IT安全威胁越来越大,迫使许多企业只好拼命追赶,以应对最新的安全威胁,这早已不是什么秘密。没有什么比高级持续性威胁(APT)更让人忧心忡忡的了,这种比较新的攻击手段其目的是窃取有价值的信息。
APT的工作原理是,查找网络安全漏洞,找到漏洞后钻空子,然后利用该漏洞作为跳板,进而侵入到网络里面。简而言之,APT利用多种似乎不相关联的方法,获得立足点,进而闯入管理员误以为很安全的系统。
APT的真正危险来自这个事实:得逞的攻击常常无人注意,直到信息丢失或其他破坏已造成过去很久后才恍然大悟;这样一来,查明实际发生的真相和破坏程度变得极其困难。
防范APT与其说是个技术问题,还不如说是个战术问题:事实证明,采用层次防御这种战术是可取的策略,可以阻止APT渗透,并通过企业网络扩散开来。简单地说,APT可能只需要一个安全漏洞就能渗入到企业,不过如果能检测到并阻止攻击活动,就能规避渗透后造成的大部分危害。
然而,这可能是个艰难的过程,因为许多基于APT的攻击旨在模仿合法用户的行为,并通过隐蔽手段收集信息。不过,安全工作重在预防,而不是补救;如果结合一些最佳实践,只要做好某些基本安全工作,就算不能防止所有基于APT的攻击,至少也能防止大多数此类攻击造成任何破坏:
•部署反病毒软件:保护端点设备远离恶意软件是防止攻击的一个关键要素。然而,由于攻击手段越来越多样,病毒特征急剧增多,加上自我变异的病毒不断演变,传统的反病毒软件包可能满足不了保护的需求。这就是为什么有必要采用多层次、基于威胁的保护体系,这种体系包括传统的完全和部分特征匹配,以及识别、阻止和删除已知恶意软件和变种的功能。此外,反病毒系统应包括先进的行为分析、漏洞检测和沙盒机制。这有助于识别、阻止和删除隐藏的和未知的恶意软件。此外,解决方案需要按需深层扫描功能,应该提供具有集中可视性的自动更新。消费级产品往往在这些功能的某个或多个方面不尽如人意,网络管理人员应该寻求企业级解决方案,以实现最大程度的保护。
•充分利用配置和补丁管理:软件漏洞继续层出不穷,每天都在发现新的漏洞,因而连最积极主动的网络管理人员也很难将安全补丁工作做得井井有条。这里,自动化变得必不可少,尤其是由于系统越来越复杂,变得更加分散。随时了解已知漏洞需要经常打补丁,而且要谨慎。漏洞识别出来与修复漏洞的补丁发布存在一个时间差,攻击者在打这个时间差。报告表明,90%以上的网络攻击钻了已有相应补丁的已知安全漏洞的空子。配置和补丁管理系统对任何企业来说已成为必不可少的工具,不过一些系统缺少成功保护所需要的全部功能。解决方案应该提供集中式管理,监控和管理跨平台系统的功能,以及为监控的所有系统(包括端点设备、服务器和移动设备)提供基于策略的安全配置。除了所使用的操作系统外,解决方案还应该为第三方应用程序提供全面日志记录、报告和支持功能。此外,自动化是任何安全解决方案取得成功的真正关键,如果更多的任务能够自动完成,就能缩短修复漏洞的时间。
•设备管理:企业中使用的几乎任何设备都会成为APT得逞的根源。这些设备种类繁多,既有可移动介质,又有智能手机,还有便携计算产品。简而言之,如果设备能连接到企业,它就有可能成为窃取数据或感染系统的媒介。为了应对与设备有关的威胁,必须建立控制机制,这通常表现为数据泄漏防护系统。有了该系统,访问得到控制,所有信息统统加密。解决方案还应该有办法来监控和限制数据传输,以及防止恶意软件藏在可移动存储设备里面混入企业。
•应用程序控制:由于基于Web的应用程序、云服务和社交网络大行其道,用户启动外部应用程序、下载信息、启动脚本或安装应用程序变得非常容易――任何这些内容都有可能含有恶意软件,让APT越过企业防火墙。安装支持应用程序白名单(黑名单)功能的Web过滤系统,可大大有助于防止用户访问上面的应用程序或脚本可能传播恶意软件或发动攻击的网站。应用程序白名单最有希望,因为只允许用户访问那些已经获得公司信任的内容。
•部署内存/数据注入预防技术:其中一种最常见的端点漏洞就是缓冲区溢出,即有效载荷“被注入”到系统内存中。另一种注入手法表现为代码被注入到数据库输入表单(通常被称为SQL注入),这迫使数据库服务器返回应加以保护的信息。这两种攻击都依赖外部人员能够借助复杂手段将代码注入到系统中。防止这些攻击通常需要配置安全平台,以便能够检测并防止SQL注入、DLL注入、Skape/JT注入和RMI攻击。其中一些功能内置于现有的解决方案中,比如Windows Server和桌面操作系统提供了本地内存安全控制机制,比如DEP(数据执行防护)和ASLR(地址空间布局随机化)。理想情况下,应部署集中式解决方案,以便跟踪那些安全问题,并提供自动响应机制,以修复和保护系统。
对大大小小的企业来说,APT已成为一种严重的威胁。不过,合适的策略、最佳实践和适当的安全产品应该对保护企业系统远离威胁大有帮助。
原文地址:http://www.techrepublic.com/article/proven-tactics-for-preventing-advanced-persistent-threat-incursions/
