国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

　　高級持續(xù)威脅(APT)攻擊，這種類型的攻擊并不是無法發(fā)現(xiàn)，事實上，這算是管理員比較容易發(fā)現(xiàn)的。然而，高級持續(xù)威脅非常難以從網(wǎng)絡(luò)中消除，即便完全消除，也會對企業(yè)效益造成嚴重影響，并且會讓企業(yè)環(huán)境受到更多的攻擊。雖然每一個高級持續(xù)威脅的案例都很獨特，但本文將為大家提供幾個打壓這種威脅的一般方法。發(fā)現(xiàn)和消除(或者說至少是減少)APT攻擊需要謹慎小心和周密隱蔽的規(guī)劃，以免打草驚蛇，讓攻擊者反咬一口。

　　為企業(yè)治理行動進行全面準備

　　如果你是員，你需要與IT高級管理層溝通高級持續(xù)威脅的問題，并且提出解決問題的初步計劃，這往往會發(fā)展成向所有的高級管理人員講解，包括董事會、監(jiān)管機構(gòu)、合作伙伴、供應(yīng)商等。讓高層管理來決定哪些人何時應(yīng)該知道這個問題。

　　第一個主要的技術(shù)響應(yīng)應(yīng)該是在網(wǎng)絡(luò)中部署更多的檢測，你需要找出APT問題的嚴重性。哪些計算機被感染?密碼是否已經(jīng)泄漏?使用了哪些工具和惡意軟件?電子郵件被破壞了嗎?數(shù)據(jù)都流向哪里呢?內(nèi)部和外部?至少，檢測APT通常意味著部署主機和網(wǎng)絡(luò)檢測軟件。

　　接下來，你需要確定處理問題的最佳方法。你可以選擇立即從網(wǎng)絡(luò)中移除每一個被感染的計算機。你可能開始會允許這些系統(tǒng)繼續(xù)運行以免APT攻擊者意識到他們已經(jīng)被發(fā)現(xiàn)。這對于每個公司來說，都要進行不同的風(fēng)險判斷。

　　然后，邀請整治參與者，并且做一個消除APT計劃。你的網(wǎng)絡(luò)安全團隊應(yīng)該包括技術(shù)人員、高級管理人員代表、供應(yīng)商專家、ATP專家、受影響的業(yè)務(wù)部門團隊領(lǐng)導(dǎo)、信息組、項目經(jīng)理和需要參與進來的其他人員。在一般情況下，從小處著手，并且盡可能多的讓必要的人員參與。所有參與的人員都需要簽署一份保密協(xié)議，即使已經(jīng)跟公司簽署過一份。你需要確保在正式的計劃部署以前，這項行動不會被其他不必要的人員知道。

　　將APT和整治行動命名為“棒球游戲”或者“旅游計劃”等，以用于參與者之間的溝通，以免引起ATP攻擊者不必要的注意。

　　想要擺脫高級持續(xù)威脅并不難，但是想要在不造成業(yè)務(wù)中斷的情況下來實現(xiàn)根除ATP則是困難的部分。為此，在你在網(wǎng)絡(luò)范圍內(nèi)執(zhí)行大規(guī)模清理整治行動之前，應(yīng)該對所有應(yīng)用程序和服務(wù)編制詳細目錄。分配責(zé)任，也就是確定誰負責(zé)回答關(guān)于每個資源部分的問題，以及保持運行工作等。記錄那些用戶和服務(wù)帳戶對于保持業(yè)務(wù)功能是必要的。

　　此外，確定威脅程度：哪些應(yīng)用程序和服務(wù)在停機的時候必須保持運行?高層管理層能接受的最壞情況是什么?在最近一個實例中，不可接受的事情就是公共財務(wù)報表的遲交，但是其他一切行為都被認為是合理的。其他公司則對關(guān)鍵業(yè)務(wù)應(yīng)用程序可接受的停機時間進行了界定。

　　下一步，對用戶、計算機、服務(wù)帳戶、網(wǎng)絡(luò)設(shè)備和連接點進行詳細記錄。有多少數(shù)量?它們在什么位置?制定圍繞這些問題的生命周期管理政策和程序，從創(chuàng)建和所有權(quán)到刪除(不再需要后)。

　　大多數(shù)環(huán)境都有太多對象，缺乏明確的所有權(quán)，并且無法確定在現(xiàn)有的項目中，哪些是合理的或者是必要的。我們需要打破這個惡性循環(huán)，刪除不必要的對象，例如，企業(yè)通常都會減少網(wǎng)絡(luò)環(huán)境中大量被提升權(quán)限的帳戶。這在整治期間是很有效的方法，但是從長期來看，如何能夠保持?

　　最后，在整治之前，確保系統(tǒng)安裝了最新修復(fù)程序，這對于徹底擺脫高級持續(xù)威脅是否游泳。此外，對你的網(wǎng)絡(luò)、廣域網(wǎng)以及最重要的基礎(chǔ)設(shè)施系統(tǒng)進行健康檢查，確保在整治開始之前，網(wǎng)絡(luò)和環(huán)境處于最高效率的運行狀況。

　　致命一擊：快速有力地打擊攻擊者

　　整治日應(yīng)該很早之前就進行規(guī)劃。有一個明確的行之有效的步驟，并且列明時間表和責(zé)任分配。每個人都應(yīng)該知道自己在做什么以及何時進行。最起碼，整治日通常都是從斷開企業(yè)網(wǎng)絡(luò)與互聯(lián)網(wǎng)的連接開始的，這樣APT攻擊者將不能作出反應(yīng)和控制正在發(fā)生的事情。

　　將所有已知的APT系統(tǒng)離線并且進行全面重建。更改所有的帳號密碼，包括服務(wù)帳戶等?？紤]對權(quán)限較高的帳戶進行雙因素身份驗證。使用新的身份驗證證書測試所有關(guān)鍵任務(wù)應(yīng)用程序和服務(wù)。有些公司竟然還完全重建他們的LDAP/Active Directory基礎(chǔ)設(shè)施，這真的是明顯減小ATP風(fēng)險和再開發(fā)的唯一方法。

　　有些公司建立新的基礎(chǔ)設(shè)施，有些則慢慢地進行遷移，前一種方法比后一種方法要安全，但是后者更加容易同時確保業(yè)務(wù)操作的流暢性。

　　在允許用戶使用新的密碼重返網(wǎng)絡(luò)之前，要求所有用戶學(xué)習(xí)關(guān)于高級持續(xù)威脅以及目前流行的惡意軟件技巧(如惡意的、假冒防毒軟件和社會工程學(xué))的知識?？梢愿嬷獑T工APT整治行動或者簡單地告訴他們新密碼是企業(yè)為了減小安全風(fēng)險的新方法，這取決于高層管理。

　　不要對高級持續(xù)威脅放松警惕

　　員工和管理層應(yīng)該要警惕APT攻擊者可能通過他們的老據(jù)點卷土重來，整治行動后的最初幾天是風(fēng)險最高的時期。

　　筆者個人很喜歡計算機和隔離。大多數(shù)工作站不需要與其他工作站通信，并且大多數(shù)不需要與其他服務(wù)器通信。確定需要那些通信路徑，然后將其他路徑阻止。使用最快最笨的設(shè)備/服務(wù)來完成這個任務(wù)。只有當必要的時候才使用智能(但更慢)應(yīng)用程序級和代理服務(wù)器。

　　確保內(nèi)部開發(fā)團隊正在使用安全的開發(fā)生命周期技術(shù)。此外，部署全面的事件日志管理系統(tǒng)、檢測和響應(yīng)。大多數(shù)惡意行為都會被發(fā)現(xiàn)，如果事件日志配置正確和審查的話。

　　展望未來，查找不常見的網(wǎng)絡(luò)通信模式。這通常是APT攻擊者留下的第一個蹤跡，他們是這樣做的：竊取信息，將信息轉(zhuǎn)移到你通常不會發(fā)送數(shù)據(jù)的位置。

　　最后，考慮部署一個或者多個預(yù)警蜜罐(honeypot)，它們都很便宜、低噪音，并且可以很好地部署在任何網(wǎng)絡(luò)的最佳檢測設(shè)備間。攻擊者為了利用網(wǎng)絡(luò)，他們必須接觸計算機。蜜罐是非生產(chǎn)性資產(chǎn)，因此，在最初的微調(diào)后，不可能被觸碰。

　　綜上所述，減小和消除高級持續(xù)性威脅是所有公司所面臨的最艱難的挑戰(zhàn)。如果你受到高層管理人員、業(yè)務(wù)主管和財務(wù)考慮的限制，完全擺脫這些入侵者非常困難。對于很多公司來說，最普遍的做法就是與高級持續(xù)性威脅永遠和平共處，但是如果愿意的話，其實任何公司都可以打一個漂亮仗。