實(shí)實(shí)在在的信息安全綜合解決方案拒絕忽悠
APT,Advanced persistent threat,高級(jí)可持續(xù)性威脅,是目前信息安全領(lǐng)域比較熱門的一個(gè)詞匯,不過不要被它那華麗的字眼和恐怖的描述所嚇倒,當(dāng)然,在遭遇黑客攻擊之后也不要立即宣稱受到APT攻擊,企圖受到諒解或蒙混過關(guān)。 讓我們先看看它的定義,它通常指一個(gè)群體,例如外國(guó)政府,有能力和意圖長(zhǎng)期而有效地針對(duì)特定的目標(biāo)(發(fā)動(dòng)滲透攻擊),這樣說來單個(gè)黑客甚至小型的黑客團(tuán)隊(duì)即使再厲害,也算不上APT,因?yàn)樗麄兞α课⒈。舻姆绞椒椒ㄓ邢蓿膊痪哂谐掷m(xù)性。 除了在國(guó)家政治軍事層面,目前比較公認(rèn)的震網(wǎng)(Stuxnet)病毒屬于APT,在商業(yè)領(lǐng)域,APT也經(jīng)常會(huì)被用稱呼基于互聯(lián)網(wǎng)的商業(yè)間諜攻擊,具體的方式包括:病毒感染、供應(yīng)鏈滲透、社會(huì)工程等。 想主動(dòng)利用病毒感染這種傳統(tǒng)的方式入侵目標(biāo)系統(tǒng)并不容易,多數(shù)商業(yè)組織都有安全網(wǎng)關(guān),它往往使用特定的安全操作系統(tǒng),只要更新及時(shí)并做好基本的安全加固,并不容易受到病毒的感染,而在網(wǎng)關(guān)的保護(hù)下,內(nèi)網(wǎng)的計(jì)算系統(tǒng)往往不會(huì)被互聯(lián)網(wǎng)直接訪問到,直接進(jìn)行病毒攻擊也很難得逞,所以在國(guó)外流行扔U盤或其它終端計(jì)算設(shè)備,利用它們來感染拾到者的電腦,當(dāng)然我們相信正常的防病毒系統(tǒng)會(huì)查出已知的病毒程序,而且新型防病毒系統(tǒng)也有些未知病毒的識(shí)別功能,不過要徹底防范,還需更多安全控制措施,更需要教育用戶的安全防范意識(shí)。 通過供應(yīng)鏈滲透則更是費(fèi)事,多數(shù)組織在供應(yīng)鏈及合作伙伴的安全管理上并非無所作為,通常會(huì)設(shè)置防火墻訪問控制策略,并且在應(yīng)用系統(tǒng)中設(shè)置帳戶和數(shù)據(jù)的訪問權(quán)限,所以想借助供應(yīng)鏈從網(wǎng)絡(luò)和應(yīng)用系統(tǒng)層面入侵的成功性很小,但是不排除利用組織內(nèi)部員工,比如假借供應(yīng)鏈關(guān)系,通過收買或賄賂等手段在組織內(nèi)部安放潛伏人員,這些招數(shù)也只能通過安全意識(shí)教育、安全行為監(jiān)控、安全人員管理比如員工背景審查、簽定保密協(xié)議等手段來約束。 社會(huì)工程防范基本上不能信賴技術(shù)控管措施,對(duì)組織并不熟悉的網(wǎng)絡(luò)釣魚、詐騙電話等等伎倆實(shí)際上很容易被內(nèi)部員工識(shí)別出來,但前提是他們要有相關(guān)的安全防范意識(shí),敢懷疑和挑戰(zhàn)可疑的信息索取請(qǐng)求。 接連幾年,知名信息安全公司Verizon持續(xù)進(jìn)行著數(shù)據(jù)安全泄漏情況的調(diào)查,結(jié)果顯示每年的數(shù)據(jù)泄露原因都無差別,大部分的受害者并沒有受到未知的不明的或不可阻止的攻擊,而是員工不小心插了受到感染的拇指硬盤、在電話里向壞家伙們提供了敏感信息、向“朋友”分享了進(jìn)入系統(tǒng)的密碼、點(diǎn)擊了郵件中的釣魚鏈接、或者放“合同工”或“同事”進(jìn)入了組織的設(shè)施內(nèi)部。 誠(chéng)然,我們可以通過技術(shù)手段來控管這些ATP所借助的攻擊渠道,比如禁用USB接口、過濾和實(shí)時(shí)監(jiān)聽電話交談內(nèi)容、使用多因素認(rèn)證系統(tǒng)、監(jiān)控郵件外發(fā)和接收、實(shí)施防尾隨及防帶人安保措施等等,然而這樣做的代價(jià)太大,成本太高,而且仍然防不勝防,比較經(jīng)濟(jì)實(shí)用的防范方式是加強(qiáng)員工在安全防范方面的意識(shí)認(rèn)知,提高其警惕性和對(duì)可疑人物及行為的識(shí)別能力。 亭長(zhǎng)朗然科技有限公司的安全研究員James Dong稱:“盡管企業(yè)很難成為APT的攻擊目標(biāo),但是仍然可以從APT攻擊手法中吸取適當(dāng)?shù)慕逃?xùn)用于防范各類安全攻擊,最重要的是要員工認(rèn)識(shí)到安全不是其他人的問題或職責(zé),而是自己的職責(zé),只有每位員工都保護(hù)好了自己,并且積極幫助他人,組織才能獲得全面的安全。” 別再拿APT忽悠一般商業(yè)客戶了,他們根本不會(huì)成為APT攻擊的目標(biāo),而且信息安全防范并不需要什么故弄玄虛的高招,腳踏實(shí)地遵循業(yè)界最佳操作實(shí)踐,真心誠(chéng)意為客戶解決安全問題的方案,即使您的產(chǎn)品和服務(wù)并不能全面幫助客戶,也應(yīng)該讓客戶了解事實(shí)真相,這才是獲得客戶長(zhǎng)久信賴的上策。
| 發(fā)布時(shí)間:2012.10.24 來源: 查看次數(shù):3146