先進的持續(xù)性威脅(APT)已經(jīng)成為所有組織的合理關(guān)注點。APT是威脅行為者，會破壞網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)，并在很長一段時間內(nèi)潛伏在其中。他們通常執(zhí)行復雜的駭客攻擊，使他們能夠竊取或破壞數(shù)據(jù)和資源。

據(jù)埃森哲公司稱，APT一直在組織自己，以使他們能夠共享戰(zhàn)術(shù)和工具以進行大規(guī)模攻擊。例如，據(jù)報道，俄羅斯的Silence APT集團正在積極瞄準金融機構(gòu)，并成功地從全球各家銀行盜竊了數(shù)百萬美元。

[[287352]]

較小的組織也需要警惕此類威脅。APT小組還使用自動化工具和僵尸網(wǎng)絡(luò)來訪問網(wǎng)絡(luò)，并且這些策略不會根據(jù)規(guī)模，行業(yè)或價值進行區(qū)分。

任何易受攻擊的基礎(chǔ)架構(gòu)都可能被破壞?，F(xiàn)在，對于所有組織來說，了解APT的運行方式和實施必要的安全措施以減輕威脅的程度至關(guān)重要。

APT可能潛伏的跡象

APT的運行是秘密的，因此組織可能甚至在真正出問題之前都沒有意識到它們已被破壞。例如，InfoTrax Systems在其服務(wù)器的存儲空間已用完之后，只能檢測到長達數(shù)年的漏洞。

IT團隊必須注意APT可能潛伏在網(wǎng)絡(luò)中的跡象。

一些明顯的跡象：

• 過多的登錄 -APT通常依賴于受到破壞的訪問憑據(jù)來獲得對網(wǎng)絡(luò)的常規(guī)訪問。他們可以使用登錄名和密碼憑據(jù)轉(zhuǎn)儲進行暴力破解嘗試，也可以使用從社會工程學和網(wǎng)絡(luò)釣魚攻擊中竊取的合法憑據(jù)進行暴力破解。過多或可疑的登錄活動(尤其是在奇數(shù)小時)通常歸因于APT。
• 惡意軟件爆炸 -APT還使用各種惡意軟件來執(zhí)行其黑客攻擊。因此，如果防病毒工具經(jīng)常檢測并刪除惡意軟件，則APT可能會將木馬和遠程訪問工具不斷植入網(wǎng)絡(luò)。
• 計算資源的使用增加-威脅者還必須使用網(wǎng)絡(luò)的計算資源來進行攻擊?；顒拥膼阂廛浖⑹褂枚它c內(nèi)的計算能力和內(nèi)存。黑客還可能將其竊取的數(shù)據(jù)臨時存儲在服務(wù)器中。泄露大量數(shù)據(jù)也將顯示為過多的傳出流量。

加強監(jiān)控

發(fā)現(xiàn)這些跡象并非易事，因此IT團隊必須積極尋找這些跡象。幸運的是，現(xiàn)代安全解決方案現(xiàn)在提供了使IT團隊能夠監(jiān)視APT潛在存在及其活動的功能。

日志分析-日志可以準確顯示設(shè)備，系統(tǒng)和應(yīng)用程序中發(fā)生的各種活動，事件和任務(wù)。瀏覽日志通常是無格式的純文本格式。

為了幫助IT團隊對信息進行分類，高級日志分析工具現(xiàn)在提供了可以在所有IT基礎(chǔ)架構(gòu)組件中搜索模式的算法。

例如，日志管理和分析解決方案XpoLog，可以合并跨各種基礎(chǔ)架構(gòu)組件的所有日志。Xpolog可以自動分析和標記這些日志文件中包含的信息。

然后，使用人工智能(AI)，Xpolog可以識別異常模式并生成見解，包括那些表明安全問題的見解。

諸如帶寬使用，登錄會話，網(wǎng)絡(luò)流量的地理分布之類的信息都可以用來揭示威脅的存在。所有數(shù)據(jù)甚至都可以可視化，以便于演示和查看。

必須改進防御

監(jiān)視和及早發(fā)現(xiàn)是保持安全防御圈的關(guān)鍵。組織必須將這些努力整合為更廣泛的安全策略的一部分。

提高警惕性-主動分析日志并執(zhí)行安全措施的常規(guī)測試可以使IT團隊了解APT的潛在存在，從而使他們能夠立即應(yīng)對這些威脅。

采用企業(yè)級安全性-組織還必須使用功能強大的安全性解決方案。APT使用的惡意軟件可以具有一個多態(tài)代碼，從而使它們能夠逃避常見的免費或廉價的反惡意軟件解決方案。

保持系統(tǒng)和應(yīng)用程序更新—APT針對其許多策略利用設(shè)備和系統(tǒng)的漏洞。開發(fā)人員會定期發(fā)布補丁和修復程序，以確保解決了關(guān)鍵漏洞。組織必須確保這些更新在可用時迅速應(yīng)用。

培訓人員 -APT也可以嘗試通過社會工程攻擊來利用人的弱點。組織必須對員工進行最佳安全實踐培訓，包括準確識別網(wǎng)絡(luò)釣魚電子郵件和嘗試，使用強密碼短語以及避免密碼重用。

安全是一項投資

組織必須意識到，在當今環(huán)境中進行操作時，安全性是一項至關(guān)重要的投資。APT可能會對公司造成無法彌補的損害。遭受攻擊的受害者可能會導致停機，業(yè)務(wù)損失和客戶信任度下降。

估計平均安全漏洞造成的組織損失392萬美元。因此，對于公司而言，至關(guān)重要的是要采取能夠在造成嚴重損害之前檢測并減輕此類威脅的安全措施。因此，組織現(xiàn)在必須準備好轉(zhuǎn)移更多的資源來增強其安全性。