抵御高级持续攻击者的理想防御技巧

　　攻击者已经入侵了你的网络内部可能让你感染有些不安，甚至震惊，但是事实上，这些网络间谍攻击已经从军事/国防部问题演变成困扰各行各业的问题。“在此之前，高级持续攻击首先是针对军事部门，接着是政府职能部门，然后是国防工业基地，我们看到相同的攻击形式不断地扩大他们的目标范围，甚至到石油和天然气、医药和其他领域的商业企业，”Mandiant公司首席安全官兼管理服务副总裁Richard Bejtlich表示，“这对于我来说是相当惊人的，他们现在的目标如此之广。”

    高级持续威胁攻击者可能已经渗透到你的网络：这是安全领域的新现象，并不罕见，但是你应该做些什么呢？这是超越传统思维定势（只考虑预防方面的问题）的问题，“我们正试图帮助人们从入侵防御转移到感染后检测和减小损害的工作上！”Fidelis公司的研究主管Will Irace说。

    尽管这些攻击具有持续性和经常性，但我相信受害企业最终能够增强抵御。对于这些攻击，鲜少有受害者会公开披露自己受到攻击。在过去几个月中，网络间谍活动攻击开始瞄准多个联邦文职政府机构的高级官员，这些攻击活动仍然处于调查之中，但是受害机构的名称可能永远无法证实，或者说所产生的损害程度永远不得而知。攻击者使用了复杂的恶意软件和SSL加密连接来从该政府机构来窃取信息，并将信息发送回他们的主服务器。

    我们的目标是尽快检测出这些攻击类型，并尽量减少你的知识产权信息或者商业机密的泄露数量或者损失，例如“如何在几小时或者几天内检测到他们？”RSA首席安全官Eddie Schwartz表示，“这需要访问所有与这个安全问题相关的潜在数据。”

    与传统安全事件不同，对于高级持续攻击，你无法从单个日志或者防火墙事件上来作出决定。“一名最终用户访问了他正常情况下不需要访问的系统，”这就属于一种有针对性的攻击。

    但是这种攻击类型很难检测，很多企业仍然仅依赖于以预防为主的工具，例如基于签名的技术和防火墙。高级持续攻击者更倾向于零日漏洞，或者利用目标公司基础设施存在的问题。在大多数情况下，第一步都是对毫无戒心的用户使用社会工程学攻击，通常是通过看起来像是从用户熟知的人发来的电子邮件消息，邮件信息包含恶意附件或者网址，一旦打开，就会为攻击者提供立足点。

    安全专家表示，抵御高级持续攻击者的理想防御方法是结合传统的防御工具和对网络和系统的实时监测。但是现在市面上很多工具都是针对基础设施的不同部分，纵观所有事件和日志往往是需要手动来操作。这就给了攻击者更多时间和机会来深入受害者组织，这样就更难将他们根除。

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!