美国国家安全局的十大缓解战略反击了APT攻击者可能使用的各种技术手段。美国国家安全局的缓解措施为企业组织确定了优先事项,以尽量减少业务影响。缓解措施建立在NIST网络安全框架职能的基础上,以管理网络安全风险并促进纵深防御。缓解策略按照已知APT策略的有效性进行排名。需要采取其他战略和最佳做法来减轻新战术的发生。
网络安全防护关键词:识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Recover)。
1. 立即更新和升级软件
关键词:识别(Identify),保护(Protect)
应用所有可用的软件更新,尽可能使流程自动化,并使用从供应商直接提供的更新服务。自动化是必要的,因为攻击者研究补丁、漏洞利用方法通常在补丁发布后不久。这些“N天”的漏洞利用可能会像零日漏洞一样具有破坏性。供应商更新也必须是真实的;更新应确保内容的完整性。如果没有快速和彻底为应用程序打补丁,攻击者可以在防御者的补丁周期内实施入侵。
2. 保护特权和帐户安全
关键词:识别(Identify),保护(Protect)
根据风险暴露面分配特权,并按照要求进行维护操作。使用特权访问管理(PAM)解决方案来自动化凭证管理和细粒度访问控制。另一种管理特权的方法是通过分层管理访问,其中每个高级层提供额外的访问权限,但仅限于更少的人员。创建程序以安全地重置凭证(例如,密码、令牌、标签)。必须对特权帐户和服务进行控制,防止攻击者以管理员身份访问高价值资产,并通过网络进行横向移动。
3. 强制软件执行策略
关键词:保护(Protect),检测(Detect)
使用新版本的操作系统,并为脚本、可执行文件、设备驱动程序和系统固件强制签署软件执行策略。维护一个可信证书列表,以防止和检测非法可执行文件的使用和注入。执行策略与安全启动功能结合使用时,可以确保系统完整性。应用程序白名单应与签名的软件执行策略一起使用,以提供更好的控制。 允许未签名的软件将使攻击者通过嵌入式恶意代码获得立足点并建立持久性。
4. 执行系统恢复计划
关键词:识别(Identify),响应(Respond),恢复(Recover)
创建,审查和实施系统恢复计划,以确保将数据恢复为全面灾难恢复策略的一部分。该计划必须保护关键数据、配置和日志以确保由于意外事件而导致的操作连续性。为了获得额外的保护,应尽可能加密备份,异地存储,脱机,并支持系统和设备的完整恢复和重构。执行定期测试并评估备份计划。根据需要更新计划以适应不断变化的网络环境。恢复计划是自然灾害以及包括勒索软件在内的恶意威胁的必要缓解措施。
5. 积极的系统和配置管理
关键词:识别(Identify),保护(Protect)
盘点网络设备和软件资产。从网络中删除不需要的,不必要的或不应该存在的硬件和软件。从已知基线开始减少攻击面并建立操作环境的控制。此后,积极管理设备、应用程序、操作系统和安全配置。积极的企业管理确保系统能够适应动态威胁环境,同时扩展和精简管理操作。
6. 持续猎取网络入侵
关键词:检测(Detect),响应(Respond),恢复(Recover)
采取主动措施检测,遏制并移除网络中的任何恶意存在。企业组织应该假设被入侵,并且使用专门的团队不断寻找、遏制并移除网络中的威胁。诸如日志,安全信息和事件管理(SIEM)产品,端点检测和响应(EDR)解决方案以及其他数据分析功能的被动检测机制是发现恶意或异常行为的宝贵工具。积极的动作还应该包括追踪和渗透测试,使用详细记录的事件响应程序来处理任何发现的安全漏洞。建立积极主动的步骤将使组织过渡到基本检测方法之外,使用持续监控和缓解策略实现实时威胁检测和修复。
7. 利用现代硬件安全特性
关键词:识别(Identify),保护(Protect)
使用硬件安全功能,如统一可扩展固件接口(UEFI)安全启动,可信平台模块(TPM),和硬件虚拟化。对硬件进行固件升级。现代硬件特性增加了启动过程的完整性,为高风险应用程序提供了系统认证和支持功能。使用过时的硬件上的现代操作系统会降低保护系统、关键数据和对攻击者的认证能力。
8. 使用基于应用感知防御技术隔离网络
关键词:保护(Protect),检测(Detect)
隔离关键网络和服务。根据政策和法律授权,部署基于应用感知的网络防御措施可以阻止不当形成的流量并限制内容。基于已知-不良签名的传统入侵检测由于加密和混淆技术而迅速降低了效率。威胁行为者隐藏恶意行为并通过通用协议删除数据,因此需要复杂的应用感知防御机制,这对现代网络防御至关重要。
9. 整合威胁信誉服务
关键词:保护(Protect),检测(Detect)
利用多来源的威胁信誉服务来处理文件、DNS、url、IPs和电子邮件地址。信誉服务协助检测和防止恶意事件,并允许对威胁进行快速的全球响应,减少已知威胁的暴露,并提供更大的威胁分析和引爆能力,而不是组织可以自行提供。新出现的威胁,无论是针对目标的还是全球性的, 都比大多数组织所能处理的要快,从而导致对新增威胁的报道不足。多源信誉和信息共享服务可以为针对动态威胁行为者提供更及时有效的安全姿态。
10. 转换到多因素认证
关键词:识别(Identify),保护(Protect)
优先保护具有提升特权、远程访问、用于高价值资产的帐户。应使用基于物理令牌的认证系统来补充基于知识的验证,如密码和PIN。组织应从单因素身份验证(如基于密码的系统)迁移出去,这些系统的用户选择较差,易受到多个系统中的凭证失窃,伪造和重复使用的影响。