当APT攻击者拥有很大程度的控制权时,我们该如何防御?
来源:互联网 发布:bc417中文数据手册 编辑:程序博客网 时间:2024/06/05 14:44
当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到内部网络里,因为这会迫使我们重新思考目前的保护措施。
了解目标攻击:我们要如何防御自己?
作者:趋势科技
在上一篇文章了解目标攻击:我们真正对抗的是什么?中,我谈到在 APT 高级持续性威胁/目标攻击里攻击者所掌握到的优势,以及我们需要接受这样的事实,以便正确处理攻击,这种做法的重要性。现在需要讲讲困难的部分:当我们认识到攻击者拥有很大程度的控制权时,我们现在该怎么办?
请记住,即使我们意识到攻击者掌握更大控制能力时,并不代表我们没有任何控制力。我们的确有,而且要记住,如何善用我们所拥有的控制能力去处理目标攻击是非常重要的关键。
控制外围网络
当然,想要让任何形式的控制能力真正发挥作用,就必须完全了解自己到底掌控了什么。牢牢控制谁和什么东西可以访问网络,以及拥有什么层次的权限可能会牺牲掉大部份员工的便利性,但是想到 APT 高级持续性威胁/目标攻击的危险性,还是把安全放在第一位比较重要。
确认网络的部分工作就是要有深入的了解,具体化我们认为正常的作业、流程、事件和行为。知道什么是真正的正常状态,这将有助于更快也更正确地识别出异常来。
一旦确认好网络范围,另一个关键是要有监控网络的措施,这里所谈的是对于任何网络进出的能见度和控制能力。可以帮助网络管理员这样做的技术之一是 DNS Response Policy Zone(RPZ)。DNS RPZ 提供了一种可扩展的方式,借此可管理网络连接。如果配合域名黑名单机制,就能建立一个更加安全的网络环境。
部署由内到外的防护
传统的防御重点在于强化防火墙,并通过黑名单过滤坏份子。而在今日,这个“由外到内”的策略对抗一般的简单攻击是很有效,但在面对 APT 高级持续性威胁/目标攻击时就帮不上忙了。传统防御是用来对抗那些形式和来源都很容易识别的攻击,但非目标攻击。
传统的防御
一个好的防御典范是魔戒里的刚铎首都 – Minas Tirith。这座城堡的设计是将主城放在中心,四周环绕着七层高墙。每一个层都比前一层高,最外围的墙壁最低矮,但也最坚固。每层墙壁都有城门,但门与门之间没有办法直接通过,每个城门都位在城堡的不同方位。这也是军事战略中被称为“纵深防御”的策略。它非常有效,因为不仅提供对外部攻击的防护,还可以防止由内发起的攻击。套用在网络防御上,就好像部署多层次防护,并对关键数据进行加密。
纵深防御
高墙也代表了另一个重要策略。就是让攻击者越来越难向前渗透,站在高墙上的弓箭手可以鸟瞰任何风吹草动。同时,弓箭手不只防御着围墙外的敌人,还刻防御已经出现在内部的敌人。套用在信息安全上,就是通过网络监控来增加能见度,也让防御者对于内部和外部的攻击都具备相当程度的控制能力。
假设已被入侵,并采取对应的行动
回想一下,在中土世界里被称为牢不可破的刚铎城堡第一墙,最终还是被黑魔王索伦的大军给击破了。同样的,当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到在内部网络里,因为这会迫使我们去重新思考目前的保护措施。
@原文出处:Understanding Targeted Attacks: How Do We Defend Ourselves?
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
- 当APT攻击者拥有很大程度的控制权时,我们该如何防御?
- 当我们失去的时候,才知道自己曾经拥有.
- 苹果的成绩很大程度归功于NeXT
- 该如何管理我们的知识?
- 我们该如何更好的工作
- 我们的员工该如何激励
- 该如何解释我们的第六感
- 如何打开很大很大的文件---python
- 传统企业网站拥有很大的SEO改善空间
- [转]如何精准地找到 SYN 攻击者的真实 IP ?
- 当我们遇到问题的时候改如何解决
- 当我们的经验无法适应新环境的时候该怎么办? Covariate Shift
- 我们该如何做好导师
- 我们该如何设计数据库
- 我们该如何设计数据库
- 我们该如何理解卷积?
- 我们该如何保持独立思考?
- 我们该关注的
- 随笔
- COM学习笔记 参考书籍《COM原理与应用》
- 不同浏览器网页中出现图片兼容性问题
- 以480x800为标准出的标注,转换成相应(240dpi)的dp,然后在不同的屏都这么大 (但wrap_content的图片会随屏变大小)
- SQLServer 2008以上误操作数据库恢复方法——日志尾部备份
- 当APT攻击者拥有很大程度的控制权时,我们该如何防御?
- 黑马程序员_java的语言基础组成进阶(对第三课程序流程控制的总结)
- oneway in aidl
- 硬链接与软链接的联系与区别
- PCA--主成分分析(Principal components analysis)-最小平方误差解释
- dp=(160/dpi) * px dp(虚拟像素)
- Struts2注解版配置
- Mysql批量更新(JdbcTemplate)
- ICA--独立成分分析(Independent Component Analysis)