当企业CISO和安全团队为2021年及以后制定防御策略时,高级持续威胁(APT)是重要讨论部分,因为与过去相比,现在这种威胁带来更高风险。现在有很多APT团伙,例如Cozy Bear或APT29、Dynamite Panda或者说APT18,这些团伙源自俄罗斯和伊朗等国家,旨在实现具有国家层面意义的目标,例如为政治目的进行间谍活动、盗窃知识产权或破坏基础设施。
APT的共同点是他们具有无限的资源。他们可无限制地获取专业技能、技术、情报和资金,这使得他们所产生的攻击变得更加复杂、难以检测并且更加持续。考虑到这种情况,我们是否可以安全地假设APT仅针对最大的目标,例如政府和跨国公司?事实并不是这样。
构建涵盖APT的安全策略
当任何规模的企业开始制定安全策略时,重要的是回答三个关键问题:
- 谁可能会攻击我们,以及为什么?
- 他们可能如何攻击我们?
- 我们将需要部署哪些技术来缓解这些攻击?
在过去,第一个问题和第二个问题紧密相关,因为这些APT团伙通常有自己的一套策略、技巧和流程。从网络安全的角度来看,了解APT的攻击手法至关重要,这使防御者能够集中资源来构建功能,以抵御他们最容易受到的攻击,这意味着大多数企业(尤其是规模较小的企业)可以相当准确地计算APT风险。然而,在当今的全球经济下,情况已经发生变化。
在民族国家攻击者对大型企业或政府组织发起攻击时,通常会选择小型企业作为滩头阵地。但是,最近发生的数据泄露事故让我们意识到供应链的蔓延和相互联系性质的严重性。谁可能攻击我们、原因和手段之间的关联在很大程度上已被打破。
在2016年末和2017年初,Shadow Brokers团伙在互联网上丢弃了据称是从国家安全局窃取的网络工具。这些工具以及其他类似工具使资源不太丰富的攻击者可以利用以前仅由国家支持的攻击者可以使用的资源和技术。
此外,更令人担忧的是,安全研究人员最近报告了“雇佣黑客”或“APT即服务”类型攻击的示例。卡巴斯基实验室和Bitdefender都最近发布报告称,APT团伙似乎被雇佣作为数字刺客,以对小型商业组织发起攻击,但没有迹象表明这些攻击的目标是在国家层面。这种“雇佣攻击”模型主要出于金钱目的。
了解当前的威胁形势
现在的威胁形势需要各种规模的企业都准备好防御更复杂和持续的攻击。通过了解和整合最佳做法和措施–有关全球最大的组织和政府机构如何保护自己的,任何成熟度水平的网络安全计划都可以从中受益。
下面是需要考虑的事情:
假设攻击会发生。早在2014年,时任联邦调查局局长James Comey说:“美国公司分为两种类型:已经遭受攻击的公司和还不知道的公司。”这个说法在当时可能是正确的,现在更是如此。APT使社会工程学成为一种艺术形式。因此,凭证盗窃与67%的数据泄露事故有关。攻击必然会发生;攻击者会找到入侵网络的方式。请接受现状,假设它会发生,然后去查找。
保持主动,而不是被动。假设攻击会发生意味着我们知道我们的工具将无法阻止每一次攻击。采取被动的姿态并等待工具告诉我们何时采取行动是一种过时的运营模式。主动分析(通常称为网络威胁搜寻)是所有现代安全程序的重要组成部分。威胁搜寻小组执行情境化搜寻,由威胁情报引导并基于数据驱动分析,以根除隐藏的入侵者-搜索和破坏的练习。
快速响应能力。在过去,安全团队对事件进行分级响应。警报会触发调查,然后触发更多的信息收集,这通常需要部署更多的工具,从而触发进一步的监视;然后,开始执行阻止和清除计划。这种方法太慢,并且给精明的攻击者提供时间来了解目标环境,并部署持续性机制,也使抵御工作变得更加困难。有效的安全团队知道在给定情况下需要立即采取行动,包括事件验证和适当的响应,以及哪些领域可以从自动化中受益。
用专业技能对付专业技能。无论技术多么先进,光靠技术,永远无法取代高技能、积极进取和支持的团队所能提供的无形直觉。如果没有训练有素、装备精良且经验丰富的安全分析师来应对APT攻击者,内部安全团队的失败概率会超过成功概率。
了解如何抵御当今的高级持续威胁
当我们看到越来越多的证据表明APT攻击正在逐渐产品化时,可以确定的是,与过去相比,所有企业都可能面临更持续更复杂的攻击。因此,对于安全团队来说,重要的是要认识到,在当今威胁形势下,有效的安全计划需要结合防御技术与24小时连续监控,因为攻击者在多个时区工作。如果安全团队想要成功保护他们其企业,则需要有效和主动的威胁检测,以及一套明确的快速响应措施。