防范 APT 不能只依赖防火墙、ISP 和防毒软件

作者：趋势科技

曾经，安全技术所必须避免的重点就是产生一连串的事件通知。将系统调整到只会通报已经确定的恶意攻击事件是首要任务。你的防火墙必须非常肯定这些流入封包不属于已建立的网络连接，或是入侵防御系统需要能明确指出这些封包是在尝试做漏洞攻击才能提出警报。

在 20 世纪，甚至是 21 世纪初，我们习惯防御就是将一切弄得清清楚楚；防火墙告诉我一切正常，IPS 告诉我一切正常，防病毒软件告诉我一切干净；所以一切就都正常，对吧？错了，这种短视的安全作法就是让针对性攻击在世界各地如此成功的原因之一。

在现实里，那句见树不见林的古谚说得再生动不过了。我们太过于注重“已知的恶意”，因为想要更精简和集中分析而对“正常”的处理，让我们忽略脉络而陷于危险中。

想象一下，在你服务器机房外的走廊上一个安全监视器照到一个人，让我们叫他戴夫。利用步态辨识和脸部识别都可以确认戴夫的身分，系统甚至可以指出他穿着清洁工的制服，这很不错，因为戴夫是名清洁工。戴夫接近服务器机房大门，使用他的 NFC 卡开门，因为安全监视器和门禁系统已经联机，所以可以打开。在服务器机房内的第二个监视器也确认的确是戴夫走进门来，一切都很好。

根据短视模型，这些事件都将被弃用，放进即将被清除的日志文件夹内，因为“这里没什么值得看的”，但是这些事件所呈现出的脉络对我们想监视的事情非常珍贵……

如果戴夫在服务器机房内不是在做清洁地板这类已知良好的行为，而是坐在一台服务器前开始敲键盘呢。这显然不是件好事，应该在某处敲响警钟。但如果我们去掉我们聪明的大脑所记得和关连出的所有脉络，那还剩下什么？一个人在服务器机房使用计算机？警备队退下，这事件当然也属于“这里没什么值得看的”文件夹。

在 APT 高级持续性渗透攻击的年代，安全事件监控准则也产生了变化。除非我们开始利用海量数据管理和事件关联所带来的机会，除非我们开始扩大可供我们安全信息和事件管理系统使用的数据，不然高度针对性目标攻击还是会继续逃脱我们的监视。攻击者利用合法用户的身分认证和信任关系，持续待在你最敏感网络内很长一段时间，可以自由自在地穿越松散的安全技术。

除非你学会退两步来看事件，不然你还是只会见树而不见林。脉络才是王道。

＠原文出处：Perspective Matters: Contextual Security

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！