高級持久性威脅(APT)的發(fā)起者利用多種意想不到、時(shí)間敏感而且各不相同的攻擊向量來(lái)攻擊你的服務(wù)器。他們試圖長(cháng)期訪(fǎng)問(wèn)并控制您的IT基礎架構,來(lái)達到自己的目的。這些是復雜、有針對性的攻擊威脅,不光所利用的技術(shù)和方法是如此,而且從長(cháng)期以來(lái)人們?yōu)榭刂艫PT所做的巨大努力中也可見(jiàn)一斑。他們使用的初始攻擊向量易于修改而且動(dòng)態(tài)多變,因此很難檢測到。他們采用的命令和控制(C&C)方法通常更具有一致性,因此更不易于修改,同時(shí)C&C流量可以是APT的有效識別點(diǎn)。在不影響公司正常運轉的情況下,抵御所有APT是難度非常大的任務(wù),因此更務(wù)實(shí)的做法是接受APT風(fēng)險始終存在這樣一個(gè)事實(shí),然后在檢測到之后快速識別并予以糾正。
在嘗試識別、抵御和防止此類(lèi)攻擊威脅時(shí),我們的經(jīng)驗、知識和技術(shù)可幫助您做出有效的安全干預決策。如果缺乏對環(huán)境、實(shí)際網(wǎng)絡(luò )流量及內容的全面了解,您只能憑空猜測,因此最終的決策可能對,也可能不對。出現APT安全問(wèn)題時(shí),企業(yè)通常會(huì )向網(wǎng)絡(luò )安全運行專(zhuān)業(yè)人員施加壓力,要求他們快速解釋并解決問(wèn)題。那么,在網(wǎng)絡(luò )中出現疑似APT安全威脅時(shí),您做出反應的速度有多快?更重要的是,在采取應對措施時(shí),您是否能夠確保所采取的措施正確、恰當而有效,進(jìn)而最大限度地提高成功幾率?
首先,讓我們想想與安全分析相關(guān)的人力要求。負責應對安全事件的人需要使用現有的工具來(lái)精確而快速地解釋收集到的數據,他們必須全面了解網(wǎng)絡(luò )拓撲,具有豐富的經(jīng)驗并了解網(wǎng)絡(luò )事件的背景,這是采取正確措施應對安全事件的基礎。要全面測試并記錄應用使用網(wǎng)絡(luò )的方式,最好在逐個(gè)交易的基礎上了解應用如何在生產(chǎn)網(wǎng)絡(luò )中運行。對于那些擁有所需資源的人來(lái)說(shuō),這些條件可通過(guò)實(shí)時(shí)監控參考網(wǎng)絡(luò )或調試網(wǎng)絡(luò )達到。在這種方法不實(shí)用的情況下,來(lái)自生產(chǎn)網(wǎng)絡(luò )的實(shí)際運行數據就是接下來(lái)最好的方法,雖然人們認識到生產(chǎn)環(huán)境的運行情況更不易于預測。掌握了有關(guān)任何網(wǎng)絡(luò )中連接的真實(shí)統計和分析數據之后,就可以更輕松地發(fā)現實(shí)際數據與標準值的出入。自動(dòng)化監控工具可幫助發(fā)現實(shí)際數據與標準值的差別。最后一個(gè)問(wèn)題是要確保為安全團隊配備有效的工作流程,這正成為在協(xié)作和任務(wù)交接過(guò)程中,減少人為延誤和團隊成員間溝通不暢的重要步驟。
接下來(lái),我們需要收集與可疑網(wǎng)絡(luò )事件相關(guān)的證據。捕獲到的數據可為您提供有關(guān)網(wǎng)絡(luò )中所發(fā)生事件的不可辯駁的有力證據。在關(guān)注的事件之前、期間和之后對網(wǎng)絡(luò )流量進(jìn)行深入調查分析,可幫助您掌握全面信息,全面了解所發(fā)生的情況,使您可以進(jìn)行正確的干預并增加有效解決問(wèn)題的概率。根據您網(wǎng)絡(luò )的大小和可用的資源,捕獲流量、編制索引、搜索和調用流量的方法在成本和復雜性方面可能相差很多:從PC上臨時(shí)部署的簡(jiǎn)單開(kāi)源軟件到整個(gè)網(wǎng)絡(luò )中分布的高性能、高保真而且能夠以10萬(wàn)兆以太網(wǎng)鏈路帶寬持續運行的專(zhuān)用智能網(wǎng)絡(luò )記錄(Intelligent Network Recording)架構。
但是,光靠人的能力和可靠的數據,還不足以提供迅速作出響應所需的全面信息和洞察力。若要正確地解碼數據包,并獲得可作為行動(dòng)依據的信息,您還需要適當的分析工具。某些分析和預警工具可獨立運行,對于自動(dòng)運行一些流程非常有用,但只限于以一種方式解釋數據,通常依賴(lài)攻擊特征和分析數據,因此我們有時(shí)候不能理所當然地指望用它們捕獲所有安全威脅。與此同時(shí),它們可能會(huì )針對非安全相關(guān)事件和流量發(fā)出誤報。然而,在幫助企業(yè)確保總體安全性方面,他們確實(shí)扮演著(zhù)重要角色,而且可更廣泛地檢測數量更大、“更易于理解”的安全威脅。然而想想APT,您應該知道它們本身是量身打造的獨一無(wú)二的威脅,因此光靠自動(dòng)分析不足以有效解決。因此還需要事后分析工具,幫助安全分析人員處理并重復分析捕獲的數據,幫助他們更有信心地做出決策。
一開(kāi)始,安全團隊始終應檢查并確認是否配備了適當的工具,可以有效地完成自己的工作。在利用收集的數據包了解所發(fā)生的情況,并做出正確的干預操作之前,可利用以下問(wèn)題來(lái)檢查您當前的能力水平:
- 捕獲與網(wǎng)絡(luò )中特定事件相關(guān)的數據包需要多長(cháng)時(shí)間?
- 我是否掌握了必要的技能來(lái)分析這些數據包?
- 我如何對比可能有害的惡意連接和已知的安全連接?
對這些問(wèn)題的回答將幫助發(fā)現您在任何技能、培訓和技術(shù)能力方面的不足之處。
通過(guò)部署專(zhuān)用的在線(xiàn)APT安全設備進(jìn)行自動(dòng)APT檢測、預警和防護,在保護安全方面扮演著(zhù)重要角色,而且目前市場(chǎng)上提供了很多不錯的選擇。然而,面對如此狡猾而且動(dòng)態(tài)多變的威脅時(shí),沉浸在假想的安全性之中是一件很危險的事情。單純依賴(lài)自動(dòng)分析和響應可能會(huì )讓您的網(wǎng)絡(luò )不堪一擊。光有APT安全設備還遠遠不夠,只有掌握了有力的證據,掌握了網(wǎng)絡(luò )中發(fā)生的情況、每個(gè)數據包通過(guò)網(wǎng)絡(luò )傳輸的位置、時(shí)間及其內容,您才能全面準確地了解網(wǎng)絡(luò )中所發(fā)生的一切。
網(wǎng)絡(luò )數據包捕獲使您可以使用網(wǎng)絡(luò )數據包檢查和可視化技術(shù),獲取可作為行動(dòng)依據的信息,確保正確洞察網(wǎng)絡(luò )中發(fā)生的一切。在應對APT的過(guò)程中,有一點(diǎn)彌足珍貴,那就是確保正確了解所要面對的挑戰。
