解决方案\需求
数字化转型正在成为社会发展的新常态,智能AI技术、大数据和5G网络新技术将推动社会各行各业迈入数字新基建的新时代,构建一套完美的解决方案方能扬帆领航。
了解更多了解更多

企业攻防实战:六大秘诀有效对抗APT攻击

作者:容域科技 发布时间:2021-04-12 17:04
众所周知,高级可持续威胁(APT攻击)非常难以检测,对抗高级持续威胁似乎是一场无望的战斗。现在,APT攻击已不仅仅是一个民族或是国家需要面对的问题,它也不再只专注于针对军队和其他政府的间谍活动或攻击,APT攻击已经开始瞄准IT、能源、新闻、电信、制造和其他经济行业。
根据一些安全专家表示,企业永远不可能完全的消除这种攻击,但我们可以检测到APT以及尽量减少它们所造成的损害。Palo Alto公司高级安全分析师Wade Williamson表示,“天并没有塌下来,我们还有解决办法,很多时候,安全人员使用APT作为失败的借口,但不应该是这样,我们还是有办法来对付APT。”
Williamson也认为,有效地检测和抵御APT需要的不仅仅是技术,我们所需要作出的最大改变是策略,安全必须发展成为纪律。
Williamson表示,“安全人员应该保持好奇的心态,寻找异常的活动,并问自己这意味着什么,以及应该如何深入这个问题。我们需要自动化安全来阻止坏的东西,但我们也需要有创新的安全专家来寻找新奇的攻击行为。”
让我们看看对抗高级持续威胁的六大秘诀:
1、使用大数据进行分析和检测
RSA执行主席Art Coviello在2013 RSA大会表示:“我们应该从防御模式转移--大数据能让你更快速地检测和响应。”Seculert公司创始人兼首席执行官Aviv Raff同意这种观点,他指出从网络外围抵御是不可能的,企业必须从分析的数据中来检测攻击。这也是大数据分析派上用场的地方。
当然,这意味着企业需要投资于分析工具。Damballa公司首席技术官Brian Foster表示,“IT没有及时发现攻击所需的自动化工具,他们只有海量的数据,该行业应该向IT提供大数据分析方法来帮助他们检测网络中的攻击。”
他补充说,大数据能够帮助检测,但这里最重要的一点是,攻击已经扩展到多种技术,我们的安全视角必须突破“孤岛”模式,采用更为全面的视角。
2、与正确的人共享信息
根据Anton Chuvakin表示,攻击者会分享数据、技巧和方法。IT同样也应该如此,与面临相同威胁的其他企业共享技术和最佳做法。
企业共享信息的方式应该要能够帮助他们抵御攻击,而不会有利于攻击,且不会违反法律或涉及信息共享的监管要求。
然而,对于共享信息,除了法律上的考虑,还有经济上的限制。
3、了解APT攻击链
这是用来描述APT攻击阶段的模型,这些阶段包括侦察、武器化、交付、漏洞利用、安装、命令&控制和行动(这部分内容请参考:从侦查到破敌 APT攻击过程全揭密)。这基本上类似于入室盗窃,小偷在行窃前,会对建筑物进行侦察等活动。
显然,企业在越早期阶段检测到攻击,就越可能阻止攻击。理解和分析这些杀伤链是关键,可以帮助企业在必要阶段部署适当的防御控制。
4、寻找感染指标(IOC)
这与理解“APT攻击链”有关联。没有企业可以阻止所有攻击,因此,IT团队需要知道如何寻找异常活动。这包括寻找APT可能与网络外部通信的独特方式,任何奇怪的DNS查询或联络网站都是厂家的IOC。
APT通常会根据其寻求自定义工具,而这通常为IT提供了区分APT与正常流量的因素。他们通常会使用各种常见应用程序,例如远程桌面应用程序、代理或加密通道来通信。
这些应用程序和其他应用程序的不寻常使用都是找出APT的关键。当然,这需要IT完全了解网络正常情况是什么样。另外,追踪用户异常行为也可以有所帮助。
5、测试你的网络
这可以包括主动分析或沙箱技术。确定事物是否为恶意的最佳方法是实际运行它,看看它的行为是否为恶意。
虽然企业有漏洞管理工具来帮助修复明显的漏洞,但企业也应该定期进行自我网络的攻击测试(或者寻找第三方)来找出问题所在。
6、采用最新的针对APT的安全防护工具
在防范APT攻击上,国际和国内厂家分别独立探索出了相似的技术解决路径,通过在内网、私有云的服务器上安装防护工具,为任何可疑操作设置幻影等手段,对各种APT攻击进行识别、跟踪和诱捕,在实际环境中取得了不错的效果。欲了解产品详情,可访问:http://www.rypd.com.cn/APT。
 

全部方案

数字新基建
等保云灾备