如同一個APT攻擊需要突破多個網(wǎng)絡層才可以成功一樣,如果企業(yè)不希望淪為APT的獵物,必須實施能夠進行多層網(wǎng)絡防御的安全策略。也就是說單一的網(wǎng)絡安全功能是不能夠防御APT攻擊的。
攻擊者不會止步于獲取更多的目標來彰顯其“榮譽”,所以公司機構(gòu)的安全策略與防御體系也不是一日之功。公司機構(gòu)需要可靠的IT雇員了解最新的威脅與潛在的攻擊路徑,與網(wǎng)絡安全組織保持近距離的接觸,在必要的時候可獲得幫助。
網(wǎng)絡攻擊者選定的最終用戶攻擊目標,一定是攻擊目標存在可以發(fā)動首次攻擊的最佳機會。這如同銀行劫匪的“座右銘”,“錢在哪我們就在哪”的道理是一樣的。引導并教育最終用戶正確地使用社交媒體保護隱私以及機密信息防止被利用是安全防御中重要的一環(huán)。同樣關(guān)鍵的是,在公司機構(gòu)具有訪問敏感數(shù)據(jù)的雇員應受到數(shù)據(jù)處理方面的專門培訓。定期對公司雇員進行內(nèi)部的安全風險防范意識培訓可減少被攻擊的機率。
如果一個雇員沒有來由地訪問了可能包含敏感數(shù)據(jù)的特別資源,那么基本的網(wǎng)絡隔離可以協(xié)助防御在內(nèi)部網(wǎng)絡之間的流傳。對內(nèi)部網(wǎng)絡資源進行用戶訪問細分,可潛在的避免攻擊者。
通過使用當前的IP信譽數(shù)據(jù)與web過濾規(guī)則的解決方案,可能會阻擋一些攻擊。舉例說明,如果會計團隊沒來由地去訪問地球另一端國家的網(wǎng)站或者IP地址,創(chuàng)建web訪問過濾規(guī)則可以有效防止可能中招被攻擊網(wǎng)站的訪問。通過使用IP信譽服務,可以避免一些攻擊者使用攻擊其他公司的伎倆,來故伎重演的攻擊下一個目標公司。
白名單功能的使用有很多方法可言。例如,網(wǎng)絡白名單可設置只允許一些內(nèi)部流量訪問網(wǎng)絡資源。這可以避免攻擊者侵入內(nèi)部網(wǎng)絡。網(wǎng)絡白名單還可以防止用戶訪問那些沒有明確被允許的網(wǎng)站。應用白名單可設置一個只允許在計算機設備運行的應用名單,阻斷其他軟件在設備的運行。這樣可避免攻擊方在目標用戶的計算機系統(tǒng)運行新的程序。
白名單顧名思義是明確被允許執(zhí)行或訪問資源的名單,黑名單同理是設置阻斷對不安全的資源、網(wǎng)絡或應用訪問的名單。