首页 > 安全 > 网络安全 >

当APT攻击者拥有很大程度的控制权时,我们该如何防御?

2013-05-17

当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到内部网络里,因为这会迫使我们重新思考目前的保护措施。了解目标攻击:我们要如何防御自己?...

当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到内部网络里,因为这会迫使我们重新思考目前的保护措施。

了解目标攻击:我们要如何防御自己?

在上一篇文章了解目标攻击:我们真正对抗的是什么?中,我谈到在 APT 高级持续性威胁/目标攻击里攻击者所掌握到的优势,以及我们需要接受这样的事实,以便正确处理攻击,这种做法的重要性。现在需要讲讲困难的部分:当我们认识到攻击者拥有很大程度的控制权时,我们现在该怎么办?

请记住,即使我们意识到攻击者掌握更大控制能力时,并不代表我们没有任何控制力。我们的确有,而且要记住,如何善用我们所拥有的控制能力去处理目标攻击是非常重要的关键。

控制外围网络

当然,想要让任何形式的控制能力真正发挥作用,就必须完全了解自己到底掌控了什么。牢牢控制谁和什么东西可以访问网络,以及拥有什么层次的权限可能会牺牲掉大部份员工的便利性,但是想到 APT 高级持续性威胁/目标攻击的危险性,还是把安全放在第一位比较重要。

确认网络的部分工作就是要有深入的了解,具体化我们认为正常的作业、流程、事件和行为。知道什么是真正的正常状态,这将有助于更快也更正确地识别出异常来。

\

一旦确认好网络范围,另一个关键是要有监控网络的措施,这里所谈的是对于任何网络进出的能见度和控制能力。可以帮助网络管理员这样做的技术之一是 DNS Response Policy Zone(RPZ)。DNS RPZ 提供了一种可扩展的方式,借此可管理网络连接。如果配合域名黑名单机制,就能建立一个更加安全的网络环境。

部署由内到外的防护

传统的防御重点在于强化防火墙,并通过黑名单过滤坏份子。而在今日,这个“由外到内”的策略对抗一般的简单攻击是很有效,但在面对 APT 高级持续性威胁/目标攻击时就帮不上忙了。传统防御是用来对抗那些形式和来源都很容易识别的攻击,但非目标攻击。

传统的防御

一个好的防御典范是魔戒里的刚铎首都 – Minas Tirith。这座城堡的设计是将主城放在中心,四周环绕着七层高墙。每一个层都比前一层高,最外围的墙壁最低矮,但也最坚固。每层墙壁都有城门,但门与门之间没有办法直接通过,每个城门都位在城堡的不同方位。这也是军事战略中被称为“纵深防御”的策略。它非常有效,因为不仅提供对外部攻击的防护,还可以防止由内发起的攻击。套用在网络防御上,就好像部署多层次防护,并对关键数据进行加密

\

纵深防御

高墙也代表了另一个重要策略。就是让攻击者越来越难向前渗透,站在高墙上的弓箭手可以鸟瞰任何风吹草动。同时,弓箭手不只防御着围墙外的敌人,还刻防御已经出现在内部的敌人。套用在信息安全上,就是通过网络监控来增加能见度,也让防御者对于内部和外部的攻击都具备相当程度的控制能力。

假设已被入侵,并采取对应的行动

回想一下,在中土世界里被称为牢不可破的刚铎城堡第一墙,最终还是被黑魔王索伦的大军给击破了。同样的,当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到在内部网络里,因为这会迫使我们去重新思考目前的保护措施。

@原文出处:Understanding Targeted Attacks: How Do We Defend Ourselves?

相关文章
最新文章
热点推荐