IT安全威胁越来越大,迫使许多企业只好拼命追赶,以应对最
新的安全威胁,这早已不是什么秘密。没有什么比高级持续性威胁(APT)更让人忧心忡忡的了,这种比较新的攻击手段其目的是窃取有价值的信息。APT的工作原理是,查找网络安全漏洞,找到漏洞后钻空子,
然后利用该漏洞作为跳板,进而侵入到网络
里面。简而言之,APT利用多种似乎不相关联的方法,获得立足点,进而闯入管理员误以为很安全的系统。APT的真正危险来自这个事实:得逞的攻击常常无人注意,直到信息丢失或其他破坏已造成过去很久后才恍然大悟;这样一来,查明实际发生的真相和破坏程度变得极其困难。防范APT与其说是个技术问题,还不如说是个战术问题:事实证明,采用层次防御这种战术是可取的策略,可以阻止APT渗透,并通过企业网络扩散开来。简单地说,APT可能只需要一个安全漏洞就能渗入到企业,不过如果能检测到并阻止攻击活动,就能规避渗透后造成的大部分危害。然而,这可能是个艰难的过程,因为许多基于APT的攻击旨在模仿合法用户的行为,并通过隐蔽手段收集信息。不过,安全工作重在预防,而不是补救;如果结合一些最佳实践,只要做好某些基本安全工作,就算不能防止所有基于APT的攻击,至少也能防止大多数此类攻击造成任何破坏:•部署反病毒软件:保护端点设备远离恶意软件是防止攻击的一个关键要素。然而,由于攻击手段越来越多样,病毒特征急剧增多,加上自我变异的病毒不断演变,传统的反病毒软件包可能满足不了保护的需求。这就是为什么有必要采用多层次、基于威胁的保护体系,这种体系包括传统的完全和部分特征匹配,以及识别、阻止和删除已知恶意软件和变种的功能。此外,反病毒系统应包括先进的行为分析、漏洞检测和沙盒机制。这有助于识别、阻止和删除隐藏的和未知的恶意软件。此外,解决方案需要按需深层扫描功能,应该提供具有集中可视性的自动更新。消费级产品
往往在这些功能的某个或多个方面不尽如人意,网络管理人员应该寻求企业级解决方案,以实现最大程度的保护。•充分利用配置和补丁管理:软件漏洞继续层出不穷,每天都在发现新的漏洞,因而连最积极主动的网络管理人员也很难将安全补丁工作做得井井有条。这里,自动化变得必不可少,尤其是由于系统越来越
复杂,变得更加分散。随时了解已知漏洞需要经常打补丁,而且要谨慎。漏洞识别出来与修复漏洞的补丁发布存在一个时间差,攻击者在打这个时间差。报告表明,90%以上的网络攻击钻了已有相应补丁的已知安全漏洞的空子。配置和补丁管理系统对任何企业来说已成为必不可少的工具,不过一些系统
缺少成功保护所需要的全部功能。解决方案应该提供集中式管理,监控和管理跨平台系统的功能,以及为监控的所有系统(包括端点设备、服务器和移动设备)提供基于策略的安全配置。除了所使用的操作系统外,解决方案还应该为第三方应用程序提供全面日志记录、报告和支持功能。此外,自动化是任何安全解决方案取得成功的真正关键,如果更多的任务能够自动完成,就能
缩短修复漏洞的时间。•设备管理:企业中使用的几乎任何设备都会成为APT得逞的根源。这些设备种类繁多,既有可移动介质,又有智能手机,还有便携计算产品。简而言之,如果设备能连接到企业,它就有可能成为窃取数据或感染系统的媒介。为了应对与设备有关的威胁,必须建立控制机制,这通常表现为数据泄漏防护系统。有了该系统,访问得到控制,所有信息统统加密。解决方案还应该有办法来监控和限制
数据传输,以及防止恶意软件藏在可移动存储设备里面混入企业。•应用程序控制:由于基于Web的应用程序、云服务和社交网络大行其道,用户启动外部应用程序、下载信息、启动脚本或安装应用程序变得非常容易――任何这些内容都有可能含有恶意软件,让APT越过企业防火墙。安装支持应用程序白名单(黑名单)功能的Web过滤系统,可大大有助于防止用户访问上面的应用程序或脚本可能传播恶意软件或发动攻击的网站。应用程序白名单最有希望,因为只允许用户访问那些已经获得公司信任的内容。•部署内存/数据注入预防技术:其中一种最常见的端点漏洞就是缓冲区溢出,即有效载荷“被注入”到系统内存中。另一种注入手法表现为代码被注入到数据库输入表单(通常被称为SQL注入),这迫使数据库服务器返回应加以保护的信息。这两种攻击都依赖外部人员能够借助复杂手段将代码注入到系统中。防止这些攻击通常需要配置安全平台,以便能够检测并防止SQL注入、DLL注入、Skape/JT注入和RMI攻击。其中一些功能内置于现
有的解决方案中,比如Windows Server和桌面操作系统提供了本地内存安全控制机制,比如DEP(数据执行防护)和ASLR(地址空间布局随机化)。理想情况下,应部署集中式解决方案,以便跟踪那些安全问题,并提供自动响应机制,以修复和保护系统。
对大大小小的企业来说,APT已成为一种严重的威胁。不过,合适的策略、最佳实践和适当的安全产品应该对保护企业系统远离威胁大有帮助。原文地址:http://www.techrepublic.com/article/proven-tactics-for-preventing-advanced-persistent-threat-incursions/
防止高级持续性威胁的有效策略
时间: 2024-10-23 14:04:55
防止高级持续性威胁的有效策略的相关文章
《工业控制网络安全技术与实践》一3.2.1 高级持续性威胁攻击
3.2.1 高级持续性威胁攻击 本文讲的是工业控制网络安全技术与实践一3.2.1 高级持续性威胁攻击,近年来,工控系统广泛互联,逐步同生产管理.ERP系统.电子商务系统等相连,纳入到统一的信息系统中.直接暴露在网络空间的工控设备增多,带来的风险也不断增加.针对工控网络的攻击多为有组织的行为,采用了针对性极强的软件或硬件恶意代码渗透的高级持续性威胁(Advanced Persistent Threat,APT)攻击体系. APT是一种以商业和政治为目的的网络犯罪类别,通常使用先进的攻击手段对特定目
解构APT:高级持续性威胁的前生今世
本文讲的是 解构APT:高级持续性威胁的前生今世,就像来自IT.信息.网络安全行业很多缩略词一样,APT(高级持续性威胁)这个术语正变得广为人知.就像新生概念一样,它和它的兄弟词语AET(高级逃逸技术)占据了当今各大媒体的头条. 然而,从这两个术语涉及的最基本层面上来看,它们并没有任何创新.新的简写的确概括了当今这个高度信息化的时代遇到的一些真正的威胁,但它们只是在没人注意的时候偷偷重新发明了自己.因此,APT里代表持续性(Persistent)的那个"P"看上去才显得如此恰当(apt
高级持续性威胁检测无法检测出自定义恶意软件?
Nick Lewis(CISSP,GCWN))是一名信息安全分析师.他主要负责风险管理项目,并支持该项目的技术PCI法规遵从计划.2002年,Nick获得密歇根州立大学的电信理学硕士学位;2005年,又获得Norwich大学的信息安全保障理学硕士学位.在他09年加入目前的组织之前,Nick曾在波士顿儿童医院.哈佛医学院初级儿科教学医院,以及Internet2和密歇根州立大学工作. 最近的一项测试显示,有些知名威胁检测产品无法检测出自定义恶意软件.如果说这些系统没有用,企业是否仍然应该将它们加入到
sophos高级持续性威胁(APT):检测,保护和预防
现今没有真正的子弹可以抵御的APT攻击,最有效的做法还是端到端的策略,这仍然是最有效的保护,防止高级和共通的http://www.aliyun.com/zixun/aggregation/10370.html">网络攻击. 防火墙? 防火墙是网络防御的第一层,是传统的包过滤型,是一个方便的方式来关闭最常见的洞(或端口). 入侵防御系统(IPS) 基于网络的IPS需要深入了解网络流量,并添加一层额外的保护在外围.主机入侵防御系统,或HIPS,是典型的一部分防病毒解决方案.通过不断的监测,IP
US-CERT结合影子经纪人事件 给出网络基础设施高级威胁解决方案
影子经纪人攻击NSA方程式组织事件,可以看到保护关键信息基础设施对维护企业之间通信和服务的保密性.完整性和可用性至关重要.为了应对关键信息基础设施设备威胁,美国计算机安全应急响应组US-CERT介绍了近期高级持续性威胁(APT)源起方所利用的攻击向量,并提供了预防和缓解建议. 脆弱的网络设备一直是首选的攻击向量 关键信息基础设施中的一部分由互联设备组成,用于数据.应用程序.服务和多媒体通信.本文主要针对(或涉及)路由器和防火墙.然而,网络中有很多其他设备,如交换机.负载均衡器.入侵检测系统等.诸
改进威胁情报策略的九种方式
每位首席信息安全官的梦想都是拥有一艘没有任何漏洞的船,高级持续性威胁和黑客活动分子永远无法攻破它.这的确是一种梦想,但我们应当将其变成现实.问题在于,当人们越来越靠近优化威胁情报策略的理念时,他们往往会忽略大局. 宣传和使用威胁情报只有一个真正的目标:减少行动风险,以保持或提升盈利能力.随着攻击方制造数据破坏的新趋势,受到长期损害的可能性也变得更高.那么,首席安全官应当如何行动? 通过将情报资源集中于高度特定化的商业目标(保持或提升盈利能力),过大的目标可以被缩小到一小点高度有价值的情报.要做到
2015年DDoS攻击及应对高级威胁的5大趋势
作为DDoS防御服务领域中的关键一员,Arbor Networks于26日发布了其第11次年度全球基础设施安全报告,并在报告中回顾与分析了2015年企业和运营商所遭受到的DDoS(分布式拒绝服务)攻击以及应对高级威胁的策略变化等轨迹. 2015年DDoS攻击及应对高级威胁的趋势分析 该报告根据从企业(占38%)与网络运营商(占52%)收集到的354份调查反馈,总结出2015年DDoS和高级威胁的五大发展趋势,为各机构进一步加强网络安全防护提供了参考. DDoS攻击的5大趋势 2015年DDoS攻
Cyphort的平台使高级威胁保护比以往更容易
先进的威胁防御平台3.3版本将多个安全层结合到了一个易于部署的封装打包中. 在过去的几个月里,我们一直在就各种最前沿的.能够抵御高级持续性威胁(advanced persistent threats ,APTs)的相关安全工具进行着讨论;这其中包括了从安全威胁情报(Threatintelligence)到虚拟沙盒再到特权身份管理的一切.尽管所有这些程序都相当强大,但当涉及到可用性和定制化方面的问题时,这些工具都有着不同程度的复杂性. 而由一家以软件方式解决APT问题的新兴创业安全公司Cyphor
《工业控制网络安全技术与实践》一一3.2 工业控制网络常见的安全威胁
3.2 工业控制网络常见的安全威胁 随着工业信息化进程的快速推进,信息.网络以及物联网技术在智能电网.智能交通.工业生产系统等工业控制领域得到了广泛的应用,极大地提高了企业的综合效益.为实现系统间的协同和信息分享,工业控制系统也逐渐打破了以往的封闭性:采用标准.通用的通信协议及硬软件系统,甚至有些工业控制系统也能以某些方式连接到互联网等公共网络中.这使得工业控制网络面临病毒.木马.黑客入侵等传统的信息安全威胁,本节将从ATP攻击.漏洞.病毒等方面介绍工业控制网络常见的安全威胁.3.2.1 高级持