对如今的许多组织来说,问题不再是他们会否成为APT攻击——高级持续性网络威胁 (Advanced PersistentThreat, APT) /目标攻击的受害者,而是什么时候。在这种情况下,组织如何应对会决定它会演变成严重的事件,或保持在小麻烦状态。
用于APT 目标攻击的恶意软件往往无法被侦测到,这是因为它是为特定组织所定制化的攻击,精心制作的社交工程攻击看起来就像是正常商业邮件的诱饵。
简言之,有足够资源的攻击者总是可以找到方法进入目标,不管部署了哪些防御。防御措施可以增加进入的难度,但无法完全防止。
SANS协会提供了一些组织该如何应对网络安全事件的指南,广义上可以分为四个阶段:
1、做好准备
这个涉及在APT 目标攻击实际发生前的回应措施。安全专家需要对于如何应对自家网络内的APT 目标攻击做好规划。就好比系统管理员需要固定地为应对停机相关事件(如数据中心脱机)做好规划。
同样地,了解组织每日所面对到的一般正常威胁也很重要。信息安全专家不仅必须在攻击事件发生时加以处理,还应该了解一般"正常"的问题,才能够快速地发现不正常的威胁,比如APT 目标攻击。威胁情报和分析在这一阶段非常珍贵,可以引导安全专家了解目前的情况。
安全专家还必须计划去取得正确的技能来有效地处理APT 目标攻击。应该学会最重要的技能之一是数字鉴识能力,好从被入侵设备上适当的采集和分析数据。
这些技术有许多和一般IT日常工作比起来都比较陌生,但学习这些技术可以帮助组织取得信息和更佳的准备以处理任何攻击。
2、回应
一旦判断有APT 目标攻击在进行中,下一步是要果断响应。回应APT 目标攻击有几个部分:控制威胁、加以消除和确认损害范围。第一步是立即隔离或控制威胁规模。这里可以进行的步骤包括隔离受感染机器或将被入侵的服务脱机,最终目标是防止攻击进一步的扩展。
要确认所发生的威胁,和了解常见APT 目标攻击工具及灰色软件的安全厂商携手合作对于找到组织内部威胁是很有帮助的。同样地,持续监控现有的网络活动可以帮助确定现有攻击的规模和范围。
3、恢复
跟响应攻击一样重要的是要恢复组织的正常运作。虽然有时中断是响应APT 目标攻击的必要程序,但长期来说,组织必须“回归正常”并回到正常运作。
将组织“恢复”正常不仅是在技术方面。如有必要,组织需要联络合作伙伴、利害关系人和客户来清楚地沟通APT 目标攻击危害的范围以及为减少损失而采取的任何措施。在许多情况下,善意和信任都会被APT目标攻击给大力破坏,这部分也必须加以解决。
4、学习
攻击结束后,组织需要弄清楚可以从中学到什么。每次攻击都为防御者上了一课——什么发挥作用?哪些我们可以做得更好?它可能也指出一些为安全事件做规划时的假设和信息并不正确或不完整。
然而,不要对任何单一事件过度反应也很重要。过度反应可能和反应不足一样糟糕:它可能会对组织在安全上仅有的小量优势(如果有的话)加上不必要的负担,组织必须在解决事件之后可以基于理性逻辑来作出决策。
总结
在当今APT 目标攻击频繁的世界里,入侵外泄事件的问题不再是会不会发生,而是何时会发生——精心设计来响应APT 目标攻击的策略,必须成为更广泛防御策略的重要一部分。趋势科技威胁发现设备TDA可应对激增的网络威胁以及庞大的企业网络管理,从而实时、有效地掌握企业网络安全状态,满足大量用户对于即时发觉网络安全、快速定位感染源等需求。