网络安全 频道

大数据分析 APT攻击防护下一代演进之路

  企业如何抗击APT攻击?

  对于企业防范类似的APT攻击,要力争做到“进不来、出不去、看不懂、拿不走、跑不掉”。首先努力使恶意代码和非授权访问无法进入内部网络,即使主机被攻陷那也使得被攻陷主机无法与外界联系,攻击者获取的数据都是加密的,即使取得数据的访问权限也无法输送到外网,还要对攻击行为进行审计,可以追溯到攻击源。陈亘总结了防范APT攻击企业应该注意的几点:

  1.防范社会工程,社会工程是利用人性的弱点针对人员进行的渗透过程。在企业的信息安全工程中,往往人是最大的弱点,因此提高人员的信息安全意识,是防止社工攻击的最基本的方法。比如可以定期对企业的员工进行安全培训,更要不定时对员工进行社会工程的测试。另外还要从制度上禁止企业员工个人信息以及与工作相关的信息被公布到社交网站上。

  2.主机安全,比如员工PC的杀毒软件一定要统一管理,及时更新,另外一定要打全所有软件的补丁,包括各种文档类软件的补丁。

  3.对垃圾邮件进行彻底检查,对可疑邮件中的URL 链接和附件应该做细致认真的检测。由于APT攻击很多都是利用0day漏洞,因此有些附件可能可以通过杀毒软件的扫描,但这不代表文件100%没有问题,对于垃圾邮件中的附件以及URL链接,最好的方法是在沙箱或者虚拟机中查看。防范可能的0day攻击。

  4.数据层安全,对于企业内部的敏感数据来说一是要作权限管理,并且,重要机器上的用户认证必须经常更改。二是要做信息的加密,包括数据在端点上的加密以及数据在网络传输过程中的加密。

  企业APT防护方案选型

  陈亘表示,企业APT防护选型,要从以下两个方面入手:

  1、管理手段:加强安全基础知识培训,如补丁、口令等知识。完善管理制度,并确定可执行的策略。

  2、技术手段(产品部署):采用整合型产品,在保证检测率与检测性能的同时,减少故障点。对主机、网络、应用层的APT进行全方位防护。例如可以有一下几个方面:

  ▎恶意代码检测引擎:部署在互联网出口和核心交换机之间,实时监测有关恶意代码的威胁攻击。

  终端安全管理系统:文件操作审计、打印管理、光驱刻录管理、IP地址管理、非法接入控制、非法外联管理、移动存储介质管理、资产管理、软硬件安装管理、文档加密。

  安全管理平台系统:Windows/Linux服务器日志收集与分析;路由器、交换机、防火墙、IDS、IPS日志收集与分析;数据库操作日志收集与分析。

  安全审计系统:telnet、SSH、Windows远程桌面、FTP、Oracle、MS SQL、MySQL、Informix、DB/2、Sybase等应用协议的认证、授权、审计、账号管理。

  漏洞扫描系统:对网络设备、应用系统、Windows、Linux等的定期漏洞扫描。

  网络入侵检测系统:采用旁路抓包方式,对整网流量进行监控,对内网的蠕虫、木马、病毒等攻击行为进行有效监控。

  最后,陈亘谈到,“APT作为目前业界关注的热点,世界各国都已经将其提到了国家安全的层面,比如美国政府现在就在花大力气支持APT研究相关的公司(FireEye)。我们国家也成立了国家安全委员会,我相信类似的攻击防护也会列为国家安全的一个重要部分。我相信未来APT攻击防护市场前景是很广阔的,而且攻击防护技术也会更加全面。

0
相关文章