如何为高级持续威胁做好准备
在过去,第一个问题和第二个问题紧密相关,因为这些APT团伙通常有自己的一套策略、技巧和流程。从网络安全的角度来看,了解APT的攻击手法至关重要,这使防御者能够集中资源来构建功能,以抵御他们最容易受到的攻击,这意味着大多数企业(尤其是规模较小的企业)可以相当准确地计算APT风险。然而,在当今的全球经济下,情况已经发生变化。 在民族国家攻击者对大型企业或政府组织发起攻击时,通常会选择小型企业作为滩头阵地。但是,最近发生的数据泄露事故让我们意识到供应链的蔓延和相互联系性质的严重性。谁可能攻击我们、原因和手段之间的关联在很大程度上已被打破。 在2016年末和2017年初,Shadow Brokers团伙在互联网上丢弃了据称是从国家安全局窃取的网络工具。这些工具以及其他类似工具使资源不太丰富的攻击者可以利用以前仅由国家支持的攻击者可以使用的资源和技术。 此外,更令人担忧的是,安全研究人员最近报告了“雇佣黑客”或“APT即服务”类型攻击的示例。卡巴斯基实验室和Bitdefender都最近发布报告称,APT团伙似乎被雇佣作为数字刺客,以对小型商业组织发起攻击,但没有迹象表明这些攻击的目标是在国家层面。这种“雇佣攻击”模型主要出于金钱目的。 了解当前的威胁形势 现在的威胁形势需要各种规模的企业都准备好防御更复杂和持续的攻击。通过了解和整合最佳做法和措施–有关全球最大的组织和政府机构如何保护自己的,任何成熟度水平的网络安全计划都可以从中受益。 下面是需要考虑的事情: 假设攻击会发生。早在2014年,时任联邦调查局局长James Comey说:“美国公司分为两种类型:已经遭受攻击的公司和还不知道的公司。”这个说法在当时可能是正确的,现在更是如此。APT使社会工程学成为一种艺术形式。因此,凭证盗窃与67%的数据泄露事故有关。攻击必然会发生;攻击者会找到入侵网络的方式。请接受现状,假设它会发生,然后去查找。
保持主动,而不是被动。假设攻击会发生意味着我们知道我们的工具将无法阻止每一次攻击。采取被动的姿态并等待工具告诉我们何时采取行动是一种过时的运营模式。主动分析(通常称为网络威胁搜寻)是所有现代安全程序的重要组成部分。威胁搜寻小组执行情境化搜寻,由威胁情报引导并基于数据驱动分析,以根除隐藏的入侵者-搜索 (编辑:鹤壁站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
