取決于所詢問對象的不同�,高級持續(xù)性威脅(APT)或者被認為屬于讓首席安全官們晚上都徹夜難眠的噩夢般場景,或僅僅只是安全營銷方面的最新宣傳口號����。因此,我們現(xiàn)在要做的就是全面了解一下APT的真實面目���,以及什么樣的安全系統(tǒng)可以實現(xiàn)有效防范��。
APT的定義
自從媒體開始使用APT一詞之后����,市面上就出現(xiàn)了無數(shù)種定義����。某種程度上來說���,美國國家標準及技術研究所給出的定義應該屬于最客觀的類型�����。它是這么描述的:
它來自于一名具備非常先進的專業(yè)技術并擁有大量資源的對手���。采取的方法是利用多種類型的攻擊(舉例來說�,網絡��、物理以及欺詐等)創(chuàng)造出各種機會來完成既定的攻擊任務���。通常情況下�,這里所涉及的范圍將包含有目標組織內部的信息技術基礎設施���,進攻的方式可能是利用潛入信息來建立并擴展立足點���,以達到破壞或者阻礙組織、項目或者任務重要部分工作的目標;或者將自身隱藏起來以便在未來的時間可以完成既定任務��。高級持續(xù)性威脅的基本特征是:(一)能夠針對同一目標進行長時間的反復攻擊;(二)可以承受防御者的極力抵抗;(三)在達到既定目標之前�,進行攻擊的能力不會降低。
該定義澄清了一種對于APT的常見誤解����。這就是����,有些時間�����,它們會被當作零日漏洞之類的純技術問題���。所謂的APT��,就是針對明確目標的攻擊��,涉及的范圍可以包含簡單的社會化工程到極其復雜的惡意軟件�����。為了達到既定目標��,采取的手段可以達到無所不用其極的地步�。這與利用大型自動化工具來尋找可能存在潛在機會目標的普通攻擊者形成了非常鮮明的對比�。
它的另一項明顯特征就是可以用于攻擊的資源數(shù)量極多,這也是導致APT經常會被認為屬于國家支持的原因之一��。這種關聯(lián)會還導致了一種APT只能由外國政府發(fā)起的誤解出現(xiàn);但實際上����,很多組織都會選擇資助攻擊者的活動,從希望進行工業(yè)間諜活動的公司到有組織犯罪團伙在內都屬于可能的后臺�。
APT的防御
面對攻擊者虎視眈眈所帶來的嚴重威脅,我們應當采取哪些措施來防范APT呢?首先�,在選擇出可以防范這類威脅的可信防御措施之前,我們需要對相關的基本常識有所了解�����。威瑞森最新發(fā)布的數(shù)據(jù)泄露調查報告中的數(shù)據(jù)顯示��,所有違規(guī)行為中有96%都屬于非常簡單的情況�����,是由于基本安全措施不到位造成的�。因此,對于公司組織來說���,完善的密碼與驗證策略��、補丁管理工具���、切實有效的防火墻與IDS配置以及記錄審查工具這些基本安全措施應當成為必備的選擇���。
第二步要做的工作就是對于安全方面的既有認識進行放大處理。由于這種類型攻擊者的目標是尋找最寶貴的信息資產���,因此�����,我們就需要掌握這些信息究竟是什么��,都處于什么位置�,哪些人有權進行訪問����,為什么需要以及什么時間進行訪問。在回答這些問題的同時�����,我們就可以對基礎設施中需要重點關注的最關鍵部分產生更清晰的認識�。而這反過來又可以為我們在進行日志異常審核時確定出真正的搜索重點來,并能夠在事故發(fā)生時為采取正確的緊急處理措施提供助力��。
此外,還有一項需要重點關注的工作就是認識到用戶對于組織信息資產保護的真正重要性所在���。實際上���,我們已經聽說過數(shù)起APT利用社會化工程攻擊用戶的案例���。畢竟�����,對于任何公司來說���,用戶安全方面的意識都應當屬于相關信息安全戰(zhàn)略中的關鍵要素。
