深度防御才能對付APT

引言：IT安全團隊面臨的傳統危險已經逐漸被更陰險的攻擊形式所取代，即APT（高級持續性威脅）。高級持續性威脅是針對特定目標而實施的一種長期復雜的攻擊。高級持續性威脅并不是“普通”威脅。因此，我們不能用普通的防御方式應對，實際上，只有深度防御才能應對APT。

IT安全團隊面臨的傳統危險已經逐漸被更陰險的攻擊形式所取代，即APT（高級持續性威脅）。

高級持續性威脅是針對特定目標而實施的一種長期復雜的攻擊。高級持續性威脅并不是“普通”威脅。

所謂“高級”是指：攻擊者擁有需要充分利用目標漏洞的高級技術和能力，其中包括編碼技能以及發現和利用以前未知漏洞的能力。

所謂“持續性”是指：這種攻擊不像那些短期的一次性攻擊那樣，而往往是在若干年中不斷地發展，利用多種手段，并隨著時間的推移而將安全損害結合起來，從而可以訪問更多的重要數據。

所謂“威脅”是指：執行高級持續性威脅的個人、團體、企業擁有使攻擊者成功的動機、能力、資源。

高級持續性威脅的運行

幾乎每種高級持續性威脅都遵循四大步驟：

第一階段：偵察。也就是調查企業的弱點和漏洞，其中往往包括域名查詢、端口和漏洞掃描等。

第二階段：初步進入。利用復雜的技術方法或是利用社交工程技術（如魚叉式釣魚），利用所發現的漏洞，在目標網絡中建立立足點。

第三階段：特權提升。在初步的滲透之后，黑客設法獲得更多權利，并控制更多系統，然后安裝一個可以使將來的訪問更容易的后門。

第四階段：持續吸血和非法利用。在建立控制之后，攻擊者就能夠持續地確定、損害和利用敏感數據。

傳統的互聯網安全規則在APT時代嚴重落伍

其原因有：

1.有耐心的攻擊者可以等待新漏洞，或者將看似一些不重要的技術整合到大型的有破壞力的攻擊中。

2.專門化的由國家資助的攻擊者不會僅僅因為公司比其它公司有更強健的安全就停止針對公司的滲透和攻擊。

3.APT可以用一種節奏緩慢的方式避開即使配置最好的防火墻和入侵檢測系統。

企業需要的是深度防御，這是一種通過身份和訪問管理功能而補充傳統安全解決方案的策略，其中包括：共享賬戶管理、虛擬化安全、最少特權訪問、身份管理和監管、會話記錄、高級認證、服務器強化、數據保護、利用操作系統的命令、函數、實用程序防御APT。

深度防御策略通過身份和訪問管理工具擴展外圍防御和系統安全，提供針對APT攻擊的全面防護。

1.共享賬戶管理

訪問和利用特權賬戶是對付所有APT攻擊的關鍵策略。因此，共享賬戶管理功能應當能夠：

安全地存儲加密口令；

根據策略管理口令的復雜性并進行自動變更；

限制對管理員賬戶的訪問；

使用自動登錄功能，用以防止口令共享；

提供緊急賬戶訪問，用以限制哪些人可以訪問特權賬戶；

清除腳本中對硬編碼口令的使用。

2.最少特權訪問

訪問不應當作為一種“全是或全否”的決策。相反，企業應當給個人僅需要完成其所分配任務的憑據。例如:

系統管理員應當能夠更新服務器軟件、做出配置更改、安裝新軟件，卻不應當自由地更改安全設置或查看日志。

安全管理員應當能夠更新和調整設置、配置，也可以查看日志文件，但不應當安裝軟件或訪問敏感數據。

審計人員必須能夠改變安全設置和查看日志文件，但不應當對特定系統做出任何改變。

3.會話記錄

跟蹤特權賬戶執行了哪些操作是檢測APT攻擊的關鍵措施。為此，會話記錄必須能夠：

直觀地展示“誰做了什么”；

不需要瀏覽海量的難以閱讀的文本文件日志就可以提供加速損害調查的分析工具；

記錄所有登錄的時間、日期、源IP、用戶ID；

記錄用戶輸入的任何命令；

將異常行為與執行此行為的個人連接起來。

4.服務器強化

必須對那些保存有敏感信息的任何服務器進行配置，使其可以避免遭受APT攻擊，其中的措施包括：

使用防火墻控制通信、限制數據包并阻止不安全的協議；

利用應用程序白名單，僅允許明確規定的執行和安裝；

對于高風險應用，定義一套具體的操作集；

防止對日志文件的更改；

監視密鑰文件的完整性；

控制對目錄文件的訪問；

5.利用操作系統的命令、函數、實用程序防御APT

發動APT的攻擊者常常使用常見的操作系統命令、函數、實用程序來達到其目的。這些技術實際上可以有助于防御APT攻擊：

利用外部工具監視和保護文件，即使文件看似不安全但管理者可以檢測攻擊者破壞網絡的企圖。

修改常見的系統命令的名稱，從而使得對原始命令的任何使用都會觸發警告。

6.虛擬化安全

虛擬化系統的數量與日俱增，從而使得這些環境和虛擬機管理軟件成為APT的主要目標。為保護虛擬化的基礎架構，企業應當：

對于虛擬機管理軟件賬戶應用最少特權的原則；

監視和記錄發生在虛擬機管理軟件層的所有動作；

利用自動感知虛擬化的功能保障虛擬機的安全。

7.身份管理和監控

謹慎地保護用戶身份是使APT攻擊的影響最小化的關鍵步驟。為此，身份管理和監控功能必須能夠：

在員工離開公司時，要盡快地清除其配置和身份授權；

找到和清除獨立的無用身份；

8.高級認證

雙重認證和基于風險的評估可以阻止或檢測非法的訪問企圖，從而有助于防御APT攻擊的初步滲透。為確保其盡可能有效，高級身份認證功能應包括：

基于軟件并根據設備不同而變化的雙重憑據；

與特定情況相匹配的多功能認證方法；

防御不同APT攻擊的規則；

設備確認、地理定位、可疑活動的IP黑名單和案例管理；

在需要更強健的身份保護時，要能夠增強身份認證。

9.數據保護

由于任何APT攻擊的終極目標都是竊取敏感信息，嚴格地控制這種數據是成功防御的核心要素。

為保護這些資產，企業必須：

根據敏感程度和類型來分類數據（如訪問數據、在用數據、動態數據、靜態數據，等等）；

在數據在源頭（如電子郵件和物理硬盤）之間傳輸時要加以控制。

成功的APT防御應當能夠補充傳統的外圍和基礎架構的安全措施，所以企業就能夠使攻擊者的最初滲透更困難，減少賬戶遭到破壞后特權提升的可能性，并限制賬戶遭到破壞后造成的損害，可以檢測入侵企圖早期的可疑活動和收集取證人員用以確定危害發生的性質、時間、人員的信息。