apt攻击如何防御
1.利用日志文件查找攻击者
由于典型的APT攻击是在较长时间内以协调的方式运用常见工具,因此将阻断鱼叉式钓鱼尝试等孤立事件识别为更大规模APT攻击征兆几乎是不可能做到的。但如果将各种系统的信息关联起来(一般是利用日志文件),就可以立刻发现这些看似无关的事件之间的关系。可以在 Web 网关代理、网关防病毒、防火墙、网页过滤器、DNS、IPS/IDS以及其它解决方案的日志文件中找到APT活动的痕迹。在建立了典型活动的基准线后,应该制定对异常情况的敏感度,这样就知道何时需要检查其它系统的日志中有无相似的APT警报信号。将多个系统关联起来的报告工具使建立反映异常活动情况的基准线和设计报告的工作得到简化。
2.网页过滤器和安装系统补丁
由于大部分APT都会充分利用常见的攻击方法和工具,因此在防御上首先要正确地运用标准防御。如果正确地使用防御并经常性地对它们进行更新,当然会有帮助。不过最好是加入云服务,这样就不需要下载、安装补丁或更新了。
3.内部人员威胁
迄今为止,最危险的内部人员是那些因无知而向攻击者提供攻击组织手段的雇员。有太多的用户并没有意识到他们粗心大意的登录和社交网络习惯可能给企业数据带来的安全风险,APT和大众市场恶意软件攻击通常都会对这种疏忽加以利用。
(1)限制能够远程访问机构资源的帐号,大多数攻击都采用了某种远程接入机制。如果信息系统提供VPN或者拨号接入,考虑把远程接入帐号仅限于提供给那些有合法的业务需求的人。
(2)限制远程接入的范围,不要自动批准远程接入者拥有与其在办公室拥有的同样级别的权限。限制通过远程接入访问重要的资源。这样不仅可以保护不受内部人员的远程威胁,而且还要防止恶意软件通过远程接入连接引起的日益增长的威胁。
(3)强制执行最小权限原则,每一个人都只需要拥有最低限度的权限,这个原则通常只是在口头上,而没有在行动上落实。需要进行帐号审查,保证没有因为工作变动和职责的变动而影响到用户的使用权限。
(4)不定期的进行内部安全培训。
4.分层防御
提倡采用分层防御策略来应对处于生命周期各阶段的威胁,以实现容错型安全状态。可以借助APT的实际定义评估现有解决方案对攻击者在各个阶段可能使用的各种工具的防御能力。
通过部署分层控制来实现深度防御信息系统安全,是抵御APT的最佳方法。
(1)整理网络中已经存在的控制,确保这些控制是有效的且受到良好管理的。对已经部署的防火墙、入侵检测和预防系统(IDS/IPS)、反恶意软件包和其他控制,需要进行定期审计,保证它们部署一致。另外,在考虑增加额外的防御层前,也需要检查这些基础信息。
(2)如果没有部署安全事故和事件管理系统,可以利用进行部署。安全事故和事件管理系统是对付APT的有效工具,因为这个系统可以从不同来源收集和关联安全数据,帮助找出APT攻击渗透进入网络的踪迹。
(3)数据丢失防护系统是一个很好的最后防线,它能够检测和阻止出有人有意或无意地将敏感信息从网络中移除。
(4)内容过滤系统可以帮助进一步防止钓鱼攻击和其他web与电子邮件威胁。虽然员工培训是防止社会工程学的最有效的方式,但内容过滤可以在用户泄露其账户信息前阻止用户。