APT攻擊防護方案:彌補短板 加固環境
原創M女士對那塊保存了幾乎所有在全球恐怖組織內臥底的北約特工身份名單的硬盤抱有勢在必得的決心,這種東西絕對不能落在敵人的手里。為了奪回它,在邦德和敵人混戰的過程當中,M女人下達了對敵人開槍的命令,但是很不幸邦德被誤傷,敵人帶著硬盤逃跑了。
三個月后,敵人帶著破解的硬盤數據入侵了軍情六處,炫耀性的引爆了一幢樓頂。
M做錯了什么導致事態發展到現在這種狀況?
發現被攻擊需要壯士斷腕
在發現重要數據即將丟失,M很果斷的下達了開槍的命令,但是注水的槍手讓觀眾失望了。這就造成了好的壞的"數據"都被污染了。但是不管怎么說,這里所采取的手段無疑是正確的,在我們發現自己的敏感服務器被入侵后,要及時的物理隔離該機器,然后認真的對該服務器進行病毒和入侵檢查。排查問題的原因所在,因為這個階段往往已經發生了一些損失(如果沒有損失那么一般我們也不會去管你住),所以如何讓這種損失不擴散就成了重中之重。
木桶理論
"網絡安全"就像一個木桶,安全與否不在于防護的最強健的部分,而在于防護最弱的短板。短板一旦被入侵,后果不堪設想。我們也許花了大價錢購買了防火墻、防水墻、也做了數據防泄密(DLP),但最終數據還是遺失了,這是為何?也許一封沒有被過濾的病毒郵件、一個沒有受控的優盤,都是萬里長城毀于一旦的蟻穴。從以往來看,真正被入侵的計算機用戶,很少是專業的安全運維人事,這部分人事都是相對難啃的骨頭;真正被入侵的用戶往往都是位高權重且缺少安全意識的高級管理人員。而這部分人的失誤,卻需要專業的安全運維人員買單。就像M女士的位于軍情六處的計算機被入侵一樣,位高權重人士的信息丟失似乎更加難以讓人接受。
加固環境,雙因素認證
M的例子無疑是一個反面教材,那么我們應該如何做,以應對這種APT(高級持續性威脅)呢?首先要做的就是加強短板防護,對"位高權重"但是缺少安全意識的用戶我們應該進行一個簡短卻有力的分享,把它們賬號失竊的損失進行嚴峻的剖析。
不過這種言語上的教育有時候只剩下"教育意義"了,我們首先要彌補的是"弱點A",移動用戶通過互聯網接入到私密網絡時的身份驗證問題,那么采用"雙因素認證"無疑是一個不錯的解決方案。什么是雙因素認證呢?簡單來說,雙因素身份認證就是通過你"所知道"再加上你"所能擁有"的這二個要素組合到一起才能發揮作用的身份認證系統。例如,在ATM上取款的銀行卡就是一個雙因素認證機制的例子,需要知道取款密碼和銀行卡這二個要素結合才能使用。在安全行業,我們一般把這種"所知所持"換成一個牢記于心的密碼和一個USB加密狗,當然也有高級一點的使用動態口令牌,但是技術原理都是一樣的。保證一個"所知",一個"所持"。如果把密碼告破當做敵人中了500萬,那么這個USB加密狗或者動態令牌就相當于敵人要連續中兩次500萬才能成功入侵,這樣無形的提升了入侵的難度,同時使用難度也沒有明顯提升,對"位高權重"人士來說,應該很容易接受吧?
加固環境,苛刻網絡限制
對于信息泄密來說,很多時候用戶被入侵是后知后覺,發現之后往往意味著信息已經被大量泄露。那么在網絡層面,其實我們也有很多好方法。比如使用簡單的ACL(訪問控制列表)就可以到一定的防護效果。駭客在成功進入系統后,總是需要將有用的信息發送到它自己的服務器上。那么假設我們的工作環境不允許訪問除了baidu.com/workspace.com這種公信的網站之外的地址。那么即使駭客能力再大,也無法跳出這種網絡層面的限制。一個訪問條件苛刻的互聯網環境盡管有那么點影響用戶最終使用,但相信我們總能夠找到安全和便捷性的一個平衡點,以達到有效應對網絡攻擊的效果。
加固環境,"硬"碰"硬"
敵人科技裝備優良,我們自然也不能示弱。在"弱點B",我們可以對網絡設備盡可能的采用性能和功能強大的設備。盡管從歷史上來看,被惡意和垃圾電子郵件中附帶的惡意鏈接攻擊成功的用戶占多數,但我們依然可以通過購買較為高級的郵件防火墻來降低這種可能性。如果這種惡意垃圾郵件無法被過濾,那我們可以提交這份郵件給廠商,以尋求更準確的垃圾郵件分類和篩選。這種方法可以有效保障用戶的訪問習慣,在用戶不知不覺中進行過濾和保護。
不同于郵件防火墻,我們也可以考慮WEB過濾防火墻,對惡意的網址進行有效的篩選和過濾,同樣,作為和郵件系統一樣占據了大家生活中很大一部分比率的WEB訪問,如果保護好了它,那么多數情況下我們的數據安全也就得到了有效的保障。
加固環境,注重人為因素
非常無奈的是,很多時候的泄密,并不是技術不過關造成的,而是在于使用人員的不在乎、不作為導致重大損失。"弱點C"正是這樣一種情況,由于人的因素,我們的需要對人員管理付出更大的努力。加強平日里的安全意識,對欺詐郵件、欺詐電話以及網站的惡意鏈接等等,進行普及和持續性的介紹。
總結
我們總結一下在發現APT之后的行為:首先找出有問題的服務器,將它"區別對待";彌補短板,反思錯誤;加固環境,考慮雙因素認證、網絡限制、反垃圾郵件過濾、WEB過濾等高級限制方式。
