面對APT攻擊 企業(yè)需轉(zhuǎn)變防御模型
責(zé)編:admin |2014-08-21 14:31:21原來一般認(rèn)為是針對政府機構(gòu)的APT攻擊正在變得普遍,而成為一種主流的攻擊手段,各類企業(yè)都應(yīng)該對APT予以重視,因為現(xiàn)在的APT針對范圍廣泛的私營機構(gòu),以獲取有價值的知識產(chǎn)權(quán),商業(yè)秘密,公司計劃,獲得運營和其他私密數(shù)據(jù)。事實上,原來狹義的APT定義(國家背景,政治背景、軍方戰(zhàn)爭等)已經(jīng)過時,現(xiàn)在APT已經(jīng)成為一種常見的攻擊手法。
現(xiàn)在組織和企業(yè)中現(xiàn)有的安全防護(hù)體系存在一些缺陷,導(dǎo)致很難識別APT攻擊。現(xiàn)有的防護(hù)體系包括FW,AV,IDS/IPS,SIEM/SOC,以及組織結(jié)構(gòu)和工作流程等等都存在不足。RSA之前曾有一份報告寫道:
目前增加的問題是,很多用戶方安全團(tuán)隊不能夠檢測復(fù)雜攻擊模式。傳統(tǒng)的防病毒,防火墻和入侵檢測/防御系統(tǒng)(IDS/IPS)工具不形成攻擊的全貌。這些工具可能識別未經(jīng)授權(quán)的訪問,病毒,釣魚郵件,或惡意軟件,但沒有關(guān)聯(lián)這些事件。此外,基于簽名的檢測方法對APT是無效的,還有一些未知漏洞會被攻擊者利用。因為日志分析通常是響應(yīng)監(jiān)管要求來做的,它通常被調(diào)整為符合合規(guī)要求而不是威脅防御。
另一個限制是組織結(jié)構(gòu)。通常負(fù)責(zé)安全的各個群體都太孤立,并且它們之間協(xié)調(diào)也有問題。例如,那些只專注事件查看的比如,計算機事件響應(yīng)小組(CIRT)或安全運營中心(SOC) – 就可能沒有組織最重要的數(shù)字資產(chǎn)的完整信息。此外,高級持續(xù)性威脅來自多個方向攻擊。他們不僅是以 IT為基礎(chǔ),還有結(jié)合社交工程和/或物理訪問的技術(shù)手段。安全團(tuán)隊不能靠活動來準(zhǔn)確地為孤島分析出多模型攻擊。報告還指出,應(yīng)對APT需要采取一種與以往不同的信息安全策略:
參看上表中的“高級方法”,與傳統(tǒng)的方法相比,更加注重對核心資產(chǎn)的保護(hù)(多了也保護(hù)不過來),技術(shù)手段上更加注重檢測技術(shù)(正如NIST SP 800-137提出的持續(xù)監(jiān)控的概念一樣,美國政府的愛因斯坦計劃精髓也在于此),以數(shù)據(jù)為中心(尤其是出去的數(shù)據(jù)),分析日志(例如借助SIEM/LM)更多是為了檢測威脅,注重攻擊模式的發(fā)現(xiàn)和描述,從情報分析的高度來分析威脅。
- Pwn2Own 2025柏林黑客大賽:冠軍團(tuán)隊斬獲32萬美元
- AI驅(qū)動時代,安全跨越鴻溝的困境和機遇
- 曝光:國內(nèi)某打印機官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)