自ESG发布研究报告《美国先进的持续攻击分析》以来,我已经反复提出一个问题:大型组织如何保护自己免受APT(先进的持续攻击)?
良好的问题,但我发现大多数的人问我这是期待一个简单的答案。这种态度可能有历史根源:希望得到摆脱讨厌的垃圾邮件?买一个垃圾邮件过滤器。不幸的是,这里没有灵丹妙药,所以不要相信任何供应商给你打的包票。
应对APT最困难的事情是,员工在知识不对齐、进程中的弱点、技术上的漏洞这样的随机组合中产生的问题很容易被APT利用。耐心、良好的资源和高技能让攻击者能够找出我们我们的弱点然后利用这种了解发起攻击。即使你做对了99%,坏人总能找出你做错的1%的事件。
所以这使我回到原来的问题:大型组织如何才能保护自己免受APT?如果看一下ESG在其APT研究中提出的一个分割模型,或许能有收获一个答案。ESG提出了一个计分制,将APT调查对象分为三种类型:准备充分应对APT(占调查总数的21%),有所准备(占调查总数的43%),以及准备不足(占调查总数的36%)。然后可以看一下这些准备充分的组织的所具有的特征。
这些属性被看作是最佳做法。为了保护自己,准备最充分的组织:
1、在IT和业务流程中具有强烈的安全意识文化。换句话说,安全是融合在整个公司流程中的而不是覆盖在上方的。他们还做了很多积极的安全培训。
2、深入的了解有关的威胁现状。这些组织了解当前最有效的攻击方法和载体。
3、承诺的风险管理。这些企业了解与特定的高价值的IT资产及其支持的业务流程相关的风险。因此,他们固化其IT资产作为标准程序。
4、了解哪些是自己的敏感数据。他们一般都知道敏感数据在哪里,谁有权访问以及使用这些数据做了什么。诚然,这些工作维系起来非常困难。
5、强大的安全控制。从网络到应用层,但这些企业也非常好地限制用户访问并监控用户行为。
6、持续完善其事件响应机制。他们知道即使是最好的控制也不能防止意外或恶意的安全攻击。因此,他们在人、过程和技术上进行了事件响应方面的投资,并定期衡量其成效。
7、强大的安全监督。首席信息安全官想知道在所有的时间里机构的安全态势,这样他们在中央的分析和报告中产生了大量的数据,同时他们也会使用很多度量方式。
还有一件事要注意:充分准备应对APT的组织有时候也最偏执。实际上他们积极寻求他们疏漏的东西,或聘请第三方这样做。在这种情况下,这些公司每年对其网络安全预算上投入的增加或许也不是件奇怪的事。
这些最佳做法为我们提供了一个模型,给那些准备不足的组织提供了应对自身安全的方向性的指导。
【编辑推荐】
