当APT攻击者拥有很大程度的控制权时，我们该如何防御？

当我们的传统防御失败后，接下来有什么方法来防止 APT 高级持续性威胁/目标攻击？比较好的态度就是假设攻击已经进到内部网络里，因为这会迫使我们重新思考目前的保护措施。

了解目标攻击：我们要如何防御自己？

作者：趋势科技

在上一篇文章了解目标攻击：我们真正对抗的是什么？中，我谈到在 APT 高级持续性威胁/目标攻击里攻击者所掌握到的优势，以及我们需要接受这样的事实，以便正确处理攻击，这种做法的重要性。现在需要讲讲困难的部分：当我们认识到攻击者拥有很大程度的控制权时，我们现在该怎么办？

请记住，即使我们意识到攻击者掌握更大控制能力时，并不代表我们没有任何控制力。我们的确有，而且要记住，如何善用我们所拥有的控制能力去处理目标攻击是非常重要的关键。

控制外围网络

当然，想要让任何形式的控制能力真正发挥作用，就必须完全了解自己到底掌控了什么。牢牢控制谁和什么东西可以访问网络，以及拥有什么层次的权限可能会牺牲掉大部份员工的便利性，但是想到 APT 高级持续性威胁/目标攻击的危险性，还是把安全放在第一位比较重要。

确认网络的部分工作就是要有深入的了解，具体化我们认为正常的作业、流程、事件和行为。知道什么是真正的正常状态，这将有助于更快也更正确地识别出异常来。

一旦确认好网络范围，另一个关键是要有监控网络的措施，这里所谈的是对于任何网络进出的能见度和控制能力。可以帮助网络管理员这样做的技术之一是 DNS Response Policy Zone（RPZ）。DNS RPZ 提供了一种可扩展的方式，借此可管理网络连接。如果配合域名黑名单机制，就能建立一个更加安全的网络环境。

部署由内到外的防护

传统的防御重点在于强化防火墙，并通过黑名单过滤坏份子。而在今日，这个“由外到内”的策略对抗一般的简单攻击是很有效，但在面对 APT 高级持续性威胁/目标攻击时就帮不上忙了。传统防御是用来对抗那些形式和来源都很容易识别的攻击，但非目标攻击。

传统的防御

一个好的防御典范是魔戒里的刚铎首都 – Minas Tirith。这座城堡的设计是将主城放在中心，四周环绕着七层高墙。每一个层都比前一层高，最外围的墙壁最低矮，但也最坚固。每层墙壁都有城门，但门与门之间没有办法直接通过，每个城门都位在城堡的不同方位。这也是军事战略中被称为“纵深防御”的策略。它非常有效，因为不仅提供对外部攻击的防护，还可以防止由内发起的攻击。套用在网络防御上，就好像部署多层次防护，并对关键数据进行加密。

纵深防御

高墙也代表了另一个重要策略。就是让攻击者越来越难向前渗透，站在高墙上的弓箭手可以鸟瞰任何风吹草动。同时，弓箭手不只防御着围墙外的敌人，还刻防御已经出现在内部的敌人。套用在信息安全上，就是通过网络监控来增加能见度，也让防御者对于内部和外部的攻击都具备相当程度的控制能力。

假设已被入侵，并采取对应的行动

回想一下，在中土世界里被称为牢不可破的刚铎城堡第一墙，最终还是被黑魔王索伦的大军给击破了。同样的，当我们的传统防御失败后，接下来有什么方法来防止 APT 高级持续性威胁/目标攻击？比较好的态度就是假设攻击已经进到在内部网络里，因为这会迫使我们去重新思考目前的保护措施。

＠原文出处：Understanding Targeted Attacks: How Do We Defend Ourselves?

 

 

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！