(樂購網專欄 作者:李志偉)進階持續性威脅(Advanced Persistent Threat, APT)「進階」是指使用了讓人難以置信、復雜的新惡意軟體,但實際上并非如此。通常「進階」是指研究上的難度,還有社交工程陷阱 ( Social Engineering)的設計,讓受駭目標去做出不該做的行為,并讓他們點下攻擊者所選的連結。
一旦攻擊者掌控了一臺位在企業內部的電腦,就可以當做跳板來針對那些沒有直接連上網路的電腦找出漏洞。這是一個常見的??手法,當修補程式出了一段時間之后,攻擊者還是可以攻擊成功,因為許多公司都不認為位在內部「安全」網路上的機器具備風險。而這個攻擊者直接控制受感染的電腦,有著足夠的時間(持續性)來悄悄地探測,直到發現他們可以利用的漏洞。
所以,你該如何抵御這種目標攻擊?底下是幾件我們認為最該做的事:
減少噪音
保持現有的外部防御來盡可能地抵御所有的壞東西。這給你更多的機會去發現在內部網絡上發生的事情。
建立碎型外部防御
碎型是種數學形狀,它跟原本的形狀一樣,只是比較小。所以,當你放大之后就會回到原本的形狀。可以利用一樣的概念來加強你的防御,多加一或兩層的防御在重要資料的外圍。我會強烈建議部署虛擬修補程式到所有的伺服器上,可以在真正上修補程式前就提供保護,這在有人試圖攻擊漏洞時很重要。
利用專門軟體來監控內部網絡流量
不要只是看對外的連線或是看流量是否超出設定值。還需要利用專門的威脅偵測解決方案來監控內部網絡,以確保在攻擊發生時會收到警訊。
追蹤和清理
當外面的電腦被攻擊之后,除了加以封鎖之外通常就不能做什么了。但是如果是一個內部伺服器被攻擊,而且攻擊是來自另一個內部的機器。那封鎖攻擊就變得很重要,不只是因為你阻止這次攻擊,更重要的是你現在知道內部有機器正在做些不該做的事,而你可以在它試圖做出更復雜而不被偵測的攻擊(或是攻擊者連上來控制)之前就修復它。
保護你的資料
如果一切防護都失敗了,攻擊者已經突破了你的防御,直達你的重要資料,其實還不算結束http://www.ming4.com。你需要由內而外的第二道防御,也就是資料加密,再利用資料防護來追蹤被帶走了什么資料,并了解有哪些內容被盜走了。
假設已經被入侵成功了
應該預先設定的狀況是假設你旁邊的電腦已經被入侵了,并且據此來設定對應的防御。
最后的重點就是前面六點的總結,同時也提供了跟云端安全之間的連結。在一個多租戶的環境(IaaS)底下,你應該假設你附近的機器有可能會攻擊你,并據此來設定防御措施。你的供應商會提供許多安全功能:外圍防火墻、IPS等,還有在客戶間所做的內部網路分割,這些設計都是為了你的安全,但是通常在租約里面沒有提供SLA。利用這些功能來消除噪音是不錯的作法,但是要假設還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護以保護好你的供應商所遺漏的部份。加密你的云端資料,所以就算你的供應商將之放錯地方,你也還是受到保護的。這在商業上還有另外一個好處,就是當你想要更換供應商時,不論是因為價格更低或是功能更好,也都不必擔心你會遺留下敏感資料。
對于內部(私有)云來說也同樣適用。因為成本和運作效率,會將服務都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設已經被入侵了,在環境里實施虛擬分割,而跟實體環境相比,利用外圍防護和加密可以保持同樣甚至更提高安全性,同時利用無代理方案也會盡可能地保持相同的效能。
所以云端安全和APT防御可能不是同一件事情,但他們可以有一樣的作法!
推薦閱讀
速途網訊 最近,新浪微博的私信開始支持發附件了,很多網友躍躍欲試,給好友傳大文件又多了一種方法。但是,無論是微博還是論壇,上傳的附件大小都有限制,要將文件按規定大小打包才行……自己打包控制大小太麻煩?其>>>詳細閱讀
本文標題:云端安全和APT防御是同一件事嗎
地址:http://www.xglongwei.com/a/11/20120525/62949.html
網友點評
精彩導讀
科技快報
品牌展示