关于APT攻击更多需要注意的地方
1、不要过分依赖终端防毒软件
APT攻击惯用的伎俩大多是钓鱼、漏洞、后门等常见的攻击技术,但是通过对这些犯罪手段地综合性运用,最终会有一个恶意控制代码能够成功绕过企业外部防线。但根据趋势科技的调查统计,超过80%的受害组织,并不知道自身已遭受到APT攻击;在这些企业用户中,平均要经过346天才会发现自己遭受到APT攻击,当中有77%的组织在发现受到攻击时,已经被黑客取得完全的掌控,但只有50%的受害计算机内会被找出恶意软件。所以,具备小批量、针对性、不重复等特点的APT攻击面前,自动化恶意软件清除工具只能看到其冰山一角,过度依赖传统的防毒软件将不会帮助企业走出这种恶性循环。
2、企业可能接触到的小型网络
攻击者还会利用某个组织的网络基础设施来发动对其它组织的攻击。在某些案例中,攻击者会利用受害者的电子邮件账号来增加他们鱼叉式网络钓鱼攻击邮件的可信度。在类似的攻击事件中,为了实现对大型组织网络的攻击,黑客可能会从连接到该组织网络的小企业入手,然后以其作为跳板发动攻击。对攻击者来说,通过小企业的网络会更加容易也更为隐蔽,而且不会在大型组织的网络内留下痕跡。
3、超过95%的APT攻击始于社交网络钓鱼邮件
根据趋势科技的研究结果显示,超过95%的APT攻击始于社交网络钓鱼邮件,这类邮件通常含有传统邮件或终端安全产品无法检测的恶意附件或URL。“电子邮件”已经成为了黑客最易取得APT攻击成效的入口。在某些案例中,攻击者会利用受害者的电子邮件账号来增加他们鱼叉式网络钓鱼攻击邮件的可信度。而经过足够多的研究分析后,网络犯罪份子可以制造出社交工程诱饵,骗取足够多的员工点击网络链接或者打开邮件附件。
企业如何了解自身的APT防护能力?
APT攻击改变了当前的威胁形势,已经不可能再提前进行预防,我们必须假设自己将受到威胁。随着这一心理模式的转变,我们也必须重新制定安全策略。
1、是否转变了防御观念
APT攻击是否有“帮手”呢?答案是肯定的,这个帮手就是我们自己的固化的想法:“外围的一切都是危险的,内部的一切都是安全的。”但这种基于外围防御的安全策略早已过时,因为攻击者越来越狡猾,正使用各种方法穿过这些防御。另外,如果你已经仔细阅读或者从其他途径了解过一些APT攻击案例,便可以发现,最近的数据泄露事件已证明,尽管注重外围的新一代防火墙/IPS不断演进,却都无法着眼于内部网络的APT攻击检测。但即使攻击者再如何隐藏,他们要想窃取高价值得数据,并需要在网络中有所行动,这些蛛丝马迹可以在“横向移动”中被发现。
2、是否清楚APT攻击链和防护点
IT安全威胁越来越大,迫使许多企业只好拼命追赶,以应对最新的安全威胁,这早已不是什么秘密。但没有什么比APT攻击更让人忧心忡忡的了,它甚至可以让一名CEO下台,让一家企业失去用户的信任,或是花费数亿美金才能修复破坏。那么,损失惨重的数据泄露事件又是怎么发生的呢?
这是每家企业的信息安全主管思考的问题,他们必须全面了解APT攻击的生命周期,以及每个阶段呈现的特点,从这个链条中找到防护点。如果你已经清楚了APT攻击的过程,那么可以针对这些能力进行系统的评估:
a) 现有的防护设备能否检测到攻击?
b) 能否抓取攻击特征进行系统且全面的分析?
c) 能否通过策略调整避免遭受攻击?
d) 能否在最快的时间,有效阻止正在进行的攻击?
e) 如果攻击已经发送,能否降低损失,或者让攻击者决定耗费如此大的精力,窃取回来的数据可能不值几个钱?
f) 能否诱骗攻击者进入内部设定好的蜜罐网络?
g) 能否追踪攻击者,并最终摧毁?
关于APT攻击,CSO需要注意的地方
建议一:针对APT攻击是否制定了《自我评估清单》,例如您是否对员工制定了详细的社交网络防泄密培训;
建议二:是否能够在网络中部署威胁发现系统,识别APT攻击横向移动或C&C通信的行动
建议三:许多仅仅看似是“警告”的日志,单独来看均没有意义。但是,当某位专家审视这些事件时,它们就形成了一个显示外部攻击历程的“时间线”,公司是否拥有或外聘了这些专家。
建议四:您会发现向高级管理层阐述APT攻击的严重性是多么必要和困难。这可能很难以具体的投资回报率作为理由或很难解释为什么现有的安全控制不足。所以你现在就需要准备一份能够吸引(或者是震慑)PPT文稿,来说服自己的老板。
建议五:什么才是理想的解决方案?理想的解决方案会将整个安全基础架构编排到自定义的可适应防御中,您可以根据您的特定环境和攻击者来调整此防御。
建议六:定制化智能防御战略的实现需要借助其可扩展性及与多种产品的集成能力,以满足不同的企业环境需求。但绝对没有搬来就用的方案,因此,没有两个解决方案是完全相同的,而是根据业务大小、业务范围以及现有的安全基础架构而异。
(责任编辑:安博涛)
