先进的持续性威胁(APT)已经成为所有组织的合理关注点。APT是威胁行为者,会破坏网络和基础架构,并在很长一段时间内潜伏在其中。他们通常执行复杂的骇客攻击,使他们能够窃取或破坏数据和资源。
据埃森哲公司称,APT一直在组织自己,以使他们能够共享战术和工具以进行大规模攻击。例如,据报道,俄罗斯的Silence APT集团正在积极瞄准金融机构,并成功地从全球各家银行盗窃了数百万美元。
较小的组织也需要警惕此类威胁。APT小组还使用自动化工具和僵尸网络来访问网络,并且这些策略不会根据规模,行业或价值进行区分。
任何易受攻击的基础架构都可能被破坏。现在,对于所有组织来说,了解APT的运行方式和实施必要的安全措施以减轻威胁的程度至关重要。
APT可能潜伏的迹象
APT的运行是秘密的,因此组织可能甚至在真正出问题之前都没有意识到它们已被破坏。例如,InfoTrax Systems在其服务器的存储空间已用完之后,只能检测到长达数年的漏洞。
IT团队必须注意APT可能潜伏在网络中的迹象。
一些明显的迹象:
- 过多的登录 -APT通常依赖于受到破坏的访问凭据来获得对网络的常规访问。他们可以使用登录名和密码凭据转储进行暴力破解尝试,也可以使用从社会工程学和网络钓鱼攻击中窃取的合法凭据进行暴力破解。过多或可疑的登录活动(尤其是在奇数小时)通常归因于APT。
- 恶意软件爆炸 -APT还使用各种恶意软件来执行其黑客攻击。因此,如果防病毒工具经常检测并删除恶意软件,则APT可能会将木马和远程访问工具不断植入网络。
- 计算资源的使用增加-威胁者还必须使用网络的计算资源来进行攻击。活动的恶意软件将使用端点内的计算能力和内存。黑客还可能将其窃取的数据临时存储在服务器中。泄露大量数据也将显示为过多的传出流量。
加强监控
发现这些迹象并非易事,因此IT团队必须积极寻找这些迹象。幸运的是,现代安全解决方案现在提供了使IT团队能够监视APT潜在存在及其活动的功能。
日志分析-日志可以准确显示设备,系统和应用程序中发生的各种活动,事件和任务。浏览日志通常是无格式的纯文本格式。
为了帮助IT团队对信息进行分类,高级日志分析工具现在提供了可以在所有IT基础架构组件中搜索模式的算法。
例如,日志管理和分析解决方案XpoLog,可以合并跨各种基础架构组件的所有日志。Xpolog可以自动分析和标记这些日志文件中包含的信息。
然后,使用人工智能(AI),Xpolog可以识别异常模式并生成见解,包括那些表明安全问题的见解。
诸如带宽使用,登录会话,网络流量的地理分布之类的信息都可以用来揭示威胁的存在。所有数据甚至都可以可视化,以便于演示和查看。
必须改进防御
监视和及早发现是保持安全防御圈的关键。组织必须将这些努力整合为更广泛的安全策略的一部分。
提高警惕性-主动分析日志并执行安全措施的常规测试可以使IT团队了解APT的潜在存在,从而使他们能够立即应对这些威胁。
采用企业级安全性-组织还必须使用功能强大的安全性解决方案。APT使用的恶意软件可以具有一个多态代码,从而使它们能够逃避常见的免费或廉价的反恶意软件解决方案。
保持系统和应用程序更新—APT针对其许多策略利用设备和系统的漏洞。开发人员会定期发布补丁和修复程序,以确保解决了关键漏洞。组织必须确保这些更新在可用时迅速应用。
培训人员 -APT也可以尝试通过社会工程攻击来利用人的弱点。组织必须对员工进行最佳安全实践培训,包括准确识别网络钓鱼电子邮件和尝试,使用强密码短语以及避免密码重用。
安全是一项投资
组织必须意识到,在当今环境中进行操作时,安全性是一项至关重要的投资。APT可能会对公司造成无法弥补的损害。遭受攻击的受害者可能会导致停机,业务损失和客户信任度下降。
估计平均安全漏洞造成的组织损失392万美元。因此,对于公司而言,至关重要的是要采取能够在造成严重损害之前检测并减轻此类威胁的安全措施。因此,组织现在必须准备好转移更多的资源来增强其安全性。