网络社会征信网

征信网 > 诚信要闻

企业网络战之定制防御对付APT攻击

发布日期:2013-05-30 12:48:17

  过去企业最关注的信息安全威胁往往是全球病毒爆发事件,但从2011年起,焦点已转向APT——高级持续性渗透攻击,因为就连信息安全防范严密的大企业都能被APT突穿防线而浑然不知,显见此类攻击确实可怕,难怪举世为之震惊。


  用可定制防御对付APT


  APT——高级持续性渗透攻击是一种定制化的目标式攻击,处心积虑透渗攻击目标,所以面对防病毒软件、防火墙或入侵防御系统等传统的信息安全防线,早已深谙闪避之道,也擅长运用社会工程学邮件以假乱真,让员工在不疑有他的情况下沦为黑客的禁脔,企业哪怕做再多倡导与训练,都将防不胜防。


  企业如何应对APT首先需要调整心态,假设自己已遭攻击,然后一方面积极提高被攻击的门坎,避免持续遭到渗透;另一方面要设法早期发现、尽速处理。针对“发现”与“处理”,企业亦应有所体认,面对定制化攻击,唯有运用定制化防御才能顺利反制,莫再倚赖一体式工具,因为这些工具根本无效;此时企业可与信息安全厂商合作,在企业内部建立应对新型攻击的反应机制和流程,方可做到定制化的防御。


  要满足上述目标,少不得需要工具辅助。所以近年来,基于沙盒模拟分析技术的APT解决方案一一现身,这类方案可协助用户揪出恶意文件,并据此求助防病毒软件厂商,尽速清理祸害。这类方案确实拥有一定的价值,但亦存在若干盲点。沙盒模拟是必要的分析工具,但单靠此一技术难以抑止实际攻击。首先,高达九成的APT攻击皆以社会工程学邮件为先遣部队,企业需考虑如何在第一时间阻挡社会工程学邮件进入企业内部,以减少后续灾害的控制成本。单一的沙盒模拟技术在时效及效能方面难以符合实际需求。


  其次,APT恶意软件的运作行为复杂,其特征与型态明显超出传统防病毒软件的认知范围,所以未必能有效清除。


    所以企业想要对付APT,须特别注意另外两道重要防线。一是网关端的社会工程学邮件拦截机制,先将大多数APT先遣部队拒于企业门外,纵使有少数蒙混过关,亦可缩小打击面,大幅减轻后续处理负担;另一则是引进“事件处理”工具及顾问服务,由精通信息安全威胁的外部专家从旁指点,帮助企业分析并发掘深层潜伏的威胁,将埋伏在各个端点的暗桩悉数加以铲除。


    总括来说,完整的APT防线,必须涵盖社会工程学邮件网关拦截、仿真分析、网络监测、恶意软件清除等必要工具,并结合事件处理顾问服务的支援,方能将受害机率降到最低;愈能一举提供完整工具与服务的厂商,自然愈值得用户托以重任。

专题活动