深度防御才能对付APT

引言：IT安全团队面临的传统危险已经逐渐被更阴险的攻击形式所取代，即APT（高级持续性威胁）。高级持续性威胁是针对特定目标而实施的一种长期复杂的攻击。高级持续性威胁并不是“普通”威胁。因此，我们不能用普通的防御方式应对，实际上，只有深度防御才能应对APT。

IT安全团队面临的传统危险已经逐渐被更阴险的攻击形式所取代，即APT（高级持续性威胁）。

高级持续性威胁是针对特定目标而实施的一种长期复杂的攻击。高级持续性威胁并不是“普通”威胁。

所谓“高级”是指：攻击者拥有需要充分利用目标漏洞的高级技术和能力，其中包括编码技能以及发现和利用以前未知漏洞的能力。

所谓“持续性”是指：这种攻击不像那些短期的一次性攻击那样，而往往是在若干年中不断地发展，利用多种手段，并随着时间的推移而将安全损害结合起来，从而可以访问更多的重要数据。

所谓“威胁”是指：执行高级持续性威胁的个人、团体、企业拥有使攻击者成功的动机、能力、资源。

高级持续性威胁的运行

几乎每种高级持续性威胁都遵循四大步骤：

第一阶段：侦察。也就是调查企业的弱点和漏洞，其中往往包括域名查询、端口和漏洞扫描等。

第二阶段：初步进入。利用复杂的技术方法或是利用社交工程技术（如鱼叉式钓鱼），利用所发现的漏洞，在目标网络中建立立足点。

第三阶段：特权提升。在初步的渗透之后，黑客设法获得更多权利，并控制更多系统，然后安装一个可以使将来的访问更容易的后门。

第四阶段：持续吸血和非法利用。在建立控制之后，攻击者就能够持续地确定、损害和利用敏感数据。

传统的互联网安全规则在APT时代严重落伍

其原因有：

1.有耐心的攻击者可以等待新漏洞，或者将看似一些不重要的技术整合到大型的有破坏力的攻击中。

2.专门化的由国家资助的攻击者不会仅仅因为公司比其它公司有更强健的安全就停止针对公司的渗透和攻击。

3.APT可以用一种节奏缓慢的方式避开即使配置最好的防火墙和入侵检测系统。

企业需要的是深度防御，这是一种通过身份和访问管理功能而补充传统安全解决方案的策略，其中包括：共享账户管理、虚拟化安全、最少特权访问、身份管理和监管、会话记录、高级认证、服务器强化、数据保护、利用操作系统的命令、函数、实用程序防御APT。

深度防御策略通过身份和访问管理工具扩展外围防御和系统安全，提供针对APT攻击的全面防护。

1.共享账户管理

访问和利用特权账户是对付所有APT攻击的关键策略。因此，共享账户管理功能应当能够：

安全地存储加密口令；

根据策略管理口令的复杂性并进行自动变更；

限制对管理员账户的访问；

使用自动登录功能，用以防止口令共享；

提供紧急账户访问，用以限制哪些人可以访问特权账户；

清除脚本中对硬编码口令的使用。

2.最少特权访问

访问不应当作为一种“全是或全否”的决策。相反，企业应当给个人仅需要完成其所分配任务的凭据。例如:

系统管理员应当能够更新服务器软件、做出配置更改、安装新软件，却不应当自由地更改安全设置或查看日志。

安全管理员应当能够更新和调整设置、配置，也可以查看日志文件，但不应当安装软件或访问敏感数据。

审计人员必须能够改变安全设置和查看日志文件，但不应当对特定系统做出任何改变。

3.会话记录

跟踪特权账户执行了哪些操作是检测APT攻击的关键措施。为此，会话记录必须能够：

直观地展示“谁做了什么”；

不需要浏览海量的难以阅读的文本文件日志就可以提供加速损害调查的分析工具；

记录所有登录的时间、日期、源IP、用户ID；

记录用户输入的任何命令；

将异常行为与执行此行为的个人连接起来。

4.服务器强化

必须对那些保存有敏感信息的任何服务器进行配置，使其可以避免遭受APT攻击，其中的措施包括：

使用防火墙控制通信、限制数据包并阻止不安全的协议；

利用应用程序白名单，仅允许明确规定的执行和安装；

对于高风险应用，定义一套具体的操作集；

防止对日志文件的更改；

监视密钥文件的完整性；

控制对目录文件的访问；

5.利用操作系统的命令、函数、实用程序防御APT

发动APT的攻击者常常使用常见的操作系统命令、函数、实用程序来达到其目的。这些技术实际上可以有助于防御APT攻击：

利用外部工具监视和保护文件，即使文件看似不安全但管理者可以检测攻击者破坏网络的企图。

修改常见的系统命令的名称，从而使得对原始命令的任何使用都会触发警告。

6.虚拟化安全

虚拟化系统的数量与日俱增，从而使得这些环境和虚拟机管理软件成为APT的主要目标。为保护虚拟化的基础架构，企业应当：

对于虚拟机管理软件账户应用最少特权的原则；

监视和记录发生在虚拟机管理软件层的所有动作；

利用自动感知虚拟化的功能保障虚拟机的安全。

7.身份管理和监控

谨慎地保护用户身份是使APT攻击的影响最小化的关键步骤。为此，身份管理和监控功能必须能够：

在员工离开公司时，要尽快地清除其配置和身份授权；

找到和清除独立的无用身份；

8.高级认证

双重认证和基于风险的评估可以阻止或检测非法的访问企图，从而有助于防御APT攻击的初步渗透。为确保其尽可能有效，高级身份认证功能应包括：

基于软件并根据设备不同而变化的双重凭据；

与特定情况相匹配的多功能认证方法；

防御不同APT攻击的规则；

设备确认、地理定位、可疑活动的IP黑名单和案例管理；

在需要更强健的身份保护时，要能够增强身份认证。

9.数据保护

由于任何APT攻击的终极目标都是窃取敏感信息，严格地控制这种数据是成功防御的核心要素。

为保护这些资产，企业必须：

根据敏感程度和类型来分类数据（如访问数据、在用数据、动态数据、静态数据，等等）；

在数据在源头（如电子邮件和物理硬盘）之间传输时要加以控制。

成功的APT防御应当能够补充传统的外围和基础架构的安全措施，所以企业就能够使攻击者的最初渗透更困难，减少账户遭到破坏后特权提升的可能性，并限制账户遭到破坏后造成的损害，可以检测入侵企图早期的可疑活动和收集取证人员用以确定危害发生的性质、时间、人员的信息。