众所周知,高级可持续威胁(APT攻击)非常难以检测,对抗高级持续威胁似乎是一场无望的战斗。现在,APT攻击已不仅仅是一个民族或是国家需要面对的问题,它也不再只专注于针对军队和其他政府的间谍活动或攻击,APT攻击已经开始瞄准IT、能源、新闻、电信、制造和其他经济行业。
根据一些安全专家表示,企业永远不可能完全的消除这种攻击,但我们可以检测到APT以及尽量减少它们所造成的损害。Palo Alto公司高级安全分析师Wade Williamson表示,“天并没有塌下来,我们还有解决办法,很多时候,安全人员使用APT作为失败的借口,但不应该是这样,我们还是有办法来对付APT。”
Williamson也认为,有效地检测和抵御APT需要的不仅仅是技术,我们所需要作出的最大改变是策略,安全必须发展成为纪律。
Williamson表示,“安全人员应该保持好奇的心态,寻找异常的活动,并问自己这意味着什么,以及应该如何深入这个问题。我们需要自动化安全来阻止坏的东西,但我们也需要有创新的安全专家来寻找新奇的攻击行为。”
让我们看看对抗高级持续威胁的六大秘诀:
1、使用大数据进行分析和检测
RSA执行主席Art Coviello在2013 RSA大会表示:“我们应该从防御模式转移--大数据能让你更快速地检测和响应。”Seculert公司创始人兼首席执行官Aviv Raff同意这种观点,他指出从网络外围抵御是不可能的,企业必须从分析的数据中来检测攻击。这也是大数据分析派上用场的地方。
当然,这意味着企业需要投资于分析工具。Damballa公司首席技术官Brian Foster表示,“IT没有及时发现攻击所需的自动化工具,他们只有海量的数据,该行业应该向IT提供大数据分析方法来帮助他们检测网络中的攻击。”
他补充说,大数据能够帮助检测,但这里最重要的一点是,攻击已经扩展到多种技术,我们的安全视角必须突破“孤岛”模式,采用更为全面的视角。
2、与正确的人共享信息
根据Anton Chuvakin表示,攻击者会分享数据、技巧和方法。IT同样也应该如此,与面临相同威胁的其他企业共享技术和最佳做法。
企业共享信息的方式应该要能够帮助他们抵御攻击,而不会有利于攻击,且不会违反法律或涉及信息共享的监管要求。
然而,对于共享信息,除了法律上的考虑,还有经济上的限制。
3、了解APT攻击链
这是用来描述APT攻击阶段的模型,这些阶段包括侦察、武器化、交付、漏洞利用、安装、命令&控制和行动(这部分内容请参考:从侦查到破敌 APT攻击过程全揭密)。这基本上类似于入室盗窃,小偷在行窃前,会对建筑物进行侦察等活动。
显然,企业在越早期阶段检测到攻击,就越可能阻止攻击。理解和分析这些杀伤链是关键,可以帮助企业在必要阶段部署适当的防御控制。
4、寻找感染指标(IOC)
这与理解“APT攻击链”有关联。没有企业可以阻止所有攻击,因此,IT团队需要知道如何寻找异常活动。这包括寻找APT可能与网络外部通信的独特方式,任何奇怪的DNS查询或联络网站都是厂家的IOC。
APT通常会根据其寻求自定义工具,而这通常为IT提供了区分APT与正常流量的因素。他们通常会使用各种常见应用程序,例如远程桌面应用程序、代理或加密通道来通信。
这些应用程序和其他应用程序的不寻常使用都是找出APT的关键。当然,这需要IT完全了解网络正常情况是什么样。另外,追踪用户异常行为也可以有所帮助。
5、测试你的网络
这可以包括主动分析或沙箱技术。确定事物是否为恶意的最佳方法是实际运行它,看看它的行为是否为恶意。
虽然企业有漏洞管理工具来帮助修复明显的漏洞,但企业也应该定期进行自我网络的攻击测试(或者寻找第三方)来找出问题所在。
6、提供更多关于APT的培训
Booz Allen Hamilton公司网络安全分析师Edwin Covert表示,企业需要一个新的培训模式,来培养APT猎人,因为信息安全专家的标准技巧显然不足以能够对抗APT。
他表示,“对抗APT需要能够看清楚事物的能力,CISSP(认证信息系统安全专家)是针对技术经理,而不是APT猎人。”
APT猎人需要能够发现大多数管理员或者甚至安全人员看不到的异常文件。目前,业界对于APT防护的人才需求供不应求。企业需要至少3万名APT防护方面的专家,但只有1000到2000人具有对抗现实世界APT攻击的必要技能。