企業應對APT的最佳實踐
自ESG發布研究報告《美國先進的持續攻擊分析》以來,我已經反復提出一個問題:大型組織如何保護自己免受APT(先進的持續攻擊)?
良好的問題,但我發現大多數的人問我這是期待一個簡單的答案。這種態度可能有歷史根源:希望得到擺脫討厭的垃圾郵件?買一個垃圾郵件過濾器。不幸的是,這里沒有靈丹妙藥,所以不要相信任何供應商給你打的包票。
應對APT最困難的事情是,員工在知識不對齊、進程中的弱點、技術上的漏洞這樣的隨機組合中產生的問題很容易被APT利用。耐心、良好的資源和高技能讓攻擊者能夠找出我們我們的弱點然后利用這種了解發起攻擊。即使你做對了99%,壞人總能找出你做錯的1%的事件。
所以這使我回到原來的問題:大型組織如何才能保護自己免受APT?如果看一下ESG在其APT研究中提出的一個分割模型,或許能有收獲一個答案。ESG提出了一個計分制,將APT調查對象分為三種類型:準備充分應對APT(占調查總數的21%),有所準備(占調查總數的43%),以及準備不足(占調查總數的36%)。然后可以看一下這些準備充分的組織的所具有的特征。
這些屬性被看作是最佳做法。為了保護自己,準備最充分的組織:
1、在IT和業務流程中具有強烈的安全意識文化。換句話說,安全是融合在整個公司流程中的而不是覆蓋在上方的。他們還做了很多積極的安全培訓。
2、深入的了解有關的威脅現狀。這些組織了解當前最有效的攻擊方法和載體。
3、承諾的風險管理。這些企業了解與特定的高價值的IT資產及其支持的業務流程相關的風險。因此,他們固化其IT資產作為標準程序。
4、了解哪些是自己的敏感數據。他們一般都知道敏感數據在哪里,誰有權訪問以及使用這些數據做了什么。誠然,這些工作維系起來非常困難。
5、強大的安全控制。從網絡到應用層,但這些企業也非常好地限制用戶訪問并監控用戶行為。
6、持續完善其事件響應機制。他們知道即使是最好的控制也不能防止意外或惡意的安全攻擊。因此,他們在人、過程和技術上進行了事件響應方面的投資,并定期衡量其成效。
7、強大的安全監督。首席信息安全官想知道在所有的時間里機構的安全態勢,這樣他們在中央的分析和報告中產生了大量的數據,同時他們也會使用很多度量方式。
還有一件事要注意:充分準備應對APT的組織有時候也最偏執。實際上他們積極尋求他們疏漏的東西,或聘請第三方這樣做。在這種情況下,這些公司每年對其網絡安全預算上投入的增加或許也不是件奇怪的事。
這些最佳做法為我們提供了一個模型,給那些準備不足的組織提供了應對自身安全的方向性的指導。
【編輯推薦】
