当APT攻击者拥有很大程度的控制权时,我们该如何防御?
2013-03-25 18:31
288 查看
当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到内部网络里,因为这会迫使我们重新思考目前的保护措施。
了解目标攻击:我们要如何防御自己?
作者:趋势科技
在上一篇文章了解目标攻击:我们真正对抗的是什么?中,我谈到在 APT 高级持续性威胁/目标攻击里攻击者所掌握到的优势,以及我们需要接受这样的事实,以便正确处理攻击,这种做法的重要性。现在需要讲讲困难的部分:当我们认识到攻击者拥有很大程度的控制权时,我们现在该怎么办?
请记住,即使我们意识到攻击者掌握更大控制能力时,并不代表我们没有任何控制力。我们的确有,而且要记住,如何善用我们所拥有的控制能力去处理目标攻击是非常重要的关键。
控制外围网络
当然,想要让任何形式的控制能力真正发挥作用,就必须完全了解自己到底掌控了什么。牢牢控制谁和什么东西可以访问网络,以及拥有什么层次的权限可能会牺牲掉大部份员工的便利性,但是想到 APT 高级持续性威胁/目标攻击的危险性,还是把安全放在第一位比较重要。
确认网络的部分工作就是要有深入的了解,具体化我们认为正常的作业、流程、事件和行为。知道什么是真正的正常状态,这将有助于更快也更正确地识别出异常来。
一旦确认好网络范围,另一个关键是要有监控网络的措施,这里所谈的是对于任何网络进出的能见度和控制能力。可以帮助网络管理员这样做的技术之一是 DNS Response Policy Zone(RPZ)。DNS RPZ 提供了一种可扩展的方式,借此可管理网络连接。如果配合域名黑名单机制,就能建立一个更加安全的网络环境。
部署由内到外的防护
传统的防御重点在于强化防火墙,并通过黑名单过滤坏份子。而在今日,这个“由外到内”的策略对抗一般的简单攻击是很有效,但在面对 APT 高级持续性威胁/目标攻击时就帮不上忙了。传统防御是用来对抗那些形式和来源都很容易识别的攻击,但非目标攻击。
传统的防御
一个好的防御典范是魔戒里的刚铎首都 – Minas Tirith。这座城堡的设计是将主城放在中心,四周环绕着七层高墙。每一个层都比前一层高,最外围的墙壁最低矮,但也最坚固。每层墙壁都有城门,但门与门之间没有办法直接通过,每个城门都位在城堡的不同方位。这也是军事战略中被称为“纵深防御”的策略。它非常有效,因为不仅提供对外部攻击的防护,还可以防止由内发起的攻击。套用在网络防御上,就好像部署多层次防护,并对关键数据进行加密。
纵深防御
高墙也代表了另一个重要策略。就是让攻击者越来越难向前渗透,站在高墙上的弓箭手可以鸟瞰任何风吹草动。同时,弓箭手不只防御着围墙外的敌人,还刻防御已经出现在内部的敌人。套用在信息安全上,就是通过网络监控来增加能见度,也让防御者对于内部和外部的攻击都具备相当程度的控制能力。
假设已被入侵,并采取对应的行动
回想一下,在中土世界里被称为牢不可破的刚铎城堡第一墙,最终还是被黑魔王索伦的大军给击破了。同样的,当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到在内部网络里,因为这会迫使我们去重新思考目前的保护措施。
@原文出处:Understanding Targeted Attacks: How Do We Defend Ourselves?
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
了解目标攻击:我们要如何防御自己?
作者:趋势科技
在上一篇文章了解目标攻击:我们真正对抗的是什么?中,我谈到在 APT 高级持续性威胁/目标攻击里攻击者所掌握到的优势,以及我们需要接受这样的事实,以便正确处理攻击,这种做法的重要性。现在需要讲讲困难的部分:当我们认识到攻击者拥有很大程度的控制权时,我们现在该怎么办?
请记住,即使我们意识到攻击者掌握更大控制能力时,并不代表我们没有任何控制力。我们的确有,而且要记住,如何善用我们所拥有的控制能力去处理目标攻击是非常重要的关键。
控制外围网络
当然,想要让任何形式的控制能力真正发挥作用,就必须完全了解自己到底掌控了什么。牢牢控制谁和什么东西可以访问网络,以及拥有什么层次的权限可能会牺牲掉大部份员工的便利性,但是想到 APT 高级持续性威胁/目标攻击的危险性,还是把安全放在第一位比较重要。
确认网络的部分工作就是要有深入的了解,具体化我们认为正常的作业、流程、事件和行为。知道什么是真正的正常状态,这将有助于更快也更正确地识别出异常来。
一旦确认好网络范围,另一个关键是要有监控网络的措施,这里所谈的是对于任何网络进出的能见度和控制能力。可以帮助网络管理员这样做的技术之一是 DNS Response Policy Zone(RPZ)。DNS RPZ 提供了一种可扩展的方式,借此可管理网络连接。如果配合域名黑名单机制,就能建立一个更加安全的网络环境。
部署由内到外的防护
传统的防御重点在于强化防火墙,并通过黑名单过滤坏份子。而在今日,这个“由外到内”的策略对抗一般的简单攻击是很有效,但在面对 APT 高级持续性威胁/目标攻击时就帮不上忙了。传统防御是用来对抗那些形式和来源都很容易识别的攻击,但非目标攻击。
传统的防御
一个好的防御典范是魔戒里的刚铎首都 – Minas Tirith。这座城堡的设计是将主城放在中心,四周环绕着七层高墙。每一个层都比前一层高,最外围的墙壁最低矮,但也最坚固。每层墙壁都有城门,但门与门之间没有办法直接通过,每个城门都位在城堡的不同方位。这也是军事战略中被称为“纵深防御”的策略。它非常有效,因为不仅提供对外部攻击的防护,还可以防止由内发起的攻击。套用在网络防御上,就好像部署多层次防护,并对关键数据进行加密。
纵深防御
高墙也代表了另一个重要策略。就是让攻击者越来越难向前渗透,站在高墙上的弓箭手可以鸟瞰任何风吹草动。同时,弓箭手不只防御着围墙外的敌人,还刻防御已经出现在内部的敌人。套用在信息安全上,就是通过网络监控来增加能见度,也让防御者对于内部和外部的攻击都具备相当程度的控制能力。
假设已被入侵,并采取对应的行动
回想一下,在中土世界里被称为牢不可破的刚铎城堡第一墙,最终还是被黑魔王索伦的大军给击破了。同样的,当我们的传统防御失败后,接下来有什么方法来防止 APT 高级持续性威胁/目标攻击?比较好的态度就是假设攻击已经进到在内部网络里,因为这会迫使我们去重新思考目前的保护措施。
@原文出处:Understanding Targeted Attacks: How Do We Defend Ourselves?
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
相关文章推荐
- 科普|天气预报怎么制作的?你知道吗?气象灾害,我们又该如何防御?
- 神经学家探寻:机器如何拥有意识!如何避免机器人伤害我们!
- 如何发起、防御和测试XSS攻击,我们用DVWA来学习(上)
- 黑客是如何一步步攻击我们的 该如何防御?
- 如何发起、防御和测试XSS攻击,我们用DVWA来学习(下)
- 一个人能拥有多少,很大程度上取决于他的愿望有多少
- 一只小拉布拉多犬是如何帮我们卖软件的
- 数据量很大的排序问题 大量数据如何排序
- 深入NGINX:我们如何设计它的性能和扩展性
- 创建完整团队的艺术:敏捷如何改变我们与客户的工作方式
- 如何保护我们的电脑安全
- 如何利用make plugin来安装我们的debian文件
- 从别人如何读简历 看我们该如何成长
- 如何很好的看很大的思维导图
- 如何拥有一颗平常心?(KK记)
- apiexample.c例子教我们如何利用FFMPEG库中的API函数来编写自己的编解码程序
- 当Scrollview内嵌Viewpager或者Listview是我们如何避免事件分发带来的影响?
- 为什么我们要使用Go语言以及如何使用它的
- 我们应该如何去做网络安全?
- 我们如何教育孩子(转载西路的作品)