定制防御对付 APT 攻击

作者：趋势科技

过去企业最关注的信息安全威胁往往是全球病毒爆发事件，但从 2011 年起，焦点已转向 APT-高级持续性渗透攻击，因为就连信息安全防范严密的大企业都能被 APT 突穿防线而浑然不知，显见此类攻击确实可怕，难怪举世为之震惊。

用可定制防御对付 APT

APT-高级持续性渗透攻击是一种定制化的目标式攻击，处心积虑透渗攻击目标，所以面对防病毒软件、防火墙或入侵防御系统等传统的信息安全防线，早已深谙闪避之道，也擅长运用社会工程学邮件以假乱真，让员工在不疑有他的情况下沦为黑客的禁脔，企业哪怕做再多倡导与训练，都将防不胜防。

企业如何应对 APT 首先需要调整心态，假设自己已遭攻击，然后一方面积极提高被攻击的门坎，避免持续遭到渗透；另一方面要设法早期发现、尽速处理。针对“发现”与“处理”，企业亦应有所体认，面对定制化攻击，唯有运用定制化防御才能顺利反制，莫再倚赖一体式工具，因为这些工具根本无效；此时企业可与信息安全厂商合作，在企业内部建立应对新型攻击的反应机制和流程，方可做到定制化的防御。

要满足上述目标，少不得需要工具辅助。所以近年来，基于沙盒模拟分析技术的 APT 解决方案一一现身，这类方案可协助用户揪出恶意文件，并据此求助防病毒软件厂商，尽速清理祸害。这类方案确实拥有一定的价值，但亦存在若干盲点。沙盒模拟是必要的分析工具，但单靠此一技术难以抑止实际攻击。首先，高达九成的 APT 攻击皆以社会工程学邮件为先遣部队，企业需考虑如何在第一时间阻挡社会工程学邮件进入企业内部，以减少后续灾害的控制成本。单一的沙盒模拟技术在时效及效能方面难以符合实际需求。

其次，APT恶意软件的运作行为复杂，其特征与型态明显超出传统防病毒软件的认知范围，所以未必能有效清除。

所以企业想要对付 APT，须特别注意另外两道重要防线。一是网关端的社会工程学邮件拦截机制，先将大多数  APT 先遣部队拒于企业门外，纵使有少数蒙混过关，亦可缩小打击面，大幅减轻后续处理负担；另一则是引进“事件处理”工具及顾问服务，由精通信息安全威胁的外部专家从旁指点，帮助企业分析并发掘深层潜伏的威胁，将埋伏在各个端点的暗桩悉数加以铲除。

总括来说，完整的  APT 防线，必须涵盖社会工程学邮件网关拦截、仿真分析、网络监测、恶意软件清除等必要工具，并结合事件处理顾问服务的支援，方能将受害机率降到最低；愈能一举提供完整工具与服务的厂商，自然愈值得用户托以重任。

＠原文出处：网管人

 

 

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！