企業(yè)防御APT攻擊的方法

　　導(dǎo)語：隨著IT基礎(chǔ)架構(gòu)的不斷升級變化，傳統(tǒng)的安全防御措施開始顯得捉襟見肘。而在面對未知威脅和高級持續(xù)威脅(APT)的挑戰(zhàn)時，小編不禁想到富蘭克林的著名格言：一分預(yù)防勝似十分治療!

　　這聽起來是很明智的建議!然而，很多企業(yè)的作法卻是添加了越來越多的安全工具到其安全資源池來保護(hù)企業(yè)的數(shù)據(jù)，包括在云中、內(nèi)部系統(tǒng)以及移動設(shè)備中的數(shù)據(jù)。其實(shí)這讓問題變得更加復(fù)雜化，筆者最近遇到一位首席信息安全官使用了來自35家供應(yīng)商的80款安全工具，而這并不少見。

　　所有這些安全工具都讓首席信息安全官無法清楚了解其安全基礎(chǔ)設(shè)施的問題所在。他們使用殺毒軟件來清除惡意軟件，防火墻來阻攔攻擊者，還有很多其他解決方案，但這些系統(tǒng)并沒有以智能的集成的方式在整個混合IT環(huán)境進(jìn)行相互通信。

　　你可能會認(rèn)為，企業(yè)越來越多地投資于新的安全和防御技術(shù)可以減少威脅。但正是由于它們之間缺乏真正的融合，而帶來的卻是相反的效果。與此同時攻擊者也在采用新技術(shù)，在復(fù)雜的APT攻擊時代，我們看到越來越多的安全泄露事故以及被攻擊者入侵的企業(yè)。

　　根據(jù)2014年P(guān)onemon研究所的調(diào)查顯示，大多數(shù)受訪企業(yè)表示有針對性攻擊是最大的威脅，單從品牌價值來看，這就給他們造成平均940萬美元的損失。而這些泄露事故的成本繼續(xù)在增加，特別是隨著企業(yè)轉(zhuǎn)移數(shù)據(jù)到云計算和混合云基礎(chǔ)設(shè)施后。根據(jù)Ponemon的《2014年數(shù)據(jù)泄露成本調(diào)查報告》顯示，企業(yè)數(shù)據(jù)泄露成本已經(jīng)從540萬美元提高到590萬美元。

　　對于真正的APT威脅防護(hù)，請記住下面這四個關(guān)鍵點(diǎn)：

　　1.預(yù)防是根本

　　預(yù)防并沒有奏效，因為使用的主要安全工具(防火墻和殺毒軟件)更多地依賴于反應(yīng)性基于簽名的方法。這些工具的制造商看到攻擊者繞過這些工具，并宣傳殺毒軟件毫無用處，而這并沒有讓很多人驚訝。

　　安全專家在三年前意識到這方面的發(fā)展，并開發(fā)了新類型的預(yù)防技術(shù)。這些技術(shù)是基于行為引擎、深度包檢測以及新的內(nèi)嵌阻攔方法。當(dāng)部署在企業(yè)時，這些技術(shù)非常有用。當(dāng)結(jié)合新的安全智能檢測，它們會變得更加有效。

　　例如，一個主要醫(yī)療服務(wù)提供商最近部署了基于行為的方法來保護(hù)敏感的患者數(shù)據(jù)，盡管殺毒解決方案和下一代防火墻等傳統(tǒng)工具都部署到位，但該技術(shù)還是檢測到了超過100個高風(fēng)險感染。該公司通過部署這個方法可以緩解這些感染，并只帶來最小的運(yùn)營影響，現(xiàn)在還可以進(jìn)行事件分析和解決方案調(diào)優(yōu)。

　　2.安全智能是支柱

　　數(shù)據(jù)是安全的核心，也是網(wǎng)絡(luò)罪犯的主要目標(biāo)，大數(shù)據(jù)分析是解決下一代信息安全問題的基礎(chǔ)。

　　例如，一個大型石油企業(yè)在一天內(nèi)發(fā)現(xiàn)25次試圖數(shù)據(jù)攻擊。阻止這些泄露事故是基于數(shù)據(jù)、異常行為、應(yīng)用程序的不正常行為以及其他細(xì)微差別。通過利用這些數(shù)據(jù)攻擊嘗試來了解潛在的攻擊者，他們可以延長數(shù)據(jù)的保存期限。

　　好消息是，通過分析工作，企業(yè)限制可以篩選海量數(shù)據(jù)(企業(yè)內(nèi)部和外部)來發(fā)現(xiàn)隱藏的關(guān)系、發(fā)現(xiàn)攻擊模式、阻止安全威脅，以及優(yōu)先排序補(bǔ)救工作。安全情報需要一個包羅萬象的系統(tǒng)(不只是傳統(tǒng)的日志記錄)來攝取大量數(shù)據(jù)，以及應(yīng)用行為分析來實(shí)際確定泄漏事故可能發(fā)生的時間。

　　3.集成實(shí)現(xiàn)保護(hù)

　　企業(yè)安全防護(hù)主要是保護(hù)其人員、數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)設(shè)施(云端或內(nèi)部部署)。問題是，隨著時間的推移，企業(yè)已經(jīng)部署了幾十個終端產(chǎn)品來保護(hù)每個領(lǐng)域，首席信息安全官需要一種方法來管理對數(shù)據(jù)的控制以及對系統(tǒng)的訪問。安全情報可以跨這些不同的安全領(lǐng)域和各種安全工具提供分析儀表板，這是整合的第一步。

　　整合的真正目標(biāo)是，你的所有安全功能可以協(xié)調(diào)一致地工作來阻止攻擊。例如，特權(quán)用戶的異常行為會觸發(fā)警報，讓你可以阻止一個網(wǎng)段。或者，移動設(shè)備上出現(xiàn)惡意軟件可以讓你停止對顧客的身份驗證。或者在應(yīng)用程序中檢測到漏洞會讓你阻止網(wǎng)絡(luò)中對這個漏洞的利用。這些都是安全整合的例子。

　　對于真正的集成保護(hù)，部署技術(shù)和解決方案作為基礎(chǔ)設(shè)施的一部分是不夠的，技術(shù)必須無縫地與流程和人員來實(shí)現(xiàn)保護(hù)。

　　4. 開放性很重要

　　企業(yè)需要能夠跨各種新的和現(xiàn)有安全技術(shù)共享信息和觸發(fā)行動。很多這些安全投資包括移動和云計算功能。根據(jù)IBM的2013年CISO調(diào)查顯示，70%的安全高管表達(dá)了對云計算和移動安全的關(guān)注。企業(yè)需要在云計算提供傳統(tǒng)IT環(huán)境相同水平的安全性。

　　這似乎有悖常理，但云計算和移動實(shí)際上會提高安全性。隨著企業(yè)部署新技術(shù)(現(xiàn)在是云計算、社交媒體和移動設(shè)備)，你可以更容易從一開始就建立安全性，讓你可以實(shí)時控制和更改應(yīng)用程序、權(quán)限和身份驗證過程。

　　通過學(xué)習(xí)上面這四個關(guān)鍵點(diǎn)，銀行可以關(guān)聯(lián)實(shí)時和歷史賬戶活動來發(fā)現(xiàn)異常用戶和應(yīng)用程序行為，阻止可疑交易和發(fā)現(xiàn)欺詐行為。全球能源供應(yīng)商可以每秒分析100萬個事件，每天超過850億個事件，以確保其操作更加安全，以及符合合規(guī)性要求。國際服裝公司可以使用安全情報來發(fā)現(xiàn)內(nèi)部人士竊取重要的產(chǎn)品設(shè)計。

　　簡單地說，對于安全性，并不只是關(guān)于“一分的預(yù)防”，還應(yīng)該將安全看作是一種免疫系統(tǒng)，可以通過成熟的預(yù)測分析變得更強(qiáng)，并提供企業(yè)范圍的風(fēng)險視圖，以及不犧牲創(chuàng)新能力的情況下，擁抱移動和云計算。