安全團隊如何為高級持續威脅做好準備

當企業(yè)CISO和安全團隊為2021年及以后制定防御策略時(shí)，高級持續威脅（APT）是重要討論部分，因為與過(guò)去相比，現在這種威脅帶來(lái)更高風(fēng)險?，F在有很多APT團伙，例如Cozy Bear或APT29、Dynamite Panda或者說(shuō)APT18，這些團伙源自俄羅斯和伊朗等國家，旨在實(shí)現具有國家層面意義的目標，例如為政治目的進(jìn)行間諜活動(dòng)、盜竊知識產(chǎn)權或破壞基礎設施。

APT的共同點(diǎn)是他們具有無(wú)限的資源。他們可無(wú)限制地獲取專(zhuān)業(yè)技能、技術(shù)、情報和資金，這使得他們所產(chǎn)生的攻擊變得更加復雜、難以檢測并且更加持續?？紤]到這種情況，我們是否可以安全地假設APT僅針對最大的目標，例如政府和跨國公司？事實(shí)并不是這樣。

構建涵蓋APT的安全策略

當任何規模的企業(yè)開(kāi)始制定安全策略時(shí)，重要的是回答三個(gè)關(guān)鍵問(wèn)題：

1. 誰(shuí)可能會(huì )攻擊我們，以及為什么？
2. 他們可能如何攻擊我們？
3. 我們將需要部署哪些技術(shù)來(lái)緩解這些攻擊？

在過(guò)去，第一個(gè)問(wèn)題和第二個(gè)問(wèn)題緊密相關(guān)，因為這些APT團伙通常有自己的一套策略、技巧和流程。從網(wǎng)絡(luò )安全的角度來(lái)看，了解APT的攻擊手法至關(guān)重要，這使防御者能夠集中資源來(lái)構建功能，以抵御他們最容易受到的攻擊，這意味著(zhù)大多數企業(yè)（尤其是規模較小的企業(yè)）可以相當準確地計算APT風(fēng)險。然而，在當今的全球經(jīng)濟下，情況已經(jīng)發(fā)生變化。

在民族國家攻擊者對大型企業(yè)或政府組織發(fā)起攻擊時(shí)，通常會(huì )選擇小型企業(yè)作為灘頭陣地。但是，最近發(fā)生的數據泄露事故讓我們意識到供應鏈的蔓延和相互聯(lián)系性質(zhì)的嚴重性。誰(shuí)可能攻擊我們、原因和手段之間的關(guān)聯(lián)在很大程度上已被打破。

在2016年末和2017年初，Shadow Brokers團伙在互聯(lián)網(wǎng)上丟棄了據稱(chēng)是從國家安全局竊取的網(wǎng)絡(luò )工具。這些工具以及其他類(lèi)似工具使資源不太豐富的攻擊者可以利用以前僅由國家支持的攻擊者可以使用的資源和技術(shù)。

此外，更令人擔憂(yōu)的是，安全研究人員最近報告了“雇傭黑客”或“APT即服務(wù)”類(lèi)型攻擊的示例?？ò退够鶎?shí)驗室和Bitdefender都最近發(fā)布報告稱(chēng)，APT團伙似乎被雇傭作為數字刺客，以對小型商業(yè)組織發(fā)起攻擊，但沒(méi)有跡象表明這些攻擊的目標是在國家層面。這種“雇傭攻擊”模型主要出于金錢(qián)目的。

了解當前的威脅形勢

現在的威脅形勢需要各種規模的企業(yè)都準備好防御更復雜和持續的攻擊。通過(guò)了解和整合最佳做法和措施–有關(guān)全球最大的組織和政府機構如何保護自己的，任何成熟度水平的網(wǎng)絡(luò )安全計劃都可以從中受益。

下面是需要考慮的事情：

• 假設攻擊會(huì )發(fā)生。早在2014年，時(shí)任聯(lián)邦調查局局長(cháng)James Comey說(shuō)：“美國公司分為兩種類(lèi)型：已經(jīng)遭受攻擊的公司和還不知道的公司?！边@個(gè)說(shuō)法在當時(shí)可能是正確的，現在更是如此。APT使社會(huì )工程學(xué)成為一種藝術(shù)形式。因此，憑證盜竊與67%的數據泄露事故有關(guān)。攻擊必然會(huì )發(fā)生；攻擊者會(huì )找到入侵網(wǎng)絡(luò )的方式。請接受現狀，假設它會(huì )發(fā)生，然后去查找。
• 保持主動(dòng)，而不是被動(dòng)。假設攻擊會(huì )發(fā)生意味著(zhù)我們知道我們的工具將無(wú)法阻止每一次攻擊。采取被動(dòng)的姿態(tài)并等待工具告訴我們何時(shí)采取行動(dòng)是一種過(guò)時(shí)的運營(yíng)模式。主動(dòng)分析（通常稱(chēng)為網(wǎng)絡(luò )威脅搜尋）是所有現代安全程序的重要組成部分。威脅搜尋小組執行情境化搜尋，由威脅情報引導并基于數據驅動(dòng)分析，以根除隱藏的入侵者-搜索和破壞的練習。
• 快速響應能力。在過(guò)去，安全團隊對事件進(jìn)行分級響應。警報會(huì )觸發(fā)調查，然后觸發(fā)更多的信息收集，這通常需要部署更多的工具，從而觸發(fā)進(jìn)一步的監視；然后，開(kāi)始執行阻止和清除計劃。這種方法太慢，并且給精明的攻擊者提供時(shí)間來(lái)了解目標環(huán)境，并部署持續性機制，也使抵御工作變得更加困難。有效的安全團隊知道在給定情況下需要立即采取行動(dòng)，包括事件驗證和適當的響應，以及哪些領(lǐng)域可以從自動(dòng)化中受益。
• 用專(zhuān)業(yè)技能對付專(zhuān)業(yè)技能。無(wú)論技術(shù)多么先進(jìn)，光靠技術(shù)，永遠無(wú)法取代高技能、積極進(jìn)取和支持的團隊所能提供的無(wú)形直覺(jué)。如果沒(méi)有訓練有素、裝備精良且經(jīng)驗豐富的安全分析師來(lái)應對APT攻擊者，內部安全團隊的失敗概率會(huì )超過(guò)成功概率。

了解如何抵御當今的高級持續威脅

當我們看到越來(lái)越多的證據表明APT攻擊正在逐漸產(chǎn)品化時(shí)，可以確定的是，與過(guò)去相比，所有企業(yè)都可能面臨更持續更復雜的攻擊。因此，對于安全團隊來(lái)說(shuō)，重要的是要認識到，在當今威脅形勢下，有效的安全計劃需要結合防御技術(shù)與24小時(shí)連續監控，因為攻擊者在多個(gè)時(shí)區工作。如果安全團隊想要成功保護他們其企業(yè)，則需要有效和主動(dòng)的威脅檢測，以及一套明確的快速響應措施。