實實在在的信息安全綜合解決方案拒絕忽悠
APT,Advanced persistent threat,高級可持續性威脅,是目前信息安全領域比較熱門的一個詞匯,不過不要被它那華麗的字眼和恐怖的描述所嚇倒,當然,在遭遇黑客攻擊之后也不要立即宣稱受到APT攻擊,企圖受到諒解或蒙混過關。 讓我們先看看它的定義,它通常指一個群體,例如外國政府,有能力和意圖長期而有效地針對特定的目標(發動滲透攻擊),這樣說來單個黑客甚至小型的黑客團隊即使再厲害,也算不上APT,因為他們力量微薄,攻擊的方式方法有限,也不具有持續性。 除了在國家政治軍事層面,目前比較公認的震網(Stuxnet)病毒屬于APT,在商業領域,APT也經常會被用稱呼基于互聯網的商業間諜攻擊,具體的方式包括:病毒感染、供應鏈滲透、社會工程等。 想主動利用病毒感染這種傳統的方式入侵目標系統并不容易,多數商業組織都有安全網關,它往往使用特定的安全操作系統,只要更新及時并做好基本的安全加固,并不容易受到病毒的感染,而在網關的保護下,內網的計算系統往往不會被互聯網直接訪問到,直接進行病毒攻擊也很難得逞,所以在國外流行扔U盤或其它終端計算設備,利用它們來感染拾到者的電腦,當然我們相信正常的防病毒系統會查出已知的病毒程序,而且新型防病毒系統也有些未知病毒的識別功能,不過要徹底防范,還需更多安全控制措施,更需要教育用戶的安全防范意識。 通過供應鏈滲透則更是費事,多數組織在供應鏈及合作伙伴的安全管理上并非無所作為,通常會設置防火墻訪問控制策略,并且在應用系統中設置帳戶和數據的訪問權限,所以想借助供應鏈從網絡和應用系統層面入侵的成功性很小,但是不排除利用組織內部員工,比如假借供應鏈關系,通過收買或賄賂等手段在組織內部安放潛伏人員,這些招數也只能通過安全意識教育、安全行為監控、安全人員管理比如員工背景審查、簽定保密協議等手段來約束。 社會工程防范基本上不能信賴技術控管措施,對組織并不熟悉的網絡釣魚、詐騙電話等等伎倆實際上很容易被內部員工識別出來,但前提是他們要有相關的安全防范意識,敢懷疑和挑戰可疑的信息索取請求。 接連幾年,知名信息安全公司Verizon持續進行著數據安全泄漏情況的調查,結果顯示每年的數據泄露原因都無差別,大部分的受害者并沒有受到未知的不明的或不可阻止的攻擊,而是員工不小心插了受到感染的拇指硬盤、在電話里向壞家伙們提供了敏感信息、向“朋友”分享了進入系統的密碼、點擊了郵件中的釣魚鏈接、或者放“合同工”或“同事”進入了組織的設施內部。 誠然,我們可以通過技術手段來控管這些ATP所借助的攻擊渠道,比如禁用USB接口、過濾和實時監聽電話交談內容、使用多因素認證系統、監控郵件外發和接收、實施防尾隨及防帶人安保措施等等,然而這樣做的代價太大,成本太高,而且仍然防不勝防,比較經濟實用的防范方式是加強員工在安全防范方面的意識認知,提高其警惕性和對可疑人物及行為的識別能力。 亭長朗然科技有限公司的安全研究員James Dong稱:“盡管企業很難成為APT的攻擊目標,但是仍然可以從APT攻擊手法中吸取適當的教訓用于防范各類安全攻擊,最重要的是要員工認識到安全不是其他人的問題或職責,而是自己的職責,只有每位員工都保護好了自己,并且積極幫助他人,組織才能獲得全面的安全。” 別再拿APT忽悠一般商業客戶了,他們根本不會成為APT攻擊的目標,而且信息安全防范并不需要什么故弄玄虛的高招,腳踏實地遵循業界最佳操作實踐,真心誠意為客戶解決安全問題的方案,即使您的產品和服務并不能全面幫助客戶,也應該讓客戶了解事實真相,這才是獲得客戶長久信賴的上策。
| 發布時間:2012.10.24 來源: 查看次數:3046