美國國家安全局的十大緩解戰(zhàn)略反擊了APT攻擊者可能使用的各種技術手段。美國國家安全局的緩解措施為企業(yè)組織確定了優(yōu)先事項，以盡量減少業(yè)務影響。緩解措施建立在NIST網(wǎng)絡安全框架職能的基礎上，以管理網(wǎng)絡安全風險并促進縱深防御。緩解策略按照已知APT策略的有效性進行排名。需要采取其他戰(zhàn)略和最佳做法來減輕新戰(zhàn)術的發(fā)生。

網(wǎng)絡安全防護關鍵詞：識別(Identify)、保護(Protect)、檢測(Detect)、響應(Respond)、恢復(Recover)。

[[226586]]

1. 立即更新和升級軟件

關鍵詞：識別(Identify),保護(Protect)

應用所有可用的軟件更新，盡可能使流程自動化，并使用從供應商直接提供的更新服務。自動化是必要的，因為攻擊者研究補丁、漏洞利用方法通常在補丁發(fā)布后不久。這些“N天”的漏洞利用可能會像零日漏洞一樣具有破壞性。供應商更新也必須是真實的;更新應確保內(nèi)容的完整性。如果沒有快速和徹底為應用程序打補丁，攻擊者可以在防御者的補丁周期內(nèi)實施入侵。

2. 保護特權和帳戶安全

關鍵詞：識別(Identify),保護(Protect)

根據(jù)風險暴露面分配特權，并按照要求進行維護操作。使用特權訪問管理(PAM)解決方案來自動化憑證管理和細粒度訪問控制。另一種管理特權的方法是通過分層管理訪問，其中每個高級層提供額外的訪問權限，但僅限于更少的人員。創(chuàng)建程序以安全地重置憑證(例如，密碼、令牌、標簽)。必須對特權帳戶和服務進行控制，防止攻擊者以管理員身份訪問高價值資產(chǎn)，并通過網(wǎng)絡進行橫向移動。

3. 強制軟件執(zhí)行策略

關鍵詞：保護(Protect),檢測(Detect)

使用新版本的操作系統(tǒng)，并為腳本、可執(zhí)行文件、設備驅動程序和系統(tǒng)固件強制簽署軟件執(zhí)行策略。維護一個可信證書列表，以防止和檢測非法可執(zhí)行文件的使用和注入。執(zhí)行策略與安全啟動功能結合使用時，可以確保系統(tǒng)完整性。應用程序白名單應與簽名的軟件執(zhí)行策略一起使用，以提供更好的控制。 允許未簽名的軟件將使攻擊者通過嵌入式惡意代碼獲得立足點并建立持久性。

4. 執(zhí)行系統(tǒng)恢復計劃

關鍵詞：識別(Identify),響應(Respond),恢復(Recover)

創(chuàng)建，審查和實施系統(tǒng)恢復計劃，以確保將數(shù)據(jù)恢復為全面災難恢復策略的一部分。該計劃必須保護關鍵數(shù)據(jù)、配置和日志以確保由于意外事件而導致的操作連續(xù)性。為了獲得額外的保護，應盡可能加密備份，異地存儲，脫機，并支持系統(tǒng)和設備的完整恢復和重構。執(zhí)行定期測試并評估備份計劃。根據(jù)需要更新計劃以適應不斷變化的網(wǎng)絡環(huán)境?；謴陀媱澥亲匀粸暮σ约鞍ɡ账鬈浖趦?nèi)的惡意威脅的必要緩解措施。

5. 積極的系統(tǒng)和配置管理

關鍵詞：識別(Identify),保護(Protect)

盤點網(wǎng)絡設備和軟件資產(chǎn)。從網(wǎng)絡中刪除不需要的，不必要的或不應該存在的硬件和軟件。從已知基線開始減少攻擊面并建立操作環(huán)境的控制。此后，積極管理設備、應用程序、操作系統(tǒng)和安全配置。積極的企業(yè)管理確保系統(tǒng)能夠適應動態(tài)威脅環(huán)境，同時擴展和精簡管理操作。

6. 持續(xù)獵取網(wǎng)絡入侵

關鍵詞：檢測(Detect),響應(Respond),恢復(Recover)

采取主動措施檢測，遏制并移除網(wǎng)絡中的任何惡意存在。企業(yè)組織應該假設被入侵，并且使用專門的團隊不斷尋找、遏制并移除網(wǎng)絡中的威脅。諸如日志，安全信息和事件管理(SIEM)產(chǎn)品，端點檢測和響應(EDR)解決方案以及其他數(shù)據(jù)分析功能的被動檢測機制是發(fā)現(xiàn)惡意或異常行為的寶貴工具。積極的動作還應該包括追蹤和滲透測試，使用詳細記錄的事件響應程序來處理任何發(fā)現(xiàn)的安全漏洞。建立積極主動的步驟將使組織過渡到基本檢測方法之外，使用持續(xù)監(jiān)控和緩解策略實現(xiàn)實時威脅檢測和修復。

7. 利用現(xiàn)代硬件安全特性

關鍵詞：識別(Identify),保護(Protect)

使用硬件安全功能，如統(tǒng)一可擴展固件接口(UEFI)安全啟動，可信平臺模塊(TPM)，和硬件虛擬化。對硬件進行固件升級?，F(xiàn)代硬件特性增加了啟動過程的完整性，為高風險應用程序提供了系統(tǒng)認證和支持功能。使用過時的硬件上的現(xiàn)代操作系統(tǒng)會降低保護系統(tǒng)、關鍵數(shù)據(jù)和對攻擊者的認證能力。

8. 使用基于應用感知防御技術隔離網(wǎng)絡

關鍵詞：保護(Protect),檢測(Detect)

隔離關鍵網(wǎng)絡和服務。根據(jù)政策和法律授權，部署基于應用感知的網(wǎng)絡防御措施可以阻止不當形成的流量并限制內(nèi)容。基于已知-不良簽名的傳統(tǒng)入侵檢測由于加密和混淆技術而迅速降低了效率。威脅行為者隱藏惡意行為并通過通用協(xié)議刪除數(shù)據(jù)，因此需要復雜的應用感知防御機制，這對現(xiàn)代網(wǎng)絡防御至關重要。

9. 整合威脅信譽服務

關鍵詞：保護(Protect),檢測(Detect)

利用多來源的威脅信譽服務來處理文件、DNS、url、IPs和電子郵件地址。信譽服務協(xié)助檢測和防止惡意事件,并允許對威脅進行快速的全球響應,減少已知威脅的暴露,并提供更大的威脅分析和引爆能力,而不是組織可以自行提供。新出現(xiàn)的威脅,無論是針對目標的還是全球性的, 都比大多數(shù)組織所能處理的要快,從而導致對新增威脅的報道不足。多源信譽和信息共享服務可以為針對動態(tài)威脅行為者提供更及時有效的安全姿態(tài)。

10. 轉換到多因素認證

關鍵詞：識別(Identify),保護(Protect)

優(yōu)先保護具有提升特權、遠程訪問、用于高價值資產(chǎn)的帳戶。應使用基于物理令牌的認證系統(tǒng)來補充基于知識的驗證，如密碼和PIN。組織應從單因素身份驗證(如基于密碼的系統(tǒng))遷移出去，這些系統(tǒng)的用戶選擇較差，易受到多個系統(tǒng)中的憑證失竊，偽造和重復使用的影響。