眾所周知，高級可持續(xù)威脅(APT攻擊)非常難以檢測，對抗高級持續(xù)威脅似乎是一場無望的戰(zhàn)斗?，F在，APT攻擊已不僅僅是一個民族或是國家需要面對的問題，它也不再只專注于針對軍隊和其他政府的間諜活動或攻擊，APT攻擊已經開始瞄準IT、能源、新聞、電信、制造和其他經濟行業(yè)。
根據一些安全專家表示，企業(yè)永遠不可能完全的消除這種攻擊，但我們可以檢測到APT以及盡量減少它們所造成的損害。Palo Alto公司高級安全分析師Wade Williamson表示，“天并沒有塌下來，我們還有解決辦法，很多時候，安全人員使用APT作為失敗的借口，但不應該是這樣，我們還是有辦法來對付APT。”
Williamson也認為，有效地檢測和抵御APT需要的不僅僅是技術，我們所需要作出的最大改變是策略，安全必須發(fā)展成為紀律。
Williamson表示，“安全人員應該保持好奇的心態(tài)，尋找異常的活動，并問自己這意味著什么，以及應該如何深入這個問題。我們需要自動化安全來阻止壞的東西，但我們也需要有創(chuàng)新的安全專家來尋找新奇的攻擊行為。”
讓我們看看對抗高級持續(xù)威脅的六大秘訣：
1、使用大數據進行分析和檢測
RSA執(zhí)行主席Art Coviello在2013 RSA大會表示：“我們應該從防御模式轉移--大數據能讓你更快速地檢測和響應。”Seculert公司創(chuàng)始人兼首席執(zhí)行官Aviv Raff同意這種觀點，他指出從網絡外圍抵御是不可能的，企業(yè)必須從分析的數據中來檢測攻擊。這也是大數據分析派上用場的地方。
當然，這意味著企業(yè)需要投資于分析工具。Damballa公司首席技術官Brian Foster表示，“IT沒有及時發(fā)現攻擊所需的自動化工具，他們只有海量的數據，該行業(yè)應該向IT提供大數據分析方法來幫助他們檢測網絡中的攻擊。”
他補充說，大數據能夠幫助檢測，但這里最重要的一點是，攻擊已經擴展到多種技術，我們的安全視角必須突破“孤島”模式，采用更為全面的視角。
2、與正確的人共享信息
根據Anton Chuvakin表示，攻擊者會分享數據、技巧和方法。IT同樣也應該如此，與面臨相同威脅的其他企業(yè)共享技術和最佳做法。
企業(yè)共享信息的方式應該要能夠幫助他們抵御攻擊，而不會有利于攻擊，且不會違反法律或涉及信息共享的監(jiān)管要求。
然而，對于共享信息，除了法律上的考慮，還有經濟上的限制。
3、了解APT攻擊鏈
這是用來描述APT攻擊階段的模型，這些階段包括偵察、武器化、交付、漏洞利用、安裝、命令&控制和行動(這部分內容請參考：從偵查到破敵 APT攻擊過程全揭密)。這基本上類似于入室盜竊，小偷在行竊前，會對建筑物進行偵察等活動。
顯然，企業(yè)在越早期階段檢測到攻擊，就越可能阻止攻擊。理解和分析這些殺傷鏈是關鍵，可以幫助企業(yè)在必要階段部署適當的防御控制。
4、尋找感染指標(IOC)
這與理解“APT攻擊鏈”有關聯(lián)。沒有企業(yè)可以阻止所有攻擊，因此，IT團隊需要知道如何尋找異?；顒?。這包括尋找APT可能與網絡外部通信的獨特方式，任何奇怪的DNS查詢或聯(lián)絡網站都是廠家的IOC。
APT通常會根據其尋求自定義工具，而這通常為IT提供了區(qū)分APT與正常流量的因素。他們通常會使用各種常見應用程序，例如遠程桌面應用程序、代理或加密通道來通信。
這些應用程序和其他應用程序的不尋常使用都是找出APT的關鍵。當然，這需要IT完全了解網絡正常情況是什么樣。另外，追蹤用戶異常行為也可以有所幫助。
5、測試你的網絡
這可以包括主動分析或沙箱技術。確定事物是否為惡意的最佳方法是實際運行它，看看它的行為是否為惡意。
雖然企業(yè)有漏洞管理工具來幫助修復明顯的漏洞，但企業(yè)也應該定期進行自我網絡的攻擊測試(或者尋找第三方)來找出問題所在。
6、采用最新的針對APT的安全防護工具
在防范APT攻擊上，國際和國內廠家分別獨立探索出了相似的技術解決路徑，通過在內網、私有云的服務器上安裝防護工具，為任何可疑操作設置幻影等手段，對各種APT攻擊進行識別、跟蹤和誘捕，在實際環(huán)境中取得了不錯的效果。欲了解產品詳情，請致電：容域科技 010 6234 2972。