在趨勢科技努力解決APT攻擊-進階持續性滲透攻擊 (Advanced Persistent Threat, APT) /目標攻擊時,經常會和不同公司的IT管理者一起處理攻擊他們的網路威脅。從合作的過程中,我們瞭解到一些IT管理者對於APT攻擊常有的誤解(或該說企業普遍都有)。本文介紹其中一部分,希望可以啟發IT管理員如何去制訂打擊APT攻擊的策略。
1.處理APT攻擊只需一次性努力?
事實:追踪並攔截一次攻擊意圖不代表解決了威脅
一些IT管理者認為處理APT 攻擊是一次性的努力 – 也就是說偵測和阻止一次惡意活動就會結束整個攻擊。但事實是,APT攻擊,因為這個詞很好地描述了它的特性:進階和持久。這些攻擊往往經過精心策劃和能夠靈活地去適應目標網路內的變化。能夠追踪並攔截一次攻擊意圖不代表解決了威脅。如果要說,它可能代表還可能有許多其他沒被發現的攻擊意圖,需要不斷地監控。
2.APT攻擊有一體適用的解決方案 ?
事實:所有的網路都不相同,這意味著每一個都需要不同配置
對於完整而有效的APT攻擊解決方案的需求相當高,但想想 APT攻擊的本質,就知道這樣的解決方案並不存在。攻擊者花費許多時間去偵察和了解目標企業 – 它的 IT 環境和它的安全防禦 – IT 管理者在制訂安全策略時需要去考慮到這種想法。所有的網路都不相同,這意味著每一個都需要不同配置。IT管理者需要充分了解網路,並實施必要的防禦措施以配合他們的環境。
3.你的企業沒有重要到會被攻擊 ?
事實:攻擊者可用你認為不重要的資料,發動社交工程(social engineering )攻擊
另一個企業談到APT攻擊時的常見想法是,他們不太可能成為目標,因為他們的系統內沒有重要資料。不幸的是,資料的重要性可能取決於想獲取人的意圖。例如,公司的人力資源可能不會覺得過去的應徵資料有多重要,但攻擊者可能會用它來作為社交工程(social engineering )的參考資料。如趨勢科技 CTO Raimund在今年早些時候的影片中所說,企業需要確定自己的核心資料,並加以足夠的保護。
4.APT攻擊都只跟零時差漏洞有關 ?
事實:只要一個系統錯過一個更新,就可能危害到整個網路
毫無疑問地,零時差漏洞對企業和一般使用者都造成很大的危害。然而,根據過去所看到的APT攻擊分析,陳年漏洞也很頻繁地被使用。根據我們對於2013年下半年的APT 攻擊趨勢報告,最常被利用的弱點不僅是在2012年被發現,也是在該年就被修補。這種趨勢讓部署安全更新到網路內所有系統變得更加重要性 – 只要一個系統錯過一個更新,就可能危害到整個網路。
5.APT攻擊是惡意軟體問題?
事實:專注於惡意軟體將只解決問題的一部分
我要談論的最後一個誤解有點特殊之處,因為從某方面來說是真的。IT管理者大多只是關心要有解決方案來防止惡意軟體進入他們的網路。雖然這樣並沒有錯,但專注於惡意軟體將只解決問題的一部分。APT 攻擊不僅跟端點有關,而是跟整個IT環境有關。比方說,用來進行橫向移動的許多工具都是合法的管理工具。如果解決方案只集中在偵測惡意軟體,那它就無法偵測到惡意活動。IT管理員需要考慮能夠覆蓋網路各方面的解決方案。
想了解更多防止APT 攻擊的專家意見和防禦措施,請參考我們的APT 攻擊入口網站。
@原文出處:Common Misconceptions IT Admins Have on Targeted Attacks作者:Spencer Hsieh(威脅研究員)