如何抵御高級持續(xù)威脅呢?筆者的建議是：做更好的補(bǔ)丁修復(fù)和使用白名單。通過這兩種方法，大多數(shù)可以減少99%的惡意攻擊風(fēng)險(xiǎn)。

但是很少有企業(yè)這樣做，大多數(shù)企業(yè)都專注于其他事物上。例如，他們計(jì)劃創(chuàng)建一個(gè)高度安全的網(wǎng)絡(luò)。

他們是這樣做的：首先整理所有服務(wù)，確定哪些服務(wù)是最重要的，然后盡全力保護(hù)這些資產(chǎn)。這些資產(chǎn)包括關(guān)鍵任務(wù)型應(yīng)用程序或者服務(wù)，支持它們(Active Directory、DNS、用戶賬戶、服務(wù)賬戶、網(wǎng)絡(luò)設(shè)備等)的服務(wù)器和基礎(chǔ)設(shè)施，以及連接到這些應(yīng)用程序或服務(wù)的所有工作站。

這種辦法的關(guān)鍵在于以較高水平保護(hù)關(guān)鍵資產(chǎn)。問題是如何實(shí)現(xiàn)這一點(diǎn)，以及我們需要建立多少這樣的網(wǎng)絡(luò)。

對于大多數(shù)APT攻擊，攻擊者會(huì)破壞Active Directory域控制器，獲得所有密碼哈希，然后使用傳遞哈希工具來獲得網(wǎng)絡(luò)的完全控制權(quán)。大多數(shù)企業(yè)想要?jiǎng)?chuàng)建一個(gè)或多個(gè)獨(dú)立的額外的網(wǎng)絡(luò)，這樣單個(gè)域控制器受到攻擊而不會(huì)威脅所有企業(yè)資產(chǎn)。

現(xiàn)在進(jìn)入高度安全區(qū)域

這種獨(dú)立的高度安全的網(wǎng)絡(luò)并不是新鮮事物，很多公司至少都有一個(gè)這樣的網(wǎng)絡(luò)，每個(gè)軍隊(duì)都有多個(gè)高度安全的網(wǎng)絡(luò)。在過去二十年中，大多數(shù)企業(yè)都在想辦法整合多個(gè)網(wǎng)絡(luò)到更少的網(wǎng)絡(luò)，來降低成本和管理開銷。新的APT趨勢(APT已經(jīng)滲透企業(yè)五到十年之久)正在讓企業(yè)高管重新考慮以前的整合趨勢。

這是一個(gè)好事情。在域管理員組不設(shè)置任何永久性成員，這是成功的躲過哈希攻擊的先決條件。但如果你不能做到這一點(diǎn)，你可以創(chuàng)建多個(gè)安全域來降低風(fēng)險(xiǎn)。

如果你的公司正在考慮增加更多網(wǎng)絡(luò)，你必須先確定你需要多少個(gè)安全域。很多公司決定建立一個(gè)新的單一的高度安全的網(wǎng)絡(luò)，并把所有關(guān)鍵任務(wù)型服務(wù)器放在里面。筆者很喜歡這種模式，因?yàn)槟隳軌虻玫礁嗟陌踩裕瑫r(shí)減少因管理太多網(wǎng)絡(luò)的開銷?？傮w思路是，如果你的所有關(guān)鍵任務(wù)服務(wù)器都是關(guān)鍵任務(wù)型服務(wù)器，它們應(yīng)該部署相同的安全策略，并且在同一安全域中管理。

如果你決定只建立一個(gè)新的超安全網(wǎng)絡(luò)，你必須確保攻擊者之前的攻擊方式不能入侵這個(gè)網(wǎng)絡(luò)。否則，建立這種網(wǎng)絡(luò)將沒有任何意義。為了獲得最大的安全性，你可以部署物理隔離的網(wǎng)絡(luò)，并且不連接到互聯(lián)網(wǎng)。

大多數(shù)公司可能想要高度安全的獨(dú)立的網(wǎng)絡(luò)，但他們負(fù)擔(dān)不起運(yùn)行單獨(dú)電纜或者無線接入點(diǎn)的成本和精力。一個(gè)很好的辦法是使用獨(dú)立的VLAN，雖然VLAN隔離可能被攻擊，但在現(xiàn)實(shí)世界中這很少發(fā)生。#p#

你想要怎樣的獨(dú)立程度?

如果你想要?jiǎng)?chuàng)建一個(gè)或者多個(gè)新的獨(dú)立的網(wǎng)絡(luò)，另一個(gè)大問題是你將如何配置和取消配置用戶、設(shè)備和其他資源。

對于單個(gè)網(wǎng)絡(luò)，配置通常被標(biāo)記為人力資源系統(tǒng)。當(dāng)一名員工被聘請時(shí)，這會(huì)涉及添加這名新員工的用戶帳號到域的手動(dòng)或自動(dòng)過程。如果這個(gè)過程是自動(dòng)化的，信任根系統(tǒng)應(yīng)該位于哪里?

例如，如果你把你的信任根系統(tǒng)放在原來網(wǎng)絡(luò)(可能已經(jīng)受到感染)，它能否配置服務(wù)到新的高度安全的網(wǎng)絡(luò)?這安全嗎?答案是否定的。你可以信任從較高完整性和保障的系統(tǒng)提供數(shù)據(jù)到低完整性的系統(tǒng)，但反過來就不行了。

在現(xiàn)實(shí)中，大多數(shù)企業(yè)沒有選擇。不過，他們有兩個(gè)次優(yōu)的選擇：他們要么允許不受信任的根系統(tǒng)來配置新網(wǎng)絡(luò)—這可能受到攻擊，要么他們?yōu)槊總€(gè)新的網(wǎng)絡(luò)部署新的根系統(tǒng)，這非常昂貴并且難以維持。

事實(shí)上，每個(gè)額外的網(wǎng)絡(luò)都需要做出這樣的決定。新網(wǎng)絡(luò)是使用來自現(xiàn)有網(wǎng)絡(luò)的一個(gè)還是多個(gè)服務(wù)，還是只能完全依賴于新的服務(wù)?運(yùn)行任何網(wǎng)絡(luò)必須的服務(wù)包括配置、服務(wù)臺(tái)、安全、事件相應(yīng)、審計(jì)、PKI、電子郵件、打印等。

在確定了哪些來自現(xiàn)有網(wǎng)絡(luò)的服務(wù)需要用于新網(wǎng)絡(luò)后，大多數(shù)企業(yè)可能會(huì)考慮增加新的組，但隨后他們會(huì)意識(shí)到創(chuàng)建真正獨(dú)立的網(wǎng)絡(luò)比想像中更困難。#p#

現(xiàn)實(shí)世界攻擊

一般來說，企業(yè)最終會(huì)創(chuàng)建一種模式，其中共享服務(wù)要么保留在現(xiàn)有安全域名中，要么位于這個(gè)獨(dú)立的新網(wǎng)絡(luò)中，與所有其他網(wǎng)絡(luò)共享。他們還可能創(chuàng)建一個(gè)混合的網(wǎng)絡(luò)：一些網(wǎng)絡(luò)具有共享服務(wù)，而另一些網(wǎng)絡(luò)則沒有。

筆者只看到了少數(shù)公司決定在每個(gè)新網(wǎng)絡(luò)復(fù)制服務(wù)?？偠灾@種決定并不容易，這是IT部門需要做出的最艱難的決定之一。

是否部署一個(gè)或者多個(gè)新網(wǎng)絡(luò)域名，這取決于每個(gè)公司，及其文化和風(fēng)險(xiǎn)承受能力。這個(gè)問題并沒有標(biāo)準(zhǔn)答案。從你自己的企業(yè)的需求來考慮這個(gè)問題，仔細(xì)權(quán)衡利與弊。你也可以選擇事后再更改設(shè)計(jì)。事實(shí)上，從最初的嘗試中你可以得出經(jīng)驗(yàn)教訓(xùn)來做出適當(dāng)?shù)男薷摹?/p>

如果你問筆者，你不想花所有時(shí)間來創(chuàng)建超級安全的網(wǎng)絡(luò)，而是專注于企業(yè)可能受到攻擊的薄弱環(huán)節(jié)，并且加強(qiáng)防御來抵御攻擊。這樣，你將真正保護(hù)你的企業(yè)。

畢竟，創(chuàng)造一個(gè)安全的網(wǎng)絡(luò)需要大量的時(shí)間和精力，你需要大量的重復(fù)勞動(dòng)。為什么不將這些時(shí)間和精力用來加強(qiáng)現(xiàn)有網(wǎng)絡(luò)的防御呢?(鄒錚編譯)