< APT 攻擊防禦 > 識別和區分網路及使用者

適當進行網路區隔是保護網路對抗「進階持續性滲透攻擊」(Advanced Persistent Threat,以下簡稱APT攻擊)最關鍵的主動應對措施。對組織來說,適當的識別和分類自己的使用者與其所能存取的網路也同樣的重要。

attack hacker 鍵盤攻擊

這是一項重要的任務,因為它讓管理者能夠正確的區隔使用者權限和網路流量。有些使用者會被限制存取敏感公司網路;同樣的,某些網路可能會比其他網路擁有更廣泛的資料。這可以使得保護組織最重要資料(我們經常討論的話題)的任務變得更加容易。

可以同心合作來廣泛地評估組織所面對的威脅。有些風險並非出現在所有組織 – 比方說國防承包商面對的威脅就和家庭式麵包店不同。組織需要了解自己面對的是什麼樣的風險,以及有那些已經出現在自己的網路內。後者尤其困難,甚至連大型組織也面臨到這樣的挑戰。但這很重要,在組織提高其安全態勢前,需要先了解自己的狀況。

在過去,這項任務可能比較容易,因為所有的設備都在IT部門管控之下,而且連線只有有線網路。這代表了IT部門可以負責一切 – 而IT管理者,一般來說是一組人,可以將事情有邏輯的安排好,輕鬆的將以防護。

但在今日就不是這樣了。行動設備和BYOD政策代表想要強制進行「正確」的網路區隔變得困難得多。同樣的,因為角色會不斷改變和更具備彈性,也代表員工每日所需的資料可能會經常變動。此外,企業網路內資料流動的規模也是大大的增加。

區隔使用者和網路是一項艱鉅的任務,但卻是必要的。在面對今日的針對性攻擊時,識別正常流量及使用者是必要的。能夠更加熟悉「正常」流量和使用者,在偵測可能是針對性攻擊跡象的不尋常網路活動就更加有用。

那麼,有那些標準可以用來識別和分類網路?下面是一些例子。

網路上有什麼資料

網路內的不同區段應該被建立來處理不同數量的機密資料。我們在之前討論過,可以透過資料外洩對公司造成的傷害程度來加以分類。同樣的,公司內不同部門可能會需要存取公司不同方面的資料。

簡單地說,公司網路的不同部分應該只存取日常運作所需的資料。此外,出於法律或合約等原因,有些企業資料可能要限制只有特定員工可以存取。

環繞在這方面的需求可能很複雜,而且可能會互相矛盾。但儘管如此,某種程度的網路區隔對於減少針對性攻擊風險來說是必要的。

使用什麼設備存取網路?

在當今的多設備運算環境下,存取網路的設備數量可說要比以往任何時候都還要多。公司擁有的設備對IT管理者來說屬於「已知」狀態,但其他設備就不一定了。BYOD為這一方面帶來相當大的複雜性。有些設備可以進行遠端管理,而有的則不行。

 

一個可能的做法是將非IT控管的設備放入受限制的企業網路區段。這些設備所潛在的任何安全風險都可以較快速且毫不費力的隔離,防止任何問題透過網路散播。

誰連到網路?

並非所有連到網路的使用者都需要存取相同的東西。高階主管會比基層員工接觸更多的機密資料;工程師需要存取日常作業資訊,但即便是執行長也不會定期去看這些資料。這點也是在切割網路時需要加以考慮的。不同的角色需要存取企業網路的不同部分;入侵事件如果發生在低權限網路區段,只有在業務需要時才有機會存取到較高權限的網路區段。

網路區隔的優點

適當的區隔網路可以在許多方面上幫助抵禦針對性攻擊。廣的來說,這使得在目標組織網路進行橫向移動更加困難:網路區隔使得組織內部橫向移動更加困難。可能需要入侵更多電腦或取得更多認證憑據。網路區隔屬於深度防禦戰略的一部分,增加攻擊者想要成功入侵組織所要花費的努力。區隔網路並不一定只是二分法,能與不能存取;也可以是有限制的存取(如唯讀存取)。

防止協力廠商攻擊

對於任何夠大的組織來說,針對協力廠商攻擊是個已知的危險。但適當的網路區隔將限制他們只能存取廠商所需的IT網路。任何透過這些廠商進行的入侵活動,如果想進一步存取企業網路的其他部分時都會遇到更多阻礙。大型組織需要與它的廠商一同合作以減少來自這些廠商網路的潛在風險。

防止內部攻擊

防範內部攻擊是一項艱鉅的任務。畢竟,他們已經在組織內了,對於組織會如何應對攻擊及哪些是組織最有價值的資料等都更有機會了解。

 

然而,內部攻擊並不一定都具備有高權限。並非所有的內部人士都可以存取所有公司機密。內部攻擊很有可能只有有限的目標、資源或能力。在這種情況下,內部網路區隔有助於防止內賊存取網路的其它部分。雖然這並非萬無一失,但它確實讓攻擊變得更加困難。

 

結論

網路和使用者區隔對今日的現代網路來說是一項艱鉅的任務,但這對防護大型組織的網路來說仍然是必要的步驟。不過,它必須是屬於評估組織所面臨威脅綜合作法的一部分。以下是五個讓組織開始進行風險評估的合理作法:

 

  1. 確認需要保護的資產/資料,你的安全基礎設施對它們具備哪些控制措施跟能見度。
  2. 一旦確認,確認有哪些網路服務在使用中,而且是否有適當的控管。
  3. 確定資產/資料如何被存取(像是透過HTTP/HTTPS、SMB等)以及它們如何儲存(SQL資料庫、純文字、在NAS或SAN上等)
  4. 利用現有的安全控制識別過去和當前的威脅以建立當前威脅活動的基準點。一旦建立,就接著識別產業界對類似你所持有資產所看到的威脅。比方說,在我們的針對性攻擊年度報告中包含了威脅趨勢資料,會對判斷當前威脅有所幫助。
  5. 評等這些威脅,進而分配相應的風險等級。在設計網路及其他防禦措施時要考慮到這些威脅跟風險等級。

 

透過這些步驟,組織就能對其所面臨的風險有進一步的理解,也可以知道如何用有效且經濟的方式來抵禦這些威脅。這些對網路管理者來說是不可或缺的,以確保他們的組織可以得到充分的保護。

 

@原文出處:Identifying and Dividing Networks and Users作者:Jay Yaneza(威脅分析師)

 

 

 

 

《提醒》在粉絲頁橫幅,讚的右邊三角形選擇接收通知新增到興趣主題清單,重要通知與好康不漏接