当企业CISO当安全团队在2021年及以后制定防御策略时,高级持续威胁(APT)这是一个重要的讨论部分,因为这种威胁比过去带来了更高的风险。现在有很多APT团伙,例如Cozy Bear或APT29、Dynamite Panda或者说APT18,这些团伙来自俄罗斯、伊朗等国家,旨在实现间谍活动、盗窃知识产权或破坏基础设施等具有国家意义的政治目标。
APT共同点是他们有无限的资源。他们可以无限期地获得专业技能、技术、情报和资金,使他们的攻击更加复杂、难以检测和可持续。考虑到这种情况,我们能安全地假设吗?APT *** 和跨国公司等更大目标并非如此。
构建涵盖APT的安全策略
回答三个关键问题:
- 谁会攻击我们,为什么?
- 他们可能如何攻击我们?
- 我们需要部署哪些技术来缓解这些攻击?
在过去,之一个问题与第二个问题密切相关,因为这些问题APT团伙通常有自己的策略、技能和流程。从 *** 安全的角度来看,理解APT攻击技术非常重要,这使得防御者能够集中资源来建立功能来抵抗他们最容易受到的攻击,这意味着大多数企业(特别是小企业)可以相当准确地计算APT风险。然而,在当今全球经济中,情况发生了变化。
当国家攻击者攻击大型企业或 *** 组织时,他们通常选择小型企业作为海滩地位。然而,最近的数据泄露事故让我们意识到供应链的蔓延和相互联系的严重性。谁能攻击我们,原因和手段之间的联系在很大程度上被打破了。
2016年底和2017年初,Shadow Brokers该团伙在互联网上丢弃了据称从国家安全局窃取的 *** 工具。这些工具和其他类似的工具使资源不足的攻击者能够使用以前只有国家支持的攻击者才能使用的资源和技术。
此外,更令人担忧的是,安全研究人员最近报告了“雇佣黑客”或“APT即服务”类型攻击的例子。卡巴斯基实验室和Bitdefender都最近发布报告称,APT该团伙似乎被雇佣为数字刺客来攻击小型商业组织,但没有迹象表明这些攻击的目标是在国家层面。“雇佣攻击”模型主要是为了钱。
了解当前的威胁情况
当前的威胁需要各种规模的企业为更复杂和持续的攻击做好准备。通过理解和整合更佳实践和措施–有关全球更大的组织和 *** 机构如何保护自己的,任何成熟度水平的 *** 安全计划都可以从中受益。
以下是需要考虑的:
假设攻击会发生。早在2014年,时任联邦调查局局长James Comey说:“美国公司分为两种类型:被攻击的公司和未知的公司。”这种说法在当时可能是正确的,尤其是现在。APT使社会工程成为一种艺术形式。因此,凭证盗窃与67%的数据泄露事故有关。攻击将不可避免地发生;攻击者将找到入侵 *** 的 *** 。请接受现状,假设它会发生,然后找到它。
保持主动,而不是被动。假设攻击意味着我们知道我们的工具不会阻止每一次攻击。采取被动的态度,等待工具告诉我们什么时候采取行动是一种过时的操作模式。主动分析(通常称为 *** 威胁搜索)是所有现代安全程序的重要组成部分。威胁搜索小组进行情境搜索,由威胁情报指导,并基于数据驱动分析,以消除隐藏的入侵者-练习搜索和破坏。
快速响应能力。在过去,安全团队对事件进行了分级响应。报警会触发调查,然后触发更多的信息收集,通常需要更多的工具来触发进一步的监控;然后,开始实施预防和清除计划。这种 *** 太慢,为聪明的攻击者提供了时间来了解目标环境和部署连续机制,使得抵抗工作更加困难。有效的安全团队知道在给定的情况下需要立即采取行动,包括事件验证和适当的响应,以及哪些领域可以从自动化中受益。
用专业技能处理专业技能。无论技术有多先进,单靠技术永远无法取代高技能、进取和支持团队提供的无形直觉。如果没有训练有素、设备精良、经验丰富的安全分析师来处理APT内部安全团队的失败概率将超过攻击者的成功概率。
了解如何抵御当今高级持续威胁
当我们看到越来越多的证据时APT当攻击逐渐产品化时,可以肯定的是,与过去相比,所有企业都可能面临更持续、更复杂的攻击。因此,对于安全团队来说,由于攻击者在多个时区工作,因此认识到有效的安全计划需要结合防御技术和24小时者在多个时区工作。如果安全团队想要成功地保护他们的企业,他们需要有效和积极的威胁测试和一套明确的快速响应措施。