高级持续性威胁(APT)已成为所有组织的合法关注点。APT是破坏网络和基础设施并长时间保持休眠状态的威胁行为者。他们经常执行复杂的黑客攻击,从而窃取或破坏数据和资源。据埃森哲称,APT一直在组织自己,以便他们可以共享大规模攻击的策略和工具。例如,据报道,俄罗斯的SilenceAPT组织正在积极瞄准金融机构,并已成功从世界各地的多家银行窃取数百万美元。较小的组织也需要警惕此类威胁。APT团体还使用自动化工具和僵尸网络来访问网络,这些策略不会根据规模、行业或价值进行区分。任何易受攻击的基础设施都可能受到损害。现在,所有组织都必须了解APT的运行范围并实施必要的安全措施来减轻威胁。APT可能潜伏的迹象APT以秘密方式运作,因此组织甚至可能在真正出现问题之前才意识到他们已经受到威胁。例如,InfoTraxSystems最多只能在其服务器存储空间用完后的几年内检测到违规行为。IT团队必须注意APT可能潜伏在网络上的迹象。一些明显的迹象:登录过多-APT通常依赖受损的访问凭据来获得对网络的定期访问。他们可以使用登录名和密码凭据转储进行暴力尝试,也可以使用从社会工程和网络钓鱼攻击中窃取的合法凭据。过度或可疑的登录活动,尤其是在非正常时间,通常归因于APT。恶意软件爆炸-APT还使用各种恶意软件来执行其黑客攻击。因此,如果防病毒工具频繁检测和删除恶意软件,APT可能会不断向网络植入木马和远程访问工具。增加计算资源的使用——威胁参与者还必须使用网络的计算资源来执行他们的攻击。活跃的恶意软件将使用端点内的计算能力和内存。黑客还可能将他们窃取的数据暂时存储在服务器中。泄漏大量数据也将显示为过多的传出流量。增强监控发现这些迹象并不容易,因此IT团队必须积极寻找它们。幸运的是,现代安全解决方案现在提供的功能使IT团队能够监控APT的潜在存在及其活动。日志分析——日志可以准确地显示设备、系统和应用程序中发生的各种活动、事件和任务。浏览日志通常是未格式化的纯文本。为了帮助IT团队对信息进行分类,高级日志分析工具现在提供了可以在所有IT基础架构组件中搜索模式的算法。例如,日志管理和分析解决方案XpoLog可以跨各种基础架构组件整合所有日志。Xpolog可以自动分析和标记这些日志文件中包含的信息。然后,使用人工智能(AI),Xpolog可以识别异常模式并生成见解,包括那些表明安全问题的见解。带宽使用情况、登录会话和网络流量的地理分布等信息都可以用来揭示威胁的存在。所有数据甚至都可以可视化,以便于展示和查看。防御性监控和早期检测必须改进,并且是维护安全边界的关键。组织必须将这些努力整合为更广泛的安全策略的一部分。提高警惕——主动分析日志并执行安全措施的例行测试可以让IT团队了解APT的潜在存在,从而使他们能够立即响应这些威胁。采用企业级安全-组织还必须使用强大的安全解决方案。APT使用的恶意软件可以具有多态代码,使它们能够逃避常见的免费或廉价反恶意软件解决方案。保持系统和应用程序更新——APT利用设备和系统漏洞来实施许多策略。开发人员会定期发布补丁和修复程序,以确保解决关键漏洞。组织必须确保在可用时及时应用这些更新。培训人员-APT还可以尝试通过社会工程攻击来利用人类的弱点。组织必须对员工进行最佳安全实践培训,包括准确识别网络钓鱼电子邮件和尝试、使用强密码以及避免重复使用密码。安全是一项投资在当今环境中运营时,组织必须认识到安全是一项关键投资。APT会对公司造成无法弥补的损害。攻击的受害者可能会导致停机、业务损失和客户信任度下降。据估计,一次安全漏洞平均会使组织损失392万美元。因此,对于公司而言,实施能够在造成严重损害之前检测并减轻此类威胁的安全措施至关重要。因此,组织现在必须准备好转移更多资源来增强其安全性。
