高级持续威胁(APT)攻击,这种类型的攻击并不是无法发现,事实上,这算是企业管理员比较容易发现的。然而,高级持续威胁非常难以从网络中消除,即便完全消除,也会对企业效益造成严重影响,并且会让企业环境受到更多的攻击。虽然每一个高级持续威胁的案例都很独特,但本文将为大家提供几个打压这种威胁的一般方法。发现和消除(或者说至少是减少)APT攻击需要谨慎小心和周密隐蔽的规划,以免打草惊蛇,让攻击者反咬一口。
为企业治理行动进行全面准备
如果你是IT管理员,你需要与IT高级管理层沟通高级持续威胁的问题,并且提出解决问题的初步计划,这往往会发展成向所有的高级管理人员讲解,包括董事会、监管机构、合作伙伴、供应商等。让高层管理来决定哪些人何时应该知道这个问题。
第一个主要的技术响应应该是在网络中部署更多的检测,你需要找出APT问题的严重性。哪些计算机被感染?密码是否已经泄漏?使用了哪些工具和恶意软件?电子邮件被破坏了吗?数据都流向哪里呢?内部和外部?至少,检测APT通常意味着部署主机和网络入侵检测软件。
接下来,你需要确定处理问题的非常好的方法。你可以选择立即从网络中移除每一个被感染的计算机。你可能开始会允许这些系统继续运行以免APT攻击者意识到他们已经被发现。这对于每个公司来说,都要进行不同的风险判断。
然后,邀请整治参与者,并且做一个消除APT计划。你的网络安全团队应该包括技术人员、高级管理人员代表、供应商专家、ATP专家、受影响的业务部门团队领导、信息组、项目经理和需要参与进来的其他人员。在一般情况下,从小处着手,并且尽可能多的让必要的人员参与。所有参与的人员都需要签署一份保密协议,即使已经跟公司签署过一份。你需要确保在正式的计划部署以前,这项行动不会被其他不必要的人员知道。
将APT和整治行动命名为“棒球游戏”或者“旅游计划”等,以用于参与者之间的沟通,以免引起ATP攻击者不必要的注意。
想要摆脱高级持续威胁并不难,但是想要在不造成业务中断的情况下来实现根除ATP则是困难的部分。为此,在你在网络范围内执行大规模清理整治行动之前,应该对所有应用程序和服务编制详细目录。分配责任,也就是确定谁负责回答关于每个资源部分的问题,以及保持运行工作等。记录那些用户和服务帐户对于保持业务功能是必要的。
此外,确定威胁程度:哪些应用程序和服务在停机的时候必须保持运行?高层管理层能接受的最坏情况是什么?在最近一个实例中,不可接受的事情就是公共财务报表的迟交,但是其他一切行为都被认为是合理的。其他公司则对关键业务应用程序可接受的停机时间进行了界定。
下一步,对用户、计算机、服务帐户、网络设备和互联网连接点进行详细记录。有多少数量?它们在什么位置?制定围绕这些问题的生命周期管理政策和程序,从创建和所有权到删除(不再需要后)。
大多数环境都有太多对象,缺乏明确的所有权,并且无法确定在现有的项目中,哪些是合理的或者是必要的。我们需要打破这个恶性循环,删除不必要的对象,例如,企业通常都会减少网络环境中大量被提升权限的帐户。这在整治期间是很有效的方法,但是从长期来看,如何能够保持?
最后,在整治之前,确保系统安装了最新修复程序,这对于彻底摆脱高级持续威胁是否游泳。此外,对你的网络、广域网以及最重要的基础设施系统进行健康检查,确保在整治开始之前,网络和环境处于最高效率的运行状况。
致命一击:快速有力地打击攻击者
整治日应该很早之前就进行规划。有一个明确的行之有效的步骤,并且列明时间表和责任分配。每个人都应该知道自己在做什么以及何时进行。最起码,整治日通常都是从断开企业网络与互联网的连接开始的,这样APT攻击者将不能作出反应和控制正在发生的事情。
将所有已知的APT系统离线并且进行全面重建。更改所有的帐号密码,包括服务帐户等。考虑对权限较高的帐户进行双因素身份验证。使用新的身份验证证书测试所有关键任务应用程序和服务。有些公司竟然还完全重建他们的LDAP/Active Directory基础设施,这真的是明显减小ATP风险和再开发的唯一方法。
有些公司建立新的基础设施,有些则慢慢地进行迁移,前一种方法比后一种方法要安全,但是后者更加容易同时确保业务操作的流畅性。
在允许用户使用新的密码重返网络之前,要求所有用户学习关于高级持续威胁以及目前流行的恶意软件技巧(如恶意的PDF、假冒防毒软件和社会工程学)的知识。可以告知员工APT整治行动或者简单地告诉他们新密码是企业为了减小安全风险的新方法,这取决于高层管理。
不要对高级持续威胁放松警惕
员工和管理层应该要警惕APT攻击者可能通过他们的老据点卷土重来,整治行动后的最初几天是风险最高的时期。
笔者个人很喜欢计算机和域名隔离。大多数工作站不需要与其他工作站通信,并且大多数服务器不需要与其他服务器通信。确定需要那些通信路径,然后将其他路径阻止。使用最快最笨的设备/服务来完成这个任务。只有当必要的时候才使用智能(但更慢)应用程序级防火墙和代理服务器。
确保内部开发团队正在使用安全的开发生命周期技术。此外,部署全面的事件日志管理系统、检测和响应。大多数恶意行为都会被发现,如果事件日志配置正确和审查的话。
展望未来,查找不常见的网络通信模式。这通常是APT攻击者留下的第一个踪迹,他们是这样做的:窃取信息,将信息转移到你通常不会发送数据的位置。
最后,考虑部署一个或者多个预警蜜罐(honeypot),它们都很便宜、低噪音,并且可以很好地部署在任何网络的非常好的检测设备间。攻击者为了利用网络,他们必须接触计算机。蜜罐是非生产性资产,因此,在最初的微调后,不可能被触碰。
综上所述,减小和消除高级持续性威胁是所有公司所面临的最艰难的挑战。如果你受到高层管理人员、业务主管和财务考虑的限制,完全摆脱这些入侵者非常困难。对于很多公司来说,最普遍的做法就是与高级持续性威胁永远和平共处,但是如果愿意的话,其实任何公司都可以打一个漂亮仗。