逃脫APT攻擊魔抓需網路安全防禦體系一層套一層
如同一個APT攻擊需要突破多個網路層才可以成功一樣,如果企業不希望淪為APT的獵物必須實施能夠進行多層網路防禦的安全策略。也就是說單一的網路安全功能是不能夠防禦APT攻擊的。
安全協助:
攻擊者不會止步於獲取更多的目標來彰顯其“榮譽”,所以公司機構的安全策略與防禦體系也不是一日之功。公司機構需要可靠的IT僱員瞭解最新的威脅與潛在的攻擊路徑,與網路安全組織保持近距離的接觸,在必要的時候可獲得幫助。
終端使用者的引導:
網路攻擊者選定的終端使用者攻擊目標,一定是攻擊目標存在可以發動首次攻擊的最佳機會。這如同銀行劫匪的“座右銘”,“錢在哪我們就在哪”的道理是一樣的。引導並教育終端使用者正確地使用社交媒體保護隱私以及機密資訊防止被利用是安全防禦中重要的一環。同樣關鍵的是,在公司機構具有訪問敏感資料的僱員應受到資料處理方面的專門培訓。定期對公司僱員進行內部的安全風險防範意識培訓可減少被攻擊的機率。
網路隔離:
如果一個僱員沒有來由地訪問了可能包含敏感資料的特別資源,那麼基本的網路隔離可以協助防禦在內部網路之間的流傳。對內部網路資源進行使用者訪問細分,可潛在的避免攻擊者。
Web過濾/IP信譽:
通過使用當前的IP信譽資料與web過濾規則的解決方案,可能會阻擋一些攻擊。舉例說明,如果會計團隊沒來由地去訪問地球另一端國家的網站或者IP地址,建立web訪問過濾規則可以有效防止可能中招被攻擊網站的訪問。通過使用IP信譽服務,可以避免一些攻擊者使用攻擊其他公司的伎倆,來故伎重演的攻擊下一個目標公司。
白名單:
白名單功能的使用有很多方法可言。例如,網路白名單可設定只允許一些內部流量訪問網路資源。這可以避免攻擊者侵入內部網路。網路白名單還可以防止使用者訪問那些沒有明確被允許的網站。應用白名單可設定一個只允許在計算機裝置執行的應用名單,阻斷其他軟體在裝置的執行。這樣可避免攻擊方在目標使用者的計算機系統執行新的程式。
黑名單:
白名單顧名思義是明確被允許執行或訪問資源的名單,黑名單同理是設定阻斷對不安全的資源、網路或應用訪問的名單。
應用控制:
如今僱員使用網路服務的現象相當普遍,例如Facebook、Twitter以及Skype。許多公司是不對這些應用的訪問作控制與管理的,如此自由的訪問與應用可會將公司暴露在新一代的基於web的威脅與灰色軟體之下。應用控制功能可以識別與控制網路中的應用,無論是基於埠、協議或者IP地址。通過行為分析工具、終端使用者關聯與應用分類可以識別並阻斷潛在的惡意應用與灰色軟體。
基於雲端的沙盒:
基於雲端的技術與資源進化得更為豐富了,“移交”式分析與檢測成為檢測潛在威脅的一種好工具。基於雲端的沙盒可以在可控的系統中執行未知的檔案與URL,所述可控的系統可以分析這些檔案與URL的行為規則以檢測可疑或異常的活動。
終端控制/AV:
舊有的基於客戶端的反病毒與反灰色軟體防禦解決方案仍可提供可靠的病毒與灰色軟體防禦。但是多數客戶端應用不能防禦零日攻擊,可以阻斷的是黑客使用過去的相同或相似的攻擊手段。
資料防洩漏(DLP):
正確的識別敏感資料並有效地實施DLP解決方案是公司機構能夠高效的保護敏感的資料避免洩漏的方法。
入侵防禦(IPS)/入侵檢測(IDS):
IPS與IDS產品可以作為另一層監控網路流量可疑活動的防禦體系。好的IPS與IDS系統同樣會對IT人員報警潛在的威脅。
主動打補丁:
計算機裝置的安全有賴於所執行的軟體的安全,所以及時的打補丁是非常必要的。關鍵補丁不及時安裝的話,公司機構的網路系統就存在著可被攻擊的漏洞。對於業務環境要求苛刻、不間斷執行的使用者,保持測試裝置能夠執行補丁測試關鍵應用的環境很重要,這樣才能夠不影響到主網路環境。
管理許可權的限制:
一些公司對僱員提供的是基於本地的管理許可權,便於隨時管理安全驅動或軟體。這樣的許可權管理是一把雙刃劍,一方面是減少了技術支援的經理且賦予了僱員更多的IT自由度,另一方面會導致網路系統輕易的被黑客訪問或安裝惡意軟體,以及在受害人計算機系統安裝遠端訪問工具(也就是RAT:remote access tools)。細化管理許可權也有助於攻擊的防禦。
網路訪問控制:
NAC是一種網路資源訪問限制的解決方案,也就是說,只有符合某些規則或策略後訪問網路資源。舉例說明,如果一臺計算機裝置最近沒有打補丁,NAC可以做策略限制將該裝置隔離在子網直至其打了補丁後才可以訪問網路資源。
雙因子驗證:
適用於終端使用者可選的有很多種雙因子認證方式。通過對遠端使用者或需要訪問敏感資料的使用者實行雙因子認證,也可以有效防禦資料的丟失或信用狀被竊取,因為攻擊者需要提供另一種方式的識別才能夠進行網路訪問。
通常使用的雙因子認證方式包括標準的使用者名稱與密碼,加上基於硬體或軟體的認證金鑰,該金鑰是用於提供一次性有效的數字串,在使用者名稱與密碼輸入後必須輸入的金鑰數字。
UDB使用限制:
多數的計算機裝置是沒有任何限制執行USB及其中的自動的應用。在驅動中嵌入惡意程式碼也是黑客常用的攻擊手段之一。嚴格禁止USB的使用是相對最安全的做法,但是如果USB的使用是必需的,那麼可以配置策略阻斷自動執行的驅動程式。
基於雲端檔案共享的訪問限制:
例如Dropbox這樣的服務是享有廣泛的應用的,不管是在家或是在辦公室。如同USB驅動訪問,限制策略是必要的。基於雲端的檔案共享與同步應用使攻擊者先攻擊家用的計算機,並在使用者同步檔案到公司網路時將惡意軟體帶到公司網路中有機可趁。
融合性防禦
我們能夠很明確的是,一些組織是不惜一切代價將感興趣的資料弄到手,同時也沒有一種萬能的方法消除APT攻擊的風險; 企業或公司機構可以採取風險最小化的多層以及融合性防禦戰略。
防火牆與入侵防禦技術的部署是綜合有效安全防禦策略的開始;反灰色軟體技術,結合資料防洩漏以及基於角色的安全策略配置也應用綜合防禦應包括的重要部分。同時,反垃圾郵件與網頁過濾的解決方案,也是應用控制機制的進一步落實,在攻擊的每個階段步驟都具有有效的防禦,才是APT攻擊防禦的萬全之策。
原文釋出時間為:2015-11-20
本文作者:賽迪網
本文來自雲棲社群合作伙伴至頂網,瞭解相關資訊可以關注至頂網。
相關文章
- 如何防止SQL隱碼攻擊?網路安全防禦方法SQL
- 分層安全防禦的關鍵:網路VS端點
- 網路攻擊盯上民生領域,應對DDoS和APT攻擊,如何有效防禦?APT
- 網路層協議及ARP攻擊協議
- 勒索軟體攻擊正在演變 網路安全防禦策略也應該如此
- Python網路攻防之第二層攻擊Python
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- 為什麼網路安全防禦人員應該擁有網路攻擊者的思考方式
- 網際網路公司如何防禦DDoS攻擊?
- APT攻擊APT
- 直播行業如何防禦網路攻擊?行業
- 電商平臺如何防禦網路攻擊?
- 兩會代表:加強防範勒索軟體攻擊,提升國家網路空間安全防禦能力
- 怎麼解決網站被DDOS攻擊 利用7層協議進行防禦網站協議
- DNS成網路攻擊重點物件,如何構建立體化域名安全防護體系?DNS物件
- 用Linux系統防火牆功能抵禦網路攻擊Linux防火牆
- 【網路安全】如何有效地防禦DDOS攻擊和CC攻擊?
- Akamai淺談網路攻擊的防禦AI
- 常見網路攻擊有哪些?如何防禦?
- 你準備好防禦下一次網路攻擊了嗎?
- 常見的網路安全防禦體系有幾種?網路安全入門
- 瞭解常見網路攻擊方式,做好網路安全防範!
- 為什麼網路安全防禦無法抵禦勒索軟體?
- 國內首現公有云遊戲APT攻擊事件,騰訊安全助力構築遊戲安全防護體系遊戲APT事件
- 高防伺服器如何防禦網路攻擊伺服器
- 防禦網路攻擊的六大絕招
- 如何防禦DDoS攻擊?學習網路安全多久?
- 如何使用Linux命令來防禦網路攻擊?Linux
- 網路釣魚攻擊常用方法及防禦措施!
- 【網路安全入門知識】如何有效防禦DDoS攻擊和CC攻擊?
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- 挫敗APT攻擊從網路安全基礎工作做起APT
- 網站被攻擊如何防禦網站
- 計算機網路(一):網路層次劃分計算機網路
- 9、如何理解應用層、傳輸層、網路層、鏈路層、物理層
- APT攻擊備忘APT
- [面試∙網路] TCP/IP(一):資料鏈路層面試TCP