多種雙因子認(rèn)證方式。通過對(duì)遠(yuǎn)程用戶或需要訪問敏感數(shù)據(jù)的用戶實(shí)行雙因子認(rèn)證,也可以有效防御數(shù)據(jù)的丟失或信用狀被竊取,因?yàn)楣粽咝枰峁┝硪环N方式的識(shí)別才能夠進(jìn)行網(wǎng)絡(luò)訪問。
通常使用的雙因子認(rèn)證方式包括標(biāo)準(zhǔn)的用戶名與密碼,加上基于硬件或軟件的認(rèn)證密鑰,該密鑰是用于提供一次性有效的數(shù)字串,在用戶名與密碼輸入后必須輸入的密鑰數(shù)字。
UDB使用限制:
多數(shù)的計(jì)算機(jī)設(shè)備是沒有任何限制運(yùn)行USB及其中的自動(dòng)的應(yīng)用。在驅(qū)動(dòng)中嵌入惡意代碼也是黑客常用的攻擊手段之一。嚴(yán)格禁止USB的使用是相對(duì)最安全的做法,但是如果USB的使用是必需的,那么可以配置策略阻斷自動(dòng)運(yùn)行的驅(qū)動(dòng)程序。
基于云端文件共享的訪問限制:
例如Dropbox這樣的服務(wù)是享有廣泛的應(yīng)用的,不管是在家或是在辦公室。如同USB驅(qū)動(dòng)訪問,限制策略是必要的。基于云端的文件共享與同步應(yīng)用使攻擊者先攻擊家用的計(jì)算機(jī),并在用戶同步文件到公司網(wǎng)絡(luò)時(shí)將惡意軟件帶到公司網(wǎng)絡(luò)中有機(jī)可趁。
融合性防御
我們能夠很明確的是,一些組織是不惜一切代價(jià)將感興趣的數(shù)據(jù)弄到手,同時(shí)也沒有一種萬能的方法消除APT攻擊的風(fēng)險(xiǎn); 企業(yè)或公司機(jī)構(gòu)可以采取風(fēng)險(xiǎn)最小化的多層以及融合性防御戰(zhàn)略。
防火墻與入侵防御技術(shù)的部署是綜合有效安全防御策略的開始;反灰色軟件技術(shù),結(jié)合數(shù)據(jù)防泄漏以及基于角色的安全策略配置也應(yīng)用綜合防御應(yīng)包括的重要部分。同時(shí),反垃圾郵件與網(wǎng)頁過濾的解決方案,也是應(yīng)用控制機(jī)制的進(jìn)一步落實(shí),在攻擊的每個(gè)階段步驟都具有有效的防御,才是APT攻擊防御的萬全之策。
