在具有敏感數(shù)據(jù)的組織中，有針對(duì)性的攻擊是不可避免的。根據(jù)具體情況，有針對(duì)性的攻擊可能涉及盜竊源代碼，協(xié)商數(shù)據(jù)或一般業(yè)務(wù)中斷。公司需要做好準(zhǔn)備，以實(shí)施災(zāi)難恢復(fù)計(jì)劃所需的相同努力來識(shí)別，響應(yīng)和緩解目標(biāo)攻擊。憑借數(shù)十年的經(jīng)驗(yàn)，以下清單，以幫助組織準(zhǔn)備和應(yīng)對(duì)目標(biāo)攻擊。

[[261403]]

在目標(biāo)攻擊之前：

1. 整合和監(jiān)控Internet出口點(diǎn)：應(yīng)監(jiān)控企業(yè)環(huán)境中與Internet的所有連接，以確定哪些信息正在離開環(huán)境。監(jiān)控的出口點(diǎn)越少，檢測潛在惡意活動(dòng)就越容易。

2. 利用基于主機(jī)的檢測：隨著勞動(dòng)力變得更加自動(dòng)化，集中式網(wǎng)絡(luò)入侵檢測系統(tǒng)并非總是來自員工。計(jì)算機(jī)應(yīng)利用端點(diǎn)保護(hù)來檢測所有類型的活動(dòng)，包括端點(diǎn)可見性，以了解在服務(wù)器，臺(tái)式機(jī)，筆記本電腦以及可能在家工作的遠(yuǎn)程員工之間執(zhí)行的每個(gè)命令。

3. 實(shí)施分層管理模型：建議使用至少三個(gè)級(jí)別的管理來隔離憑據(jù)并防止關(guān)鍵憑據(jù)的泄露。這些級(jí)別是域管理員，服務(wù)器管理員和工作站管理員。沒有一個(gè)帳戶可以訪問所有系統(tǒng)。根據(jù)您的環(huán)境，有幾種方法可以實(shí)現(xiàn)此目的。

4. 最小化或刪除本地管理權(quán)限：用戶不應(yīng)使用具有本地管理員權(quán)限的賬號(hào)，因?yàn)檫@會(huì)為目標(biāo)攻擊者創(chuàng)建多種方式來橫向移動(dòng)并破壞憑據(jù)。我們建議禁用本地管理員帳戶。在其中，應(yīng)禁用工作站和服務(wù)器上的本地管理員。

5. 實(shí)施集中式和時(shí)間同步日志記錄：DHCP，DNS，服務(wù)器事件日志，防火墻日志，IDS和代理日志都應(yīng)存儲(chǔ)在受時(shí)間同步且易于搜索的受保護(hù)集中式系統(tǒng)中。

6. 建立事件響應(yīng)服務(wù)保留器：在您可能需要其服務(wù)之前評(píng)估事件響應(yīng)公司，以便在發(fā)生針對(duì)性攻擊時(shí)制定計(jì)劃。

7. 識(shí)別，隔離和記錄對(duì)關(guān)鍵數(shù)據(jù)的訪問：確定最敏感數(shù)據(jù)的位置，并實(shí)現(xiàn)對(duì)其訪問的記錄和監(jiān)控。

8. 修補(bǔ)程序，修補(bǔ)程序和修補(bǔ)程序：修補(bǔ)操作系統(tǒng)和第三方應(yīng)用程序是加強(qiáng)網(wǎng)絡(luò)抵御目標(biāo)攻擊的最佳方法之一。應(yīng)盡快安裝重要的安全補(bǔ)丁。

9. 審核報(bào)告要求：確定在發(fā)生安全漏洞時(shí)您有責(zé)任通知哪些組織和客戶，并提前準(zhǔn)備文檔并進(jìn)行法律審核。

應(yīng)對(duì)目標(biāo)攻擊：

1. 不要斷開連接：大多數(shù)目標(biāo)攻擊會(huì)在被發(fā)現(xiàn)之前持續(xù)數(shù)月到數(shù)年。當(dāng)受損系統(tǒng)匆忙斷開連接時(shí)，攻擊者極有可能會(huì)破壞其他系統(tǒng)以建立可能未被發(fā)現(xiàn)的其他形式的持久性。如果必須斷開計(jì)算機(jī)，請(qǐng)確保在斷開電源之前保留系統(tǒng)的取證圖像。

2. 保留所有日志：驗(yàn)證是否正在保留所有基于主機(jī)的基于群集的日志和基于網(wǎng)絡(luò)的日志，以及是否維護(hù)關(guān)鍵服務(wù)器的備份。

3. 建立帶外通信通道：假設(shè)您的網(wǎng)絡(luò)完全受到攻擊，攻擊者可以閱讀電子郵件。

4. 聯(lián)系事件響應(yīng)服務(wù)公司：這應(yīng)該是您已在上一個(gè)清單中建立了保留者的公司。

5. 事件范圍：進(jìn)行網(wǎng)絡(luò)取證; 執(zhí)行主機(jī)取證以確定已訪問或受損的系統(tǒng)數(shù)量以及可能已訪問的數(shù)據(jù)。

6. 修復(fù)攻擊：隔離關(guān)鍵系統(tǒng); 阻止對(duì)命令和控制基礎(chǔ)設(shè)施的訪問; 刪除并替換受感染的主機(jī); 在需要時(shí)執(zhí)行憑據(jù)重置; 評(píng)估其他措施以加強(qiáng)環(huán)境。

7. 報(bào)告：根據(jù)要求提供所需的報(bào)告，并確定是否有必要進(jìn)行媒體報(bào)告。

每個(gè)環(huán)境都是獨(dú)一無二的，并且需要額外的項(xiàng)目，具體取決于組織的目標(biāo)以及可能利用的攻擊類型。