對於今日的許多組織來說,問題不再是他們會否成為APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊APT 目標攻擊的受害者,而是什麼時候。在這種情況下,組織如何應對會決定它會演變成嚴重的事件,或保持在小麻煩狀態。
這需要資訊安全人員改變心態。過去的技術和許多最佳做法都是以攻擊者可以擋住為前提。
然而今日不再如此。用於APT 目標攻擊的惡意軟體往往無法被偵測(因為它是為特定組織所客製化)。精心製作的社交工程攻擊可以看起來就像是個正常商業郵件的引人誘餌。
簡言之,有足夠資源的攻擊者總是可以找到方法進入目標,不管部署了哪些防禦。防禦措施可以增加進入的難度,但無法完全防止。
SANS組織提供了一些組織該該如何應對資安事件的指南。不過在廣義上來說,回應可以分為四個階段:
做好準備。
這涉及在APT 目標攻擊實際發生前的回應措施。安全專家需要對於如何應對自家網路內的APT 目標攻擊做好規劃。就好比系統管理員需要固定的為應對停機相關事件(如資料中心離線)做好規劃。
同樣地,瞭解組織每日所面對到的一般正常威脅也很重要。資訊安全專家不僅必須在攻擊事件發生時加以處理,還應該瞭解一般「正常」的問題,才能夠快速地發現不正常的威脅。像是APT 目標攻擊。威脅情報和分析在這一階段非常珍貴,可以引導安全專家瞭解目前的情況。
安全專家還必須計畫去取得正確的技能來有效地處理APT 目標攻擊。所該學會最重要的技能之一是數位鑑識能力,好從被入侵設備上適當的採集和分析資料。
這些技術有許多和一般IT日常工作比起來都比較陌生,但學習這些技術可以幫助組織取得資訊和更佳地準備好去處理任何攻擊。
回應。
一旦判斷有APT 目標攻擊在進行中,下一步是要果斷回應。回應APT 目標攻擊有幾個部分:控制威脅、加以消除和確認損害範圍。第一步是立即隔離或控制威脅規模。這裏可以進行的步驟包括隔離受感染機器或將被入侵的服務離線。最終目標是防止攻擊進一步的擴展。
要確認所發生的威脅,和瞭解常見APT 目標攻擊工具及灰色軟體的安全廠商攜手合作對於找到組織內部威脅是很有幫助的。同樣地,持續監控現有的網路活動可以幫助確定現有攻擊的規模和範圍。
回復。
跟回應攻擊一樣重要的是要回復組織的正常運作。雖然有時中斷是回應APT 目標攻擊的必要程序,但長期來說,組織必須「回歸正常」並回到正常運作。
將組織「回復」正常不僅是在技術方面。如有必要,組織需要聯絡合作夥伴、利害關係人和客戶來清楚地溝通APT 目標攻擊危害的範圍以及為減少損失而採取的任何措施。在許多情況下,善意和信任都會被APT 目標攻擊給大力破壞,這部分也必須加以解決。
學習。
攻擊結束後,組織需要弄清楚可以從中學到什麼。每次攻擊都會為防禦者上了一課 – 什麼發揮作用?哪些我們可以做得更好?它可能也指出一些為安全事件做規劃時的假設和資訊並不正確或不完整。
然而,不要對任何單一事件過度反應也很重要。過度反應可能和反應不足一樣糟糕:它可能會對組織在安全上僅有的小量優勢(如果有的話)加上不必要的負擔。組織必須在解決事件之後可以基於理性邏輯來作出決策。
總結
在當今APT 目標攻擊頻繁的世界裡 – 入侵外洩事件的問題不再是會不會發生,而是何時會發生 – 精心設計來回應APT 目標攻擊的策略必須成為更廣泛防禦策略的重要一部分。這可能會造成是場小麻煩或是件讓組織消滅的嚴重入侵事件之間的差別。