【10月28日51CTO外電頭條】我曾經(jīng)被卷入過近三年以來的多起高級持續(xù)性威脅（APT）襲擊事件，因此對于如何根除它們頗有心得——或者，更確切地說，在大型網(wǎng)絡(luò)中減少它們的發(fā)生次數(shù)。察覺這類攻擊并不是沒有可能，事實上，這是最為簡單的部分。不過，如果不去嚴重地破壞創(chuàng)收操作或者暴露你的環(huán)境，高級持續(xù)性威脅很難從你的網(wǎng)絡(luò)中根除。

雖然每個APT案例都是各有所異，但是我仍然可以為大家在面對它們的時候該怎么做提供一些個人建議。查找和根除——或者不如說減少APT襲擊事件需要仔細而秘密的計劃，以免打草驚蛇，讓攻擊者們對于你之前努力布設(shè)的防御措施有機可乘。

為修復日做好網(wǎng)絡(luò)和人員的準備

如果你是一位IT管理員，應該就問題的嚴重程度和應對APT的初步計劃多與IT高級管理人員交流。這往往會演變?yōu)槊鎸λ懈呒壒芾砣藛T，比如董事會、監(jiān)管機構(gòu)、合作伙伴、供應商等等的演講。讓高級管理人員決定誰可以在什么時候知道些什么。

最首要的技術(shù)回應應該是更多的執(zhí)行網(wǎng)絡(luò)監(jiān)控，你需要找出APT問題的嚴重性。問題出在哪一臺計算機？是不是泄露了密碼？哪些工具和惡意軟件正在被使用？是不是電子郵件被盜用了？數(shù)據(jù)流向哪里，外部還是內(nèi)部？最起碼，檢測APT通常意味著實行之前沒有投入使用的主機和網(wǎng)絡(luò)入侵檢測軟件。

接下來，你需要確定最佳的方式來處理眼前的問題。你可以選擇馬上將受到侵害的計算機從網(wǎng)絡(luò)中撤走。此外，在開始的時候，你仍可以讓這些系統(tǒng)繼續(xù)保持正常運作，以便防止APT策劃者們意識到你可能已經(jīng)發(fā)現(xiàn)了問題。這是每個公司的風險抉擇問題，而這兩種方式我都曾經(jīng)使用過。

然后，與補救修復計劃參與者們進行商討并制定一個可以根除APT的方案。你的網(wǎng)絡(luò)安全小組應該包括技術(shù)人員、高級管理人員代表、供應商方面的專家、APT專家、受影響的業(yè)務部門領(lǐng)導、信息小組、項目經(jīng)理和所涉及的其他人員。一般情況下，從個別人著手，逐漸引入其他必要的人員。每個參與該計劃的人都必須簽署一份保密協(xié)議，哪怕在公司已經(jīng)簽署過一份。必須做好保密措施，直到最終正式的計劃生成并執(zhí)行。

給APT和補救過程設(shè)定一個能夠讓所有參與者在線交流使用的關(guān)鍵字，比如“醫(yī)療系統(tǒng)更新”、“棒球比賽”或者“旅游政策”等等。這些字眼必須看上去是些無關(guān)緊要的事情，以免引起APT攻擊者的注意。

要想擺脫APT其實并不像想象中的那么困難，只是在想要根除它的時候不造成業(yè)務的中斷似乎比較困難。為此，在進行大規(guī)模網(wǎng)絡(luò)清理修復之前必須列出所有應用程序和服務器的清單。指定所有權(quán)——就是確定誰負責解決哪個資源的問題，同時也負責該部分資源的運作。對那些必須保留其功能的用戶和服務器賬戶進行歸檔。

此外，指定重要級：哪些應用程序和服務器必須保持最高的活躍度和最少的停止運作時間？高級管理層可以接受的最糟糕情況是什么？在最近的一個實例里，遇到的不可接受情況就是延遲申報公共財務報表，但是除此以外的其它情況都被認為是合理的。

接下來，看看清單上的用戶、計算機、服務賬戶、網(wǎng)絡(luò)設(shè)備和互聯(lián)網(wǎng)連接點一共有多少？它們都在哪兒？圍繞它們開發(fā)生命周期管理策略和程序，不論是創(chuàng)建還是當不再需要它們的時候取消它們的權(quán)限。

大多數(shù)環(huán)境中都有太多的對象，缺乏明確的所有者，并且一般來說無法確定在現(xiàn)有的項目中哪些是合理的或是需要的。但事實上，沒有比刪除你不需要的對象更為安全的做法。

最后，在進行修復的前一天，確保補丁更新到最新狀態(tài)。這是可以提前完成的，而且對于擺脫APT很有幫助。對你的網(wǎng)絡(luò)、廣域網(wǎng)和最重要的基礎(chǔ)架構(gòu)系統(tǒng)進行常規(guī)檢查。在嘗試進行巨大的變動和修復之前你必須擁有一個高效的網(wǎng)絡(luò)和操作環(huán)境。

修復日的決戰(zhàn)：快而準地打擊攻擊者

修復當天的一切應該在很早以前就進行詳細的規(guī)劃。有一套明確的并且行之有效的步驟，還要制定出時間表并進行相應的職責劃分。每個人都應該知道自己何時要做什么。最起碼，修復日通常會從切斷公司的網(wǎng)絡(luò)開始，這樣APT攻擊者們就不至于及時地作出反應，更不用提該如何控制即將發(fā)生的一切了。

讓所有已知的存在APT的系統(tǒng)離線并進行重建。更換包括服務賬戶在內(nèi)所有賬戶的密碼。對于高級賬戶，可以考慮雙因素認證。利用新的認證憑證對所有關(guān)鍵任務應用程序和服務進行測試。有些公司甚至會選擇完全重建他們的輕量級目錄訪問協(xié)議/活動目錄基礎(chǔ)架構(gòu)，這確實是最大程度地降低APT風險的唯一途徑。

一些公司選擇重建的架構(gòu)而另一些則選擇隨著時間慢慢進行遷移，前者更為安全，而后者操作起來更會加順暢。

此外，在讓用戶們帶著新密碼回到網(wǎng)絡(luò)中之前，必須讓他們了解APT和當前的惡意軟件騙局（比如惡意PDF文件、假防毒軟件等等）。可以告訴員工們關(guān)于APT公司所做的一切，也可以只是告訴他們新密碼是公司降低安全風險的一個努力措施而已，這都取決于通信團隊的決定。

不要放松對APT的警惕

員工和管理層應該預料到APT攻擊者們遲早還會卷土重來，然后重新建立他們的據(jù)點。修復過后的頭幾天往往風險系數(shù)最大。

我是電腦和域隔離的超級粉絲。很多工作站都不需要與其他工作站建立通信，同樣，大多服務器也是如此。所以需要定義哪些通信路徑是必須的，然后封鎖其它路徑。用最快和最慢的設(shè)備或服務來完成這項任務。只有在需要使用智能（但是比較慢）的應用層防火墻和代理的地方使用它們。

確保內(nèi)部開發(fā)團隊正在實行安全開發(fā)生命周期技術(shù)。此外，推行全面的事件日志管理系統(tǒng)、檢測以及響應也十分行之有效。如果能夠正確地配置和審查事件日志，最惡意的行為就很容易被發(fā)現(xiàn)。

在這之后，注意奇怪的網(wǎng)絡(luò)通信模式。這通常最容易暴露APT攻擊者的行蹤。這就是他們所做的：竊取信息然后將它們轉(zhuǎn)移到你通常不會發(fā)送信息的地方。

最后，記得推行一個或者更多的預警蜜罐誘捕系統(tǒng)。它們的價格低廉、噪音小，屬于優(yōu)秀的網(wǎng)絡(luò)檢測設(shè)備。蜜罐誘捕系統(tǒng)是非生產(chǎn)資產(chǎn)，因此，在第一次微調(diào)之后就應該不再碰它。

總而言之，減少和根除APT是現(xiàn)在所有公司所面臨的最為艱巨的挑戰(zhàn)。這確實很難，但是想要徹底消滅這些入侵者并非不可能實現(xiàn)，除非你受到高級管理層、操作和財務因素的限制。對于很多公司而言，新常態(tài)是與這些APT風險永遠共存，但其實，任何公司都可以在這場APT戰(zhàn)役中打一個漂亮的勝仗。

原作者：Roger Grimes

相關(guān)播客：大話IT之RSA歸來看APT高持續(xù)性威脅(音頻)

【編輯推薦】

1. 企業(yè)安全產(chǎn)品測評之AXENT Raptor
2. Adaptive Server Anywhere XP_SPRINTF格式串處理漏洞
3. 全面解析高級持續(xù)性威脅(APT)
4. 研究發(fā)現(xiàn)：更多公司成為高級持續(xù)性威脅的目標