@
2年前 提问
1个回答

被APT攻击该如何摆脱

齐士忠
2年前

针对APT攻击从国家、组织(政府机关、企事业单位、社会组织等)、个人三个层面说明应对措施:

国家层面

加快推进关键信息技术国产化替代进程,自主芯片、国产操作系统、自主基础软件研发,国密算法应用推广,6G、量子通信等前沿科技突破,诸多工作刻不容缓,任重而道远。

建立健全网络安全情报共享机制,加强网络安全协同联动,无论是国家队还是民企,增强合作与交流,增进信息共享互惠,并面向重点行业和领域提供便捷的安全服务。

不断完善网络空间安全法律法规,构建完备的法律规范体系,使其覆盖各类新技术、新应用、新场景,同时持续加大监管执法力度和精度,对各类网络违法犯罪行为“零容忍”,营造良好网络环境,构建良好网络生态。

组织层面

建立“少而精、简而远、可量化、可考核”的信息安全管理体系。以解决问题为出发点,以确保安全为目标,以服务业务为基准,全面梳理现有制度,将其与组织的安全目标、合规要求、业务需求相对照,精简制度(不需要的、过时的制度废止,内容和要求简明扼要、直奔主题),整合制度(相似的制度合而为一,内容和要求兼容互补),拔高制度(突出前瞻性,注重长远规划),量化指标(追求客观公正,避免模棱两可),注重考核(不做表面功夫,讲求实际效果),持续提升适用性与可操作性,让管理制度真正成为安全工作的权威准则。

建立“内防为主,外防为辅,虚实结合,攻防兼备”的安全技术体系。外部威胁和内部威胁始终存在,随着安全防护技术的提升,正面攻入的外部威胁少之又少,而内部威胁更易形成安全事件。部署在云平台的系统既要审计南北向流量,也要审计东西向流量,而后者更能发现潜在的安全风险。组织建立的安全防护系统除监测和发现外部攻击事件外,更应重视内部的安全管控,提升主机层面的安全防护,强化虚机与虚机、虚机与物理机之间访问关系的管理,实现抽象访问关系的具象化。组织还应建立和完善网络安全靶场,讲一百遍不如打一遍,在攻防实战中总结经验,不断提升人员技术水平和系统防御效果。

建立“可追溯、可评价、可问责、可优化”的供应链管理机制。组织外部的一系列供应链厂商是自身安全风险的外延,APT组织尤为擅长搜集和整理目标外围合作伙伴,旁敲侧击,找寻薄弱环节,层层渗透,逐步提权,最终拿下目标。大数据时代,组织的安全更多依赖于整个供应链条的的安全,应实现整个供应链条的可控、可管、可追溯,针对供应链条的防护水平和服务能力进行定期评价,优胜劣汰,不断优化供应链条。

个人层面

做好常规安全动作,降低各类已知风险。网络安全从业人员应带头做好常规安全动作,运维终端或个人电脑设置强口令,并定期更换;最小化设置用户权限,及时清理过期或无用账号;设置锁屏和登录失败锁定,空闲时间锁定计算机;定期开展主机杀毒漏扫,及时修复系统漏洞(0day、Nday漏洞不断爆出,及时修复漏洞十分必要);关闭系统无用端口和服务,及时清理临时或无用链接;个人电脑、移动介质、网盘不存储敏感信息,定期清理无用邮件和工作文档;不浏览恶意网站或国外未知网站,不点击来历不明的邮件或链接;针对发现的各类问题及时整改到位,最大限度降低各类已知风险。

学会应对社会工程,持续提升安全意识。组织内部各类人员,尤其是掌握核心系统和数据的安全管理人员,除做好常规安全动作外,还应了解和掌握社会工程学攻击的原理、手段、案例及危害,增强防范意识,不轻信任何人任何事,所有信息核实清楚后再做结论;努力消除猎奇心理,不做任何无益的尝试;如果怀疑自己已经成为社工的对象,应立即更换系统的所有账户口令,全面开展系统病毒和木马查杀,做好敏感信息的安全防护,必要时报告给组织内部的安全部门协助处理。

牢固树立底线思维,居安思危防微杜渐。网络安全,道阻且长。应对APT攻击,应做好打持久战的准备。网络安全从业人员应常怀“如履薄冰、如临深渊”的危机意识,紧绷安全这根弦,守住安全底线不放松;发现问题应举一反三,避免浅尝辄止,坚持问题导向,善于寻根溯源,从源头规避风险;从小事做起,从细节做起,毫厘之间显功夫,细微之处见真章。