如何最好地防御有针对性的攻击?

信息安全 攻击 攻击预防 企业政策
2021-08-15 16:03:00

我们已经看到这种攻击方法作为高级持续威胁的一部分而增长(想到针对谷歌的 Aurora 行动或G20 法国财政部攻击),但我毫不怀疑,如果有很多收获,即使是更小规模的攻击也可能采用这种方法. 我们的案例是:组织内的高价值个人收到恶意消息(例如 PDF 或其他嵌入了恶意代码的文档),这些消息经过专门设计,在他们看来是合法的。此外,我们通常谈论的不是专家用户,他们很难检测到恶意信息,更不用说分析信息了。

我觉得这是一个涉及组织内多个安全领域的主题,需要采用多层方法:用户意识培训、检测技术、缓解措施 (DLP) 等。

认为用户意识和防止数据泄漏的措施无论如何都会成为综合安全计划的一部分,组织应该如何解决目标攻击检测问题?

一些需要解决的问题:

  1. 您需要设置这些过滤器,通常这可能在实际攻击发生后很久才发生。之前有一个关于处理 APT的问题,但这可以更广泛地使用吗?)

  2. 需要有内部或外包的检测和分析能力。有没有提供这种服务的公司?

  3. 您需要拥有能够在其扫描过程中集成(自动)公开的攻击模式的电子邮件过滤工具。

  4. 如何处理截获的消息?试图捕捉有针对性的攻击可能会导致大量误报,难以删除;将它们发送到“隔离”系统可能更合适,但是(如果您将其留给用户决定)无法保证他/她最终不会访问恶意电子邮件并无论如何都不会被感染……

  5. 对于处理关键数据的人来说,完整的系统隔离如何:我正在考虑一种“分层”方法,即自己不接收电子邮件,而是通过秘书或其他“安全”中间人。

您的想法/建议/解决方案/方向?

4个回答

恕我直言,它始终如一地做着不性感的事情,这将为您提供针对针对性攻击和“APT”的最佳防御。

正如我在 RSA 提供其高级攻击的详细信息时所写的那样,从中吸取的教训是:

  • 电子邮件作为恶意软件分发机制并未消亡。挖掘那些用户意识演示,并添加一些关于鱼叉式网络钓鱼和信任垃圾过滤器的培训
  • 上网是一种奢侈,而不是默认权利。如果不是为了明确的商业利益,请勿提供
  • 考虑根据用户角色将需要访问的网站列入白名单,像检查引用 URL 是否为 Google 的规则一样智能,可以防止反弹和生产力损失,同时显着提高安全性
  • 重新评估 Flash、Adobe 阅读器、Office、浏览器扩展等软件的商业原因,将其作为所有台式机和笔记本电脑的黄金构建的一部分。存在替代方案,具有特定业务原因的用户可以请求它 - 减少您的攻击面
  • 使用 IDS 进行检测,理想情况下使用 IPS 来防止从端点连接到可疑站点
  • 配置桌面防火墙和基于主机的 IDS 以阻止任何未经批准的新出站连接
  • 监控来自您的 IDS/IPS 的警报 - 拥有一支经过培训的团队,可以通过清晰且经过演练的程序对这些警报做出反应
  • 为管理员访问甚至对内部系统实施两因素身份验证。
  • 摆脱对关键系统的永久特权访问,并在批准的更改和支持票证之外监控登录
  • 借助 DLP 的工具、人员和流程,让您的安全控制更接近您最有价值的数据。您的监控策略需要考虑加密文件,分析解密版本或标记任何新的加密传输。加密存储中的数据以增加进一步的保护层,即使被盗也是一个好主意
  • 网络分段 - 即使在您的内部网络中为您的皇冠上的珠宝创建安全的网络区域,控制和监控对这些的访问
  • 考虑瘦客户端或零客户端端点

最重要的是进行风险评估,创建威胁模型和攻击树。在房间里找一些聪明的人,理想情况下不仅仅是安全,至少是头脑风暴:

  • 价值——您最重要的信息是什么?您只需要尽可能多的安全性来保护您的价值
  • 威胁——有没有人有动机和能力给你带来麻烦?
  • 弱点 - 您的系统、人员和流程中可能被利用的弱点是什么?这些有多严重?
  • 风险 - 基于所有这些,您的实际风险是什么?什么是真正的曝光?
  • 控制——到目前为止,您在安全方面所花费的一切如何帮助您降低这种风险?如果你摆脱了控制,它会显着增加风险吗?是否值得投资于新技术、人员和流程?

你会发现可能不是最性感的东西,它可能是你无论如何都应该做的东西,例如补丁 Appache aka Sony,但最终它可能会给你带来最好的成本效益,甚至可以防御 APT。

防御有针对性的攻击迫使防御者提高观察能力。

加强防御漏洞非常重要(例如,加速补丁部署、将最终用户可以运行的应用程序列入白名单、提供一次性虚拟机、增强客户端应用程序的安全强化),但由于所有预防工具预计都会及时失效(更快因此,当被有动机的对手作为目标时)必须扩展您拥有的监控能力,以便您可以观察攻击者可能用来获得控制权、窃取信息或其他任何东西的所有途径。检测是对抗有才华的对手的关键组成部分。

设置一个内部门户可能非常巧妙,最终用户可以下载具有额外安全性的特殊虚拟机(这里其他人提到的),但特别是带有额外监控的虚拟机。例如,首席财务官 Marc 需要执行几次银行转账并发送一封高度敏感的电子邮件。Marc 可以双击桌面上的链接来启动预先配置了更高级别监控的应用程序或 VM(甚至是透明的,如 VMware 中的 Unity 模式)。该浏览器已预先配置为通过特殊的内部 Web 代理设置路由流量,供像 Marc 这样需要额外监控和检测功能的人使用。操作系统可以强化,预配置优化的 HIDS 设置,完整的数据包捕获或网络流可以记录和存储一段时间,所有入口/出口文件传输(例如 通过 HTTPS 下载后的 PDF 查看)可以通过离线恶意软件识别工具进行传输。在 Marc 完成他的任务后,您可以运行脚本来总结他的活动并捆绑您预配置的安全工具套件生成的任何警报。

我认为在适当的时候进行临时的大量监控会给你一个获胜的机会。一直对所有内容进行全面监控的现实对我来说是失败的。很少有人拥有足够的资源来全面分析由如此严格的监控所产生的警报流。

您认为您可以跟上 Joanna Rutkowska 的“将我的数字生活划分为安全域”的步伐,并像她一样维护每个“高价值个人”工作站吗?那你就厉害了!

防御针对性攻击的最佳方式与防御所有其他攻击的最佳方式相同;平衡可用性与安全性并采取相应的行动。

我发现这个问题很难回答,因为如果它实际上是有针对性的攻击,那么攻击者就有一个目标。在大多数攻击过程中,他们将使用与所有其他野外攻击相同的资源。唯一真正的变化是这种有针对性的攻击将具有更高的弹性并且更具针对性。如果他们有技能并且足够坚定,他们就会进入你的系统(前提是实际上有一个可以利用的连接)。

你的大部分问题似乎都是你自己回答的。

我希望有更好的方法,但 atm 唯一真正的答案是不断添加层,直到您的内容和 ROI 达到平衡。

我读到在一些重要的政府办公室,现在习惯给每个员工两台电脑,一台可以访问内部网,没有可用的磁盘或 USB 插座,另一台可以正常访问互联网,这就是所有电子邮件已阅读。通常几乎不需要将数据从一侧传输到另一侧

其它你可能感兴趣的问题
上一篇如何处理容易被互联网和邮件诈骗所愚弄的人? 下一篇在 Web 服务中公开异常信息是否存在安全风险?