IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

趋势科技提醒企业采取长期而有效的威胁管理(2)

2012年02月02日
中国IT运维网/四方

长期而有效的威胁管理将有效避免成为APT攻击的受害者
  面对黑客使用APT网络间谍的攻击手法,趋势科技中国台湾技术总监戴燊认为,这并没有单一的解决之道,因为黑客为达目的、不择手段的攻击方式,企业的威胁防护也必须从造成企业威胁的每一个防护弱点下手。
  首先,防病毒软件还是基本防御之道。黑客使用这些针对式的恶意软件,一般商用防病毒软件无法侦测,戴燊建议,政府或企业环境内应首先部署各种过滤设备,并针对可疑的恶意软件样本先进行第一轮的过滤后,再送到后端自动化分析机制。如果要判断该恶意软件是否是有针对性的,则需要与防毒厂商充分达成默契,这样就能让防毒厂商针对该攻击,制作出定制化的病毒特征给该单位。
  第二,除了防病毒软件的防御层面外,进行企业环境的威胁发现,则是预防APT的有效之道。要预防黑客发动APT攻击,得先改变对威胁环境的认知,进行各种高级监测威胁,以降低灾害。这包括,企业内部的威胁发现机制是否足够,以及是否有能力可以对网络中的封包或Session进行攻击特征的分析。
  第三,就是针对APT攻击的“持续性”建立长期的分析能力。除了日报、周报、月报外,更重要的是要看出长期的趋势变化,时间更长的季度报甚至是年报所呈现出来的攻击趋势,其实更重要。因为面对黑客发动的APT攻击,企业最忌讳当成单一事件,所以IT工程师们应对于每个月安全事件进行检查,并确定是否每个月都重复发生,观察是否有持续性。
  第四,由于APT攻击类型很多,也很难检测,很多企业仍然仅依赖于以预防为主的工具,例如防毒代码技术和传统的网络层防火墙。高级持续攻击者更倾向于0day漏洞,或者利用目标公司基础设施存在的漏洞问题。因此,抵御APT攻击者的理想防御方法是结合最新的云安全技术,对网络和系统达到实时监测和统一管理。但是现在市面上很多工具都是针对不同的基础设施,纵观所有事件和日志往往是需要手动来操作。这就给了攻击者更多时间和机会来深入受害者组织,因此,将安全基础设施利用云安全架构中的统一管理模式,将这些报表和日志联合起来,才能有效地识别出漏洞和攻击的存在。
  第五,也是我们反复提到的信息安全教育,因为这将是严防APT攻击最后的防线。从Google到RSA,这些单位受到攻击的关键因素都与普通员工遭遇社交工程的恶意邮件有关。从RSA受攻击的事件可以发现,黑客刚一开始,就是针对某些特定员工发送的钓鱼邮件,就是该起RSA遭到黑客使用APT手法进行攻击的所有源头。在今年稍早,美国有另外一家信息安全顾问公司HBGary也面临类似的攻击方式,那就是黑客假冒CEO发信给IT部门同事,由于“天时地利人和”的条件配合下,IT人员对于黑客冒名发送的这封信件完全不曾怀疑,IT人员直接将该公司IT系统Administrator的账号、密码给被黑客冒名的CEO发送回去。因此,HBGary内部的IT系统防护也在一夜之间溃堤。


安全意识淡薄,APT只需要5个步骤就能轻松“俘虏”目标系统

  最后,如果已经清除了内部的恶意代码,员工和管理层还应该预料到APT攻击者们迟早还会卷土重来,然后重新建立他们的据点,这也就让企业所面临的威胁环境变得越来越具有挑战性。不过,当我们清楚的认识到,这些对于信息系统进行攻击方法的正在变化,我们就有决心有毅力,并有效的能够遏制住APT攻击。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

ARM架构能否撼动x86的地位成为处理器主流?
ARM架构能否撼动x86的地位成为处理器主流?2012年10月29日,AMD宣布除了原有的x86处理器之外,该公司将设计面向多个市场的64...
第三季度服务器市场盘点:思科和戴尔是赢家
第三季度服务器市场盘点:思科和戴尔是赢家根据Gartner和IDC的数据显示,在第三季度服务器市场中,戴尔营收和出货量双双上涨...

本类热点