保护你的网络安全:如何摆脱高级持续性威胁(APT)?

原创
新闻 安全
曾经被卷入过近三年以来的多起高级持续性威胁(APT)袭击事件,因此对于如何根除它们颇有心得——或者,更确切地说,在大型网络中减少它们的发生次数。察觉这类攻击并不是没有可能,事实上,这是最为简单的部分。不过,如果不去严重地破坏创收操作或者暴露你的环境,高级持续性威胁很难从你的网络中根除。

【10月28日51CTO外电头条】我曾经被卷入过近三年以来的多起高级持续性威胁(APT)袭击事件,因此对于如何根除它们颇有心得——或者,更确切地说,在大型网络中减少它们的发生次数。察觉这类攻击并不是没有可能,事实上,这是最为简单的部分。不过,如果不去严重地破坏创收操作或者暴露你的环境,高级持续性威胁很难从你的网络中根除。

虽然每个APT案例都是各有所异,但是我仍然可以为大家在面对它们的时候该怎么做提供一些个人建议。查找和根除——或者不如说减少APT袭击事件需要仔细而秘密的计划,以免打草惊蛇,让攻击者们对于你之前努力布设的防御措施有机可乘。

为修复日做好网络和人员的准备

如果你是一位IT管理员,应该就问题的严重程度和应对APT的初步计划多与IT高级管理人员交流。这往往会演变为面对所有高级管理人员,比如董事会、监管机构、合作伙伴、供应商等等的演讲。让高级管理人员决定谁可以在什么时候知道些什么。

最首要的技术回应应该是更多的执行网络监控,你需要找出APT问题的严重性。问题出在哪一台计算机?是不是泄露了密码?哪些工具和恶意软件正在被使用?是不是电子邮件被盗用了?数据流向哪里,外部还是内部?最起码,检测APT通常意味着实行之前没有投入使用的主机和网络入侵检测软件。

接下来,你需要确定最佳的方式来处理眼前的问题。你可以选择马上将受到侵害的计算机从网络中撤走。此外,在开始的时候,你仍可以让这些系统继续保持正常运作,以便防止APT策划者们意识到你可能已经发现了问题。这是每个公司的风险抉择问题,而这两种方式我都曾经使用过。

然后,与补救修复计划参与者们进行商讨并制定一个可以根除APT的方案。你的网络安全小组应该包括技术人员、高级管理人员代表、供应商方面的专家、APT专家、受影响的业务部门领导、信息小组、项目经理和所涉及的其他人员。一般情况下,从个别人着手,逐渐引入其他必要的人员。每个参与该计划的人都必须签署一份保密协议,哪怕在公司已经签署过一份。必须做好保密措施,直到最终正式的计划生成并执行。

给APT和补救过程设定一个能够让所有参与者在线交流使用的关键字,比如“医疗系统更新”、“棒球比赛”或者“旅游政策”等等。这些字眼必须看上去是些无关紧要的事情,以免引起APT攻击者的注意。

要想摆脱APT其实并不像想象中的那么困难,只是在想要根除它的时候不造成业务的中断似乎比较困难。为此,在进行大规模网络清理修复之前必须列出所有应用程序和服务器的清单。指定所有权——就是确定谁负责解决哪个资源的问题,同时也负责该部分资源的运作。对那些必须保留其功能的用户和服务器账户进行归档。

此外,指定重要级:哪些应用程序和服务器必须保持最高的活跃度和最少的停止运作时间?高级管理层可以接受的最糟糕情况是什么?在最近的一个实例里,遇到的不可接受情况就是延迟申报公共财务报表,但是除此以外的其它情况都被认为是合理的。

接下来,看看清单上的用户、计算机、服务账户、网络设备和互联网连接点一共有多少?它们都在哪儿?围绕它们开发生命周期管理策略和程序,不论是创建还是当不再需要它们的时候取消它们的权限。

大多数环境中都有太多的对象,缺乏明确的所有者,并且一般来说无法确定在现有的项目中哪些是合理的或是需要的。但事实上,没有比删除你不需要的对象更为安全的做法。

最后,在进行修复的前一天,确保补丁更新到最新状态。这是可以提前完成的,而且对于摆脱APT很有帮助。对你的网络、广域网和最重要的基础架构系统进行常规检查。在尝试进行巨大的变动和修复之前你必须拥有一个高效的网络和操作环境。

修复日的决战:快而准地打击攻击者

修复当天的一切应该在很早以前就进行详细的规划。有一套明确的并且行之有效的步骤,还要制定出时间表并进行相应的职责划分。每个人都应该知道自己何时要做什么。最起码,修复日通常会从切断公司的网络开始,这样APT攻击者们就不至于及时地作出反应,更不用提该如何控制即将发生的一切了。

让所有已知的存在APT的系统离线并进行重建。更换包括服务账户在内所有账户的密码。对于高级账户,可以考虑双因素认证。利用新的认证凭证对所有关键任务应用程序和服务进行测试。有些公司甚至会选择完全重建他们的轻量级目录访问协议/活动目录基础架构,这确实是最大程度地降低APT风险的唯一途径。

一些公司选择重建的架构而另一些则选择随着时间慢慢进行迁移,前者更为安全,而后者操作起来更会加顺畅。

此外,在让用户们带着新密码回到网络中之前,必须让他们了解APT和当前的恶意软件骗局(比如恶意PDF文件、假防毒软件等等)。可以告诉员工们关于APT公司所做的一切,也可以只是告诉他们新密码是公司降低安全风险的一个努力措施而已,这都取决于通信团队的决定。

不要放松对APT的警惕

员工和管理层应该预料到APT攻击者们迟早还会卷土重来,然后重新建立他们的据点。修复过后的头几天往往风险系数最大。

我是电脑和域隔离的超级粉丝。很多工作站都不需要与其他工作站建立通信,同样,大多服务器也是如此。所以需要定义哪些通信路径是必须的,然后封锁其它路径。用最快和最慢的设备或服务来完成这项任务。只有在需要使用智能(但是比较慢)的应用层防火墙和代理的地方使用它们。

确保内部开发团队正在实行安全开发生命周期技术。此外,推行全面的事件日志管理系统、检测以及响应也十分行之有效。如果能够正确地配置和审查事件日志,最恶意的行为就很容易被发现。

在这之后,注意奇怪的网络通信模式。这通常最容易暴露APT攻击者的行踪。这就是他们所做的:窃取信息然后将它们转移到你通常不会发送信息的地方。

最后,记得推行一个或者更多的预警蜜罐诱捕系统。它们的价格低廉、噪音小,属于优秀的网络检测设备。蜜罐诱捕系统是非生产资产,因此,在第一次微调之后就应该不再碰它。

总而言之,减少和根除APT是现在所有公司所面临的最为艰巨的挑战。这确实很难,但是想要彻底消灭这些入侵者并非不可能实现,除非你受到高级管理层、操作和财务因素的限制。对于很多公司而言,新常态是与这些APT风险永远共存,但其实,任何公司都可以在这场APT战役中打一个漂亮的胜仗。

原作者:Roger Grimes

相关播客:大话IT之RSA归来看APT高持续性威胁(音频)

【编辑推荐】

  1. 企业安全产品测评之AXENT Raptor
  2. Adaptive Server Anywhere XP_SPRINTF格式串处理漏洞
  3. 全面解析高级持续性威胁(APT)
  4. 研究发现:更多公司成为高级持续性威胁的目标
责任编辑:佟健 来源: 51CTO.com
相关推荐

2011-11-16 11:20:48

2010-06-24 16:03:50

2014-03-31 10:11:49

2015-03-09 15:26:36

2011-09-14 16:01:05

APT高持续性威胁网络·安全

2014-06-11 13:43:57

2022-01-04 05:38:28

高级持续性威胁APT网络犯罪

2013-08-27 22:30:45

2011-04-21 09:16:46

2012-12-28 14:25:23

2014-12-19 11:21:52

2011-09-09 14:52:55

2011-03-03 09:32:08

2012-03-09 09:41:48

2010-07-09 16:59:31

2014-05-15 13:03:20

2021-08-27 09:44:16

APT

2022-07-11 14:39:03

网络安全物联网

2013-07-31 09:03:45

2019-01-03 10:59:34

点赞
收藏

51CTO技术栈公众号