如何抵御高级持续威胁呢?笔者的建议是:做更好的补丁修复和使用白名单。通过这两种方法,大多数可以减少99%的恶意攻击风险。
但是很少有企业这样做,大多数企业都专注于其他事物上。例如,他们计划创建一个高度安全的网络。
他们是这样做的:首先整理所有服务,确定哪些服务是最重要的,然后尽全力保护这些资产。这些资产包括关键任务型应用程序或者服务,支持它们(Active Directory、DNS、用户账户、服务账户、网络设备等)的服务器和基础设施,以及连接到这些应用程序或服务的所有工作站。
这种办法的关键在于以较高水平保护关键资产。问题是如何实现这一点,以及我们需要建立多少这样的网络。
对于大多数APT攻击,攻击者会破坏Active Directory域控制器,获得所有密码哈希,然后使用传递哈希工具来获得网络的完全控制权。大多数企业想要创建一个或多个独立的额外的网络,这样单个域控制器受到攻击而不会威胁所有企业资产。
现在进入高度安全区域
这种独立的高度安全的网络并不是新鲜事物,很多公司至少都有一个这样的网络,每个军队都有多个高度安全的网络。在过去二十年中,大多数企业都在想办法整合多个网络到更少的网络,来降低成本和管理开销。新的APT趋势(APT已经渗透企业五到十年之久)正在让企业高管重新考虑以前的整合趋势。
这是一个好事情。在域管理员组不设置任何永久性成员,这是成功的躲过哈希攻击的先决条件。但如果你不能做到这一点,你可以创建多个安全域来降低风险。
如果你的公司正在考虑增加更多网络,你必须先确定你需要多少个安全域。很多公司决定建立一个新的单一的高度安全的网络,并把所有关键任务型服务器放在里面。笔者很喜欢这种模式,因为你能够得到更多的安全性,同时减少因管理太多网络的开销。总体思路是,如果你的所有关键任务服务器都是关键任务型服务器,它们应该部署相同的安全策略,并且在同一安全域中管理。
如果你决定只建立一个新的超安全网络,你必须确保攻击者之前的攻击方式不能入侵这个网络。否则,建立这种网络将没有任何意义。为了获得最大的安全性,你可以部署物理隔离的网络,并且不连接到互联网。
大多数公司可能想要高度安全的独立的网络,但他们负担不起运行单独电缆或者无线接入点的成本和精力。一个很好的办法是使用独立的VLAN,虽然VLAN隔离可能被攻击,但在现实世界中这很少发生。#p#
你想要怎样的独立程度?
如果你想要创建一个或者多个新的独立的网络,另一个大问题是你将如何配置和取消配置用户、设备和其他资源。
对于单个网络,配置通常被标记为人力资源系统。当一名员工被聘请时,这会涉及添加这名新员工的用户帐号到域的手动或自动过程。如果这个过程是自动化的,信任根系统应该位于哪里?
例如,如果你把你的信任根系统放在原来网络(可能已经受到感染),它能否配置服务到新的高度安全的网络?这安全吗?答案是否定的。你可以信任从较高完整性和保障的系统提供数据到低完整性的系统,但反过来就不行了。
在现实中,大多数企业没有选择。不过,他们有两个次优的选择:他们要么允许不受信任的根系统来配置新网络—这可能受到攻击,要么他们为每个新的网络部署新的根系统,这非常昂贵并且难以维持。
事实上,每个额外的网络都需要做出这样的决定。新网络是使用来自现有网络的一个还是多个服务,还是只能完全依赖于新的服务?运行任何网络必须的服务包括配置、服务台、安全、事件相应、审计、PKI、电子邮件、打印等。
在确定了哪些来自现有网络的服务需要用于新网络后,大多数企业可能会考虑增加新的组,但随后他们会意识到创建真正独立的网络比想像中更困难。#p#
现实世界攻击
一般来说,企业最终会创建一种模式,其中共享服务要么保留在现有安全域名中,要么位于这个独立的新网络中,与所有其他网络共享。他们还可能创建一个混合的网络:一些网络具有共享服务,而另一些网络则没有。
笔者只看到了少数公司决定在每个新网络复制服务。总而言之,这种决定并不容易,这是IT部门需要做出的最艰难的决定之一。
是否部署一个或者多个新网络域名,这取决于每个公司,及其文化和风险承受能力。这个问题并没有标准答案。从你自己的企业的需求来考虑这个问题,仔细权衡利与弊。你也可以选择事后再更改设计。事实上,从最初的尝试中你可以得出经验教训来做出适当的修改。
如果你问笔者,你不想花所有时间来创建超级安全的网络,而是专注于企业可能受到攻击的薄弱环节,并且加强防御来抵御攻击。这样,你将真正保护你的企业。
毕竟,创造一个安全的网络需要大量的时间和精力,你需要大量的重复劳动。为什么不将这些时间和精力用来加强现有网络的防御呢?(邹铮编译)