网络安全 频道

保护网络安全:如何摆脱高级持续威胁?

  高级持续威胁(APT)攻击,这种类型的攻击并不是无法发现,事实上,这算是企业管理员比较容易发现的。然而,高级持续威胁非常难以从网络中消除,即便完全消除,也会对企业效益造成严重影响,并且会让企业环境受到更多的攻击。虽然每一个高级持续威胁的案例都很独特,但本文将为大家提供几个打压这种威胁的一般方法。发现和消除(或者说至少是减少)APT攻击需要谨慎小心和周密隐蔽的规划,以免打草惊蛇,让攻击者反咬一口。

保护网络安全:如何摆脱高级持续威胁?

  为企业治理行动进行全面准备

  如果你是IT管理员,你需要与IT高级管理层沟通高级持续威胁的问题,并且提出解决问题的初步计划,这往往会发展成向所有的高级管理人员讲解,包括董事会、监管机构、合作伙伴、供应商等。让高层管理来决定哪些人何时应该知道这个问题。

  第一个主要的技术响应应该是在网络中部署更多的检测,你需要找出APT问题的严重性。哪些计算机被感染?密码是否已经泄漏?使用了哪些工具和恶意软件?电子邮件被破坏了吗?数据都流向哪里呢?内部和外部?至少,检测APT通常意味着部署主机和网络入侵检测软件。

  接下来,你需要确定处理问题的非常好的方法。你可以选择立即从网络中移除每一个被感染的计算机。你可能开始会允许这些系统继续运行以免APT攻击者意识到他们已经被发现。这对于每个公司来说,都要进行不同的风险判断。

  然后,邀请整治参与者,并且做一个消除APT计划。你的网络安全团队应该包括技术人员、高级管理人员代表、供应商专家、ATP专家、受影响的业务部门团队领导、信息组、项目经理和需要参与进来的其他人员。在一般情况下,从小处着手,并且尽可能多的让必要的人员参与。所有参与的人员都需要签署一份保密协议,即使已经跟公司签署过一份。你需要确保在正式的计划部署以前,这项行动不会被其他不必要的人员知道。

  将APT和整治行动命名为“棒球游戏”或者“旅游计划”等,以用于参与者之间的沟通,以免引起ATP攻击者不必要的注意。

  想要摆脱高级持续威胁并不难,但是想要在不造成业务中断的情况下来实现根除ATP则是困难的部分。为此,在你在网络范围内执行大规模清理整治行动之前,应该对所有应用程序和服务编制详细目录。分配责任,也就是确定谁负责回答关于每个资源部分的问题,以及保持运行工作等。记录那些用户和服务帐户对于保持业务功能是必要的。

  此外,确定威胁程度:哪些应用程序和服务在停机的时候必须保持运行?高层管理层能接受的最坏情况是什么?在最近一个实例中,不可接受的事情就是公共财务报表的迟交,但是其他一切行为都被认为是合理的。其他公司则对关键业务应用程序可接受的停机时间进行了界定。

  下一步,对用户、计算机、服务帐户、网络设备和互联网连接点进行详细记录。有多少数量?它们在什么位置?制定围绕这些问题的生命周期管理政策和程序,从创建和所有权到删除(不再需要后)。

  大多数环境都有太多对象,缺乏明确的所有权,并且无法确定在现有的项目中,哪些是合理的或者是必要的。我们需要打破这个恶性循环,删除不必要的对象,例如,企业通常都会减少网络环境中大量被提升权限的帐户。这在整治期间是很有效的方法,但是从长期来看,如何能够保持?

  最后,在整治之前,确保系统安装了最新修复程序,这对于彻底摆脱高级持续威胁是否游泳。此外,对你的网络、广域网以及最重要的基础设施系统进行健康检查,确保在整治开始之前,网络和环境处于最高效率的运行状况。

0
相关文章