APT攻击。即进阶持续性渗透攻击 (Advanced Persistent Threat, APT)或目标攻击,被设计用来在目标网络里躲避现有的管理政策和解决方式,因此要侦測它们是一大挑战。
正如我们在之前关于APT 攻击常见五个误解的文章中所强调过的,没有放诸四海皆准的解决方式能够用来对付它。企业需在所须要的地方都放置传感器好加以防护。同一时候IT也要有足够的设备来识别网络的异常情况,并採取对应的措施。
然而,要及早发现异常状况。IT管理者须要知道首先要看到什么。
因为攻击一般会设计成仅仅有非常少或差点儿没有痕迹可循。重要的是要知道哪里能够找到入侵的可能指标。在此,我们将列出IT管理者所须要密切监视的网络部分以发觉不论什么入侵的迹象。
一、检查被注入的DNS记录
攻击者常常会篡改DNS记录以确保到他们的幕后操纵(简称C&C)联机不会被封锁,IT管理者能够检查记录中可能被攻击者注入的迹象。如未知网域增加IP地址、近期注冊的未知网域、看起来像是随机字符的网域、以及出现模仿知名网域的域名。
二、稽查和审核登录失败或不规则的账号
一旦攻击者可以进入网络和建立与其C&C的通讯。下一步一般是在网络内横向移动。攻击者会去找出ActiveDirectory、邮件或文件server,并攻击server漏洞来加以存取。然而。由于管理者会修补并防护重要server的漏洞,攻击者可能会尝试暴力破解管理者账号。
对于IT管理者来说,登录记录是这一行为最好的參考数据。检查失败的登录尝试。以及在不平常时间内的成功登录。可以显示攻击者试图在网络内移动。
三、研究安全解决方式的警报
有时候,安全解决方式会标示看来无害的工具为可疑,而使用者会忽略这警报,由于该档案可能对使用者来说非常熟悉或无害。
然而。我们在很多案例中发现出现警报意味着网络中有攻击者。攻击者可能使用恶意设计的黑客工具。甚至是来自Sysinternals套件的合法工具来运行系统或网络检查作业。假设这些非恶意工具并不是预安装在用户计算机里的话,有些安全解决方式会标示出来。IT管理者必须问。为什么使用者会使用这些工具。假设没有充分的理由。IT管理者可能撞见了攻击者的横向移动。
四、检查是否有奇怪的大文件
在系统内发现未知的大文件须要加以检查。由于里面可能包括了从网络中窃取的数据。攻击者通常在将文件取出前会先储存在目标系统内。往往通过“看起来正常"的文件名称和文件类型来加以隐藏。
IT管理者能够通过文件管理程序来检查。
五、稽查和审核网络日志中的异常联机
持续地稽查和审核网络监控日志很重要。由于它可以帮助识别网络中的异常联机。
想做到这一点,就须要IT管理者对于其网络和不论什么时间内会发生的活动都了如指掌。仅仅有通过对网络内"正常“状况的了解。才可以识别出异常。比如,发生在应该是空暇时间内的网络活动就可能是攻击的迹象。
六、异常协定
和异常联机有关。IT管理者还须要检查这些联机所用的协议。特别是那些来自网络内部的联机。攻击者一般会选择使用在网络内被同意的协议。所以检查联机非常重要,即便它们使用的是一般的协议。
七、电子邮件活动添加
IT管理者能够检查邮件日志,看看是否有个别使用者出现奇怪的高峰期。
电子邮件活动突然爆大量时就要检查该使用者是否被卷入针对性钓鱼攻击。有时候。假设攻击者研究发现一名员工将去參加某个重要会议,就会在会议前三个月就開始寄送钓鱼邮件。这也是还有一种线索。
细致阅读这份列表,想必IT管理者会认为有一大堆艰苦的事情等着去做,不能否认,防范APT针对性网络攻击的确是项艰巨的任务。但为攻击做好准备的成本和解决一次攻击的成本相比划算得多,所以作为公司防御的第一线,IT管理者做好万全准备是非常重要的。
解决对策
传统的防毒黑名单做法不再足以保护企业网络对付针对性攻击。为了降低此安全威胁所带来的风险,企业须要实现客制化防御,这是种採用进阶威胁侦測技术和共享入侵指标(IoC)情报的安全解决方式。用来侦測、分析和响应标准安全产品所看不见的攻击。