保護你的網絡安全:如何擺脫高級持續性威脅(APT)?
原創【10月28日51CTO外電頭條】我曾經被卷入過近三年以來的多起高級持續性威脅(APT)襲擊事件,因此對于如何根除它們頗有心得——或者,更確切地說,在大型網絡中減少它們的發生次數。察覺這類攻擊并不是沒有可能,事實上,這是最為簡單的部分。不過,如果不去嚴重地破壞創收操作或者暴露你的環境,高級持續性威脅很難從你的網絡中根除。
雖然每個APT案例都是各有所異,但是我仍然可以為大家在面對它們的時候該怎么做提供一些個人建議。查找和根除——或者不如說減少APT襲擊事件需要仔細而秘密的計劃,以免打草驚蛇,讓攻擊者們對于你之前努力布設的防御措施有機可乘。
為修復日做好網絡和人員的準備
如果你是一位IT管理員,應該就問題的嚴重程度和應對APT的初步計劃多與IT高級管理人員交流。這往往會演變為面對所有高級管理人員,比如董事會、監管機構、合作伙伴、供應商等等的演講。讓高級管理人員決定誰可以在什么時候知道些什么。
最首要的技術回應應該是更多的執行網絡監控,你需要找出APT問題的嚴重性。問題出在哪一臺計算機?是不是泄露了密碼?哪些工具和惡意軟件正在被使用?是不是電子郵件被盜用了?數據流向哪里,外部還是內部?最起碼,檢測APT通常意味著實行之前沒有投入使用的主機和網絡入侵檢測軟件。
接下來,你需要確定最佳的方式來處理眼前的問題。你可以選擇馬上將受到侵害的計算機從網絡中撤走。此外,在開始的時候,你仍可以讓這些系統繼續保持正常運作,以便防止APT策劃者們意識到你可能已經發現了問題。這是每個公司的風險抉擇問題,而這兩種方式我都曾經使用過。
然后,與補救修復計劃參與者們進行商討并制定一個可以根除APT的方案。你的網絡安全小組應該包括技術人員、高級管理人員代表、供應商方面的專家、APT專家、受影響的業務部門領導、信息小組、項目經理和所涉及的其他人員。一般情況下,從個別人著手,逐漸引入其他必要的人員。每個參與該計劃的人都必須簽署一份保密協議,哪怕在公司已經簽署過一份。必須做好保密措施,直到最終正式的計劃生成并執行。
給APT和補救過程設定一個能夠讓所有參與者在線交流使用的關鍵字,比如“醫療系統更新”、“棒球比賽”或者“旅游政策”等等。這些字眼必須看上去是些無關緊要的事情,以免引起APT攻擊者的注意。
要想擺脫APT其實并不像想象中的那么困難,只是在想要根除它的時候不造成業務的中斷似乎比較困難。為此,在進行大規模網絡清理修復之前必須列出所有應用程序和服務器的清單。指定所有權——就是確定誰負責解決哪個資源的問題,同時也負責該部分資源的運作。對那些必須保留其功能的用戶和服務器賬戶進行歸檔。
此外,指定重要級:哪些應用程序和服務器必須保持最高的活躍度和最少的停止運作時間?高級管理層可以接受的最糟糕情況是什么?在最近的一個實例里,遇到的不可接受情況就是延遲申報公共財務報表,但是除此以外的其它情況都被認為是合理的。
接下來,看看清單上的用戶、計算機、服務賬戶、網絡設備和互聯網連接點一共有多少?它們都在哪兒?圍繞它們開發生命周期管理策略和程序,不論是創建還是當不再需要它們的時候取消它們的權限。
大多數環境中都有太多的對象,缺乏明確的所有者,并且一般來說無法確定在現有的項目中哪些是合理的或是需要的。但事實上,沒有比刪除你不需要的對象更為安全的做法。
最后,在進行修復的前一天,確保補丁更新到最新狀態。這是可以提前完成的,而且對于擺脫APT很有幫助。對你的網絡、廣域網和最重要的基礎架構系統進行常規檢查。在嘗試進行巨大的變動和修復之前你必須擁有一個高效的網絡和操作環境。
修復日的決戰:快而準地打擊攻擊者
修復當天的一切應該在很早以前就進行詳細的規劃。有一套明確的并且行之有效的步驟,還要制定出時間表并進行相應的職責劃分。每個人都應該知道自己何時要做什么。最起碼,修復日通常會從切斷公司的網絡開始,這樣APT攻擊者們就不至于及時地作出反應,更不用提該如何控制即將發生的一切了。
讓所有已知的存在APT的系統離線并進行重建。更換包括服務賬戶在內所有賬戶的密碼。對于高級賬戶,可以考慮雙因素認證。利用新的認證憑證對所有關鍵任務應用程序和服務進行測試。有些公司甚至會選擇完全重建他們的輕量級目錄訪問協議/活動目錄基礎架構,這確實是最大程度地降低APT風險的唯一途徑。
一些公司選擇重建的架構而另一些則選擇隨著時間慢慢進行遷移,前者更為安全,而后者操作起來更會加順暢。
此外,在讓用戶們帶著新密碼回到網絡中之前,必須讓他們了解APT和當前的惡意軟件騙局(比如惡意PDF文件、假防毒軟件等等)。可以告訴員工們關于APT公司所做的一切,也可以只是告訴他們新密碼是公司降低安全風險的一個努力措施而已,這都取決于通信團隊的決定。
不要放松對APT的警惕
員工和管理層應該預料到APT攻擊者們遲早還會卷土重來,然后重新建立他們的據點。修復過后的頭幾天往往風險系數最大。
我是電腦和域隔離的超級粉絲。很多工作站都不需要與其他工作站建立通信,同樣,大多服務器也是如此。所以需要定義哪些通信路徑是必須的,然后封鎖其它路徑。用最快和最慢的設備或服務來完成這項任務。只有在需要使用智能(但是比較慢)的應用層防火墻和代理的地方使用它們。
確保內部開發團隊正在實行安全開發生命周期技術。此外,推行全面的事件日志管理系統、檢測以及響應也十分行之有效。如果能夠正確地配置和審查事件日志,最惡意的行為就很容易被發現。
在這之后,注意奇怪的網絡通信模式。這通常最容易暴露APT攻擊者的行蹤。這就是他們所做的:竊取信息然后將它們轉移到你通常不會發送信息的地方。
最后,記得推行一個或者更多的預警蜜罐誘捕系統。它們的價格低廉、噪音小,屬于優秀的網絡檢測設備。蜜罐誘捕系統是非生產資產,因此,在第一次微調之后就應該不再碰它。
總而言之,減少和根除APT是現在所有公司所面臨的最為艱巨的挑戰。這確實很難,但是想要徹底消滅這些入侵者并非不可能實現,除非你受到高級管理層、操作和財務因素的限制。對于很多公司而言,新常態是與這些APT風險永遠共存,但其實,任何公司都可以在這場APT戰役中打一個漂亮的勝仗。
原作者:Roger Grimes
【編輯推薦】
