《请君入瓮——APT攻防指南之兵不厌诈》—第8章8.节工具及战术

本节书摘来自异步社区《请君入瓮——APT攻防指南之兵不厌诈》一书中的第8章8.1节工具及战术，作者【美】Sean Bodmer , Max Kilger , Gregory Carpenter , Jade Jones,更多章节内容可以访问云栖社区“异步社区”公众号查看。

第8章 工具及战术
请君入瓮——APT攻防指南之兵不厌诈

抵制高级威胁或持续威胁有多种方法。绝大多数企业会简单地将被入侵主机离线，重建系统并再次投入使用。如果对付的是那些对企业数据没有直接兴趣的随机犯罪分子，上述战术足矣。不过，如果对付的是那种具有特定动机和攻击目标的持续性威胁，这样做几乎毫无意义，这是因为，这类威胁为在系统中顽强存活，采用的是高级的攻击技术。

需要记住的最重要一点是，（理论上）您从物理意义上完全控制您的企业本身，而攻击者很可能只能在远处，无法从物理上接触您的网络系统。这是一个被大多数企业忽略的重要优势：您有权选择作战地点，或者说，有权选择在企业网络范围内的什么位置与对手交锋。也许有人认为这并非最佳选择，但我们不同意这种观念。理想状态下，威胁只存在于企业外部，但我们并非生活在那种世界。我们断定此时此刻您的企业系统或设备中，至少有一种形态的恶意代码在运行着。不知道威胁存在网络何处可能遭到致命打击。

在本书中，我们已经讨论了多种识别企业中安全威胁的技术与方法，也讨论了如何将威胁引诱到指定系统的步骤。这里的指定系统，即为您挑选的用来与威胁交兵的地带。您可以视整个企业为战场，而指定的区域就是您与威胁的作战地带。选择作战地带，是传统战争中最为重要的部分。评估并掌握您的网络系统（作战地带）至关重要，据此可以限定网络路由器的入口和出口数量，这是毕其功于一役的作战重点。在此基础上，发挥您的主场优势，控制信息流出网络。关键8.1 检测技术
请君入瓮——APT攻防指南之兵不厌诈
销售基于主机和基于网络的安全产品的厂商众多，难分伯仲。无论厂商如何宣传，都不存在哪款产品或哪种服务完全适用于您的环境。有时您仅需将某些特定工具组合使用而已。

企业规模越大，管理大量企业内流动数据所需的工具就越多。不足百人的小公司可能只需要一个基于主机的解决方案和几个基于网络的解决方案。超过十万人的网络可以使用一系列主机安全产品（可不是安装在一台机器上），以及多种不同类型的网络安全解决方案。百万人以上的企业则需要大量的基于主机和网络的解决方案，另外还需要更复杂的信息安全协议。

提供恶意网络行为检测功能的安全产品有数百种，通常分为两种，即基于主机的安全系统和基于网络的安全系统。目前，大多数解决方案都综合使用签名、黑名单、行为及异常检测技术，但这些工具都各有利弊。表8-1和表8-2按照字母顺序（为了不显示倾向性）列举了一些检测工具，这些都是2011年第二季度信息安全产业最杰出的工具。作为网络和企业间的互补，您会发现这些工具之间存在很多相似功能。

本文仅用于学习和交流目的，不代表异步社区观点。非商业转载请注明作译者、出处，并保留本文的原始链接。

是要增加对手访问网络及数据的工作难度和工作强度。提高对手获取每一字节信息的成本，有可能会令他们放弃攻击您的企业。

多休息几个小时，继续读下去。当读完本章时，您会发现自己并非无能为力。让我们看看您将会用到的工具与战术——它们简直就是您的百宝囊。我们将要讨论的不仅是工具本身（与工具供应商无关）和它们的应用场景，也会谈及一些当下解决方案的软肋，比如那些基于主机和基于网络的安全系统。

您还会学到，没有银弹。没有哪家公司、哪种产品，或哪项服务可以提供一揽子解决方案。传统解决方案的效果不能尽如人意。10年前，安全威胁与现在不同，安全解决方案的设计也只是单纯用来满足人们当时的需要。现在，安全威胁及其采用的工具和技术手段已经进化，虽然传统安全技术仍在尽力延续原有服务模式，但无法赶上威胁的前进步伐。