高级持续性威胁(APT)是讨论的重要组成部分,因为企业CISO和安全团队制定2021年及以后的防御策略会带来更高的风险。有许多APT组织,例如CozyBear或APT29、DynamitePanda或APT18,它们起源于俄罗斯和伊朗等国家,旨在实现具有国家意义的目标,例如出于政治目的的间谍活动、盗窃知识产权或破坏基础设施.APT的共同点是它们拥有无限的资源。他们无限制地获得专业知识、技术、情报和资金,这使得他们制造的攻击更加复杂、更难检测和更持久。鉴于这种情况,我们是否可以安全地假设APT仅针对最大的目标,例如政府和跨国公司?不是这种情况。构建涵盖APT的安全策略当任何规模的企业开始制定安全策略时,回答三个关键问题很重要:谁可能攻击我们,为什么?他们会如何攻击我们?我们需要部署哪些技术来缓解这些威胁?攻击?在过去,第一个问题和第二个问题密切相关,因为这些APT组织通常有自己的一套策略、技术和流程。从网络安全的角度来看,了解APT策略至关重要,可以让防御者将资源集中在构建能力上,以抵御他们最容易受到的攻击,这意味着大多数企业(尤其是规模较小的企业)可以相当准确地计算APT风险.然而,在当今的全球经济中,情况发生了变化。民族国家攻击者在对大型企业或政府机构发起攻击时,往往会选择小型企业作为滩头阵地。然而,最近的数据泄露事件提醒我们供应链的无序扩张和相互关联的性质。谁可能攻击我们、为什么以及如何攻击我们之间的联系在很大程度上已经被打破。2016年底和2017年初,ShadowBrokers团伙在互联网上投放了据称是从NSA窃取的网络工具。这些工具和其他类似工具允许资源较少的攻击者利用以前仅供国家支持的攻击者使用的资源和技术。此外,更令人担忧的是,安全研究人员最近报告了“黑客雇佣”或“APT即服务”类型攻击的示例。卡巴斯基实验室和Bitdefender最近都发布了报告,称APT组织似乎被雇佣为数字刺客,对小型企业组织进行攻击,但没有迹象表明这些攻击是针对国家层面的。这种“雇佣攻击”模式的主要动机是金钱。了解当前的威胁态势当今的威胁态势要求各种规模的组织为更复杂和持久的攻击做好准备。任何成熟度级别的网络安全计划都可以通过了解和结合最佳实践和措施而受益——关于世界上最大的组织和政府机构如何保护自己。这里有一些事情需要考虑:假设攻击将会发生。早在2014年,时任联邦调查局局长詹姆斯康梅就曾说过:“美国公司分为两种类型:一种是受到攻击的,一种是不知道的。”这句话在当时可能是对的,现在更是如此。APT使社会工程成为一种艺术形式。因此,凭据盗窃与67%的数据泄露有关。攻击必然会发生;攻击者将找到闯入网络的方法。请接受现状,假设它会发生,然后找出答案。积极主动,而不是被动。假设攻击会发生意味着我们知道我们的工具将无法阻止每一次攻击。采取被动立场并等待工具告诉我们何时采取行动是一种过时的运营模式。主动分析(通常称为网络威胁搜寻)是任何现代安全计划的重要组成部分。威胁搜寻团队在威胁情报的指导下并基于数据驱动的分析进行情境化搜寻,以根除隐藏的入侵者——一种搜索和破坏的练习。快速反应能力。过去,安全团队对事件的响应是分级的。警报触发调查,然后触发更多信息收集,这通常需要部署更多工具,从而触发进一步监控;然后,阻塞和清理计划开始。这种方法太慢了,而且通过让精明的攻击者有时间了解目标环境和部署持久性机制,使其更难防御。有效的安全团队知道给定的情况需要立即采取行动,包括事件验证和适当的响应,以及哪些领域可以从自动化中受益。使用专业知识对抗专业知识。单靠技术,无论多么先进,都永远无法取代高技能、积极主动和支持团队所能提供的无形直觉。如果没有训练有素、装备精良且经验丰富的安全分析师来对付APT攻击者,内部安全团队失败的可能性将超过成功的可能性。了解如何防御当今的高级持续性威胁随着越来越多的证据表明APT攻击逐渐产品化,可以肯定的是,所有企业都可能面临比过去更持久、更复杂的攻击。因此,安全团队必须认识到,在当今的威胁形势下,有效的安全计划需要将防御技术与24小时连续监控相结合,因为攻击者在多个时区开展活动。如果安全团队要成功保护他们的组织,他们需要有效和主动的威胁检测,以及一组定义的快速响应措施。
