當(dāng)企業(yè)CISO和安全團(tuán)隊(duì)為2021年及以后制定防御策略時(shí)，高級持續(xù)威脅(APT)是重要討論部分，因?yàn)榕c過去相比，現(xiàn)在這種威脅帶來更高風(fēng)險(xiǎn)?，F(xiàn)在有很多APT團(tuán)伙，例如Cozy Bear或APT29、Dynamite Panda或者說APT18，這些團(tuán)伙源自俄羅斯和伊朗等國家，旨在實(shí)現(xiàn)具有國家層面意義的目標(biāo)，例如為政治目的進(jìn)行間諜活動(dòng)、盜竊知識產(chǎn)權(quán)或破壞基礎(chǔ)設(shè)施。

APT的共同點(diǎn)是他們具有無限的資源。他們可無限制地獲取專業(yè)技能、技術(shù)、情報(bào)和資金，這使得他們所產(chǎn)生的攻擊變得更加復(fù)雜、難以檢測并且更加持續(xù)?？紤]到這種情況，我們是否可以安全地假設(shè)APT僅針對最大的目標(biāo)，例如政府和跨國公司?事實(shí)并不是這樣。

構(gòu)建涵蓋APT的安全策略

當(dāng)任何規(guī)模的企業(yè)開始制定安全策略時(shí)，重要的是回答三個(gè)關(guān)鍵問題：

• 誰可能會(huì)攻擊我們，以及為什么?
• 他們可能如何攻擊我們?
• 我們將需要部署哪些技術(shù)來緩解這些攻擊?

在過去，第一個(gè)問題和第二個(gè)問題緊密相關(guān)，因?yàn)檫@些APT團(tuán)伙通常有自己的一套策略、技巧和流程。從網(wǎng)絡(luò)安全的角度來看，了解APT的攻擊手法至關(guān)重要，這使防御者能夠集中資源來構(gòu)建功能，以抵御他們最容易受到的攻擊，這意味著大多數(shù)企業(yè)(尤其是規(guī)模較小的企業(yè))可以相當(dāng)準(zhǔn)確地計(jì)算APT風(fēng)險(xiǎn)。然而，在當(dāng)今的全球經(jīng)濟(jì)下，情況已經(jīng)發(fā)生變化。

在民族國家攻擊者對大型企業(yè)或政府組織發(fā)起攻擊時(shí)，通常會(huì)選擇小型企業(yè)作為灘頭陣地。但是，最近發(fā)生的數(shù)據(jù)泄露事故讓我們意識到供應(yīng)鏈的蔓延和相互聯(lián)系性質(zhì)的嚴(yán)重性。誰可能攻擊我們、原因和手段之間的關(guān)聯(lián)在很大程度上已被打破。

在2016年末和2017年初，Shadow Brokers團(tuán)伙在互聯(lián)網(wǎng)上丟棄了據(jù)稱是從國家安全局竊取的網(wǎng)絡(luò)工具。這些工具以及其他類似工具使資源不太豐富的攻擊者可以利用以前僅由國家支持的攻擊者可以使用的資源和技術(shù)。

此外，更令人擔(dān)憂的是，安全研究人員最近報(bào)告了“雇傭黑客”或“APT即服務(wù)”類型攻擊的示例。卡巴斯基實(shí)驗(yàn)室和Bitdefender都最近發(fā)布報(bào)告稱，APT團(tuán)伙似乎被雇傭作為數(shù)字刺客，以對小型商業(yè)組織發(fā)起攻擊，但沒有跡象表明這些攻擊的目標(biāo)是在國家層面。這種“雇傭攻擊”模型主要出于金錢目的。

了解當(dāng)前的威脅形勢

現(xiàn)在的威脅形勢需要各種規(guī)模的企業(yè)都準(zhǔn)備好防御更復(fù)雜和持續(xù)的攻擊。通過了解和整合最佳做法和措施–有關(guān)全球最大的組織和政府機(jī)構(gòu)如何保護(hù)自己的，任何成熟度水平的網(wǎng)絡(luò)安全計(jì)劃都可以從中受益。

下面是需要考慮的事情：

假設(shè)攻擊會(huì)發(fā)生。早在2014年，時(shí)任聯(lián)邦調(diào)查局局長James Comey說：“美國公司分為兩種類型：已經(jīng)遭受攻擊的公司和還不知道的公司。”這個(gè)說法在當(dāng)時(shí)可能是正確的，現(xiàn)在更是如此。APT使社會(huì)工程學(xué)成為一種藝術(shù)形式。因此，憑證盜竊與67%的數(shù)據(jù)泄露事故有關(guān)。攻擊必然會(huì)發(fā)生;攻擊者會(huì)找到入侵網(wǎng)絡(luò)的方式。請接受現(xiàn)狀，假設(shè)它會(huì)發(fā)生，然后去查找。

保持主動(dòng)，而不是被動(dòng)。假設(shè)攻擊會(huì)發(fā)生意味著我們知道我們的工具將無法阻止每一次攻擊。采取被動(dòng)的姿態(tài)并等待工具告訴我們何時(shí)采取行動(dòng)是一種過時(shí)的運(yùn)營模式。主動(dòng)分析(通常稱為網(wǎng)絡(luò)威脅搜尋)是所有現(xiàn)代安全程序的重要組成部分。威脅搜尋小組執(zhí)行情境化搜尋，由威脅情報(bào)引導(dǎo)并基于數(shù)據(jù)驅(qū)動(dòng)分析，以根除隱藏的入侵者-搜索和破壞的練習(xí)。

快速響應(yīng)能力。在過去，安全團(tuán)隊(duì)對事件進(jìn)行分級響應(yīng)。警報(bào)會(huì)觸發(fā)調(diào)查，然后觸發(fā)更多的信息收集，這通常需要部署更多的工具，從而觸發(fā)進(jìn)一步的監(jiān)視;然后，開始執(zhí)行阻止和清除計(jì)劃。這種方法太慢，并且給精明的攻擊者提供時(shí)間來了解目標(biāo)環(huán)境，并部署持續(xù)性機(jī)制，也使抵御工作變得更加困難。有效的安全團(tuán)隊(duì)知道在給定情況下需要立即采取行動(dòng)，包括事件驗(yàn)證和適當(dāng)?shù)捻憫?yīng)，以及哪些領(lǐng)域可以從自動(dòng)化中受益。

用專業(yè)技能對付專業(yè)技能。無論技術(shù)多么先進(jìn)，光靠技術(shù)，永遠(yuǎn)無法取代高技能、積極進(jìn)取和支持的團(tuán)隊(duì)所能提供的無形直覺。如果沒有訓(xùn)練有素、裝備精良且經(jīng)驗(yàn)豐富的安全分析師來應(yīng)對APT攻擊者，內(nèi)部安全團(tuán)隊(duì)的失敗概率會(huì)超過成功概率。

了解如何抵御當(dāng)今的高級持續(xù)威脅

當(dāng)我們看到越來越多的證據(jù)表明APT攻擊正在逐漸產(chǎn)品化時(shí)，可以確定的是，與過去相比，所有企業(yè)都可能面臨更持續(xù)更復(fù)雜的攻擊。因此，對于安全團(tuán)隊(duì)來說，重要的是要認(rèn)識到，在當(dāng)今威脅形勢下，有效的安全計(jì)劃需要結(jié)合防御技術(shù)與24小時(shí)連續(xù)監(jiān)控，因?yàn)楣粽咴诙鄠€(gè)時(shí)區(qū)工作。如果安全團(tuán)隊(duì)想要成功保護(hù)他們其企業(yè)，則需要有效和主動(dòng)的威脅檢測，以及一套明確的快速響應(yīng)措施。