扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
来源:51CTO 2013年4月11日
关键字: APT
M女士对那块保存了几乎所有在全球恐怖组织内卧底的北约特工身份名单的硬盘抱有势在必得的决心,这种东西绝对不能落在敌人的手里。为了夺回它,在邦德和敌人混战的过程当中,M女人下达了对敌人开枪的命令,但是很不幸邦德被误伤,敌人带着硬盘逃跑了。
三个月后,敌人带着破解的硬盘数据入侵了军情六处,炫耀性的引爆了一幢楼顶。
M做错了什么导致事态发展到现在这种状况?
发现被攻击需要壮士断腕
在发现重要数据即将丢失,M很果断的下达了开枪的命令,但是注水的枪手让观众失望了。这就造成了好的坏的"数据"都被污染了。但是不管怎么说,这里所采取的手段无疑是正确的,在我们发现自己的敏感服务器被入侵后,要及时的物理隔离该机器,然后认真的对该服务器进行病毒和入侵检查。排查问题的原因所在,因为这个阶段往往已经发生了一些损失(如果没有损失那么一般我们也不会去管你住),所以如何让这种损失不扩散就成了重中之重。
木桶理论
"网络安全"就像一个木桶,安全与否不在于防护的最强健的部分,而在于防护最弱的短板。短板一旦被入侵,后果不堪设想。我们也许花了大价钱购买了防火墙、防水墙、也做了数据防泄密(DLP),但最终数据还是遗失了,这是为何?也许一封没有被过滤的病毒邮件、一个没有受控的优盘,都是万里长城毁于一旦的蚁穴。从以往来看,真正被入侵的计算机用户,很少是专业的安全运维人事,这部分人事都是相对难啃的骨头;真正被入侵的用户往往都是位高权重且缺少安全意识的高级管理人员。而这部分人的失误,却需要专业的安全运维人员买单。就像M女士的位于军情六处的计算机被入侵一样,位高权重人士的信息丢失似乎更加难以让人接受。
加固环境,双因素认证
M的例子无疑是一个反面教材,那么我们应该如何做,以应对这种APT(高级持续性威胁)呢?首先要做的就是加强短板防护,对"位高权重"但是缺少安全意识的用户我们应该进行一个简短却有力的分享,把它们账号失窃的损失进行严峻的剖析。
不过这种言语上的教育有时候只剩下"教育意义"了,我们首先要弥补的是"弱点A",移动用户通过互联网接入到私密网络时的身份验证问题,那么采用"双因素认证"无疑是一个不错的解决方案。什么是双因素认证呢?简单来说,双因素身份认证就是通过你"所知道"再加上你"所能拥有"的这二个要素组合到一起才能发挥作用的身份认证系统。例如,在ATM上取款的银行卡就是一个双因素认证机制的例子,需要知道取款密码和银行卡这二个要素结合才能使用。在安全行业,我们一般把这种"所知所持"换成一个牢记于心的密码和一个USB加密狗,当然也有高级一点的使用动态口令牌,但是技术原理都是一样的。保证一个"所知",一个"所持"。如果把密码告破当做敌人中了500万,那么这个USB加密狗或者动态令牌就相当于敌人要连续中两次500万才能成功入侵,这样无形的提升了入侵的难度,同时使用难度也没有明显提升,对"位高权重"人士来说,应该很容易接受吧?
加固环境,苛刻网络限制
对于信息泄密来说,很多时候用户被入侵是后知后觉,发现之后往往意味着信息已经被大量泄露。那么在网络层面,其实我们也有很多好方法。比如使用简单的ACL(访问控制列表)就可以到一定的防护效果。骇客在成功进入系统后,总是需要将有用的信息发送到它自己的服务器上。那么假设我们的工作环境不允许访问除了baidu.com/workspace.com这种公信的网站之外的地址。那么即使骇客能力再大,也无法跳出这种网络层面的限制。一个访问条件苛刻的互联网环境尽管有那么点影响用户最终使用,但相信我们总能够找到安全和便捷性的一个平衡点,以达到有效应对网络攻击的效果。
加固环境,"硬"碰"硬"
敌人科技装备优良,我们自然也不能示弱。在"弱点B",我们可以对网络设备尽可能的采用性能和功能强大的设备。尽管从历史上来看,被恶意和垃圾电子邮件中附带的恶意链接攻击成功的用户占多数,但我们依然可以通过购买较为高级的邮件防火墙来降低这种可能性。如果这种恶意垃圾邮件无法被过滤,那我们可以提交这份邮件给厂商,以寻求更准确的垃圾邮件分类和筛选。这种方法可以有效保障用户的访问习惯,在用户不知不觉中进行过滤和保护。
不同于邮件防火墙,我们也可以考虑WEB过滤防火墙,对恶意的网址进行有效的筛选和过滤,同样,作为和邮件系统一样占据了大家生活中很大一部分比率的WEB访问,如果保护好了它,那么多数情况下我们的数据安全也就得到了有效的保障。
加固环境,注重人为因素
非常无奈的是,很多时候的泄密,并不是技术不过关造成的,而是在于使用人员的不在乎、不作为导致重大损失。"弱点C"正是这样一种情况,由于人的因素,我们的需要对人员管理付出更大的努力。加强平日里的安全意识,对欺诈邮件、欺诈电话以及网站的恶意链接等等,进行普及和持续性的介绍。
总结
我们总结一下在发现APT之后的行为:首先找出有问题的服务器,将它"区别对待";弥补短板,反思错误;加固环境,考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。
濠电姷鏁告慨鐑藉极閸涘﹥鍙忛柣鎴濐潟閳ь剙鍊圭粋鎺斺偓锝庝簽閸旓箑顪冮妶鍡楀潑闁稿鎹囬弻娑㈡偄闁垮浠撮梺绯曟杹閸嬫挸顪冮妶鍡楀潑闁稿鎸剧槐鎾愁吋閸滃啳鍚Δ鐘靛仜閸燁偉鐏掗柣鐘叉穿鐏忔瑧绮i悙鐑樷拺鐟滅増甯掓禍浼存煕閹惧娲撮柟顔藉劤鐓ゆい蹇撴噳閹锋椽姊婚崒姘卞闁告娲熷畷濂稿Ψ閵壯勭叄婵犵數濮撮敃銈団偓姘煎弮瀹曪綀绠涢弮鍌滅槇婵犵數濮撮崐缁樻櫠濞戙垺鐓曢悗锝冨妼婵′粙鏌曢崶褍顏€殿喕绮欐俊姝岊槹闁逞屽墯鐢繝寮婚悢鍏煎癄濠㈣泛锕ュ▓濠氭⒑閸濆嫮鐏遍柛鐘崇墵楠炲啫饪伴崼婵堝幐闂佺ǹ鏈粙鎾广亹鐎n喗鐓熼幖娣€ゅḿ鎰箾閸欏顏堟偩濠靛牏鐭欓悹鎭掑妽濞堥箖姊洪崜鎻掍簼婵炲弶鐗犻幃鈥斥槈閵忥紕鍘遍柣蹇曞仜婢т粙鎯岀€n偆绠鹃柛顐ゅ枑閸婃劖鎱ㄦ繝鍕笡闁瑰嘲鎳愮划鐢碘偓锝庝簼閻d即姊绘担瑙勫仩闁告柨顑夊畷锟犲礃閼碱剚娈鹃梺闈涚箞閸婃洟宕橀埀顒€顪冮妶鍡楀闁稿骸宕惃顒勬⒒閸屾瑧鍔嶉悗绗涘懐鐭欓柟瀵稿Л閸嬫挸顫濋悡搴$睄閻庤娲戦崡鍐茬暦閸楃倣鐔兼⒐閹邦喚娉块梻鍌欑窔濞佳囨偋閸℃稑绠犻幖娣灪閸欏繑銇勯幒鍡椾壕闂佸疇顫夐崹鍧楀春閵夆晛骞㈡俊鐐插⒔閸戣绻濋悽闈浶為柛銊︽そ閺佸鏌ч懡銈呬沪濞e洤锕俊鍫曞川椤斿吋顏¢梻浣呵归鍛村磹閸︻厽宕叉繛鎴欏灩楠炪垺淇婇婵愬殭缁炬澘绉归弻锝嗘償閵忥絽顥濆銈忓閺佽顕g拠宸悑闁割偒鍋呴鍥⒒娴e憡鍟為柟鎼佺畺瀹曠増鎯旈…鎴炴櫔闂佹寧绻傞ˇ浠嬪极閸℃ぜ鈧帒顫濋濠傚闂佹椿鍘介〃鍡欐崲濞戙垹绠婚柡澶嬪灩閸斾即姊虹粙娆惧剱闁圭懓娲濠氭晲閸涱亝顫嶅┑鐐叉閸旀洜澹曢幎鑺モ拺闁告繂瀚﹢鎵磼鐎n偄鐏撮柛鈺冨仱楠炲鏁冮埀顒€顔忓┑鍥ヤ簻闁哄洨鍋為崳娲煃鐠囪鍔熺紒杈ㄦ崌瀹曟帒鈻庨幋婵嗩瀴婵$偑鍊戦崝宀勫箠濮椻偓楠炲棗鐣濋崟顐わ紲闂佺粯鍔欏ḿ褏绮婇敃鍌涚厵闁稿繗鍋愰弳姗€鏌涢弬璺ㄧ劯闁诡喚鍋ゅ畷褰掝敃閻樿京鐩庨梻浣告贡閸庛倝宕归悽鍓叉晜闁冲搫鎳忛崐鍨叏濮楀棗澧绘俊鎻掔秺閺屾洟宕惰椤忣厾鈧鍠曠划娆愪繆濮濆矈妲奸梺闈╃祷閸庡磭妲愰幘瀛樺缂佹稑顑呭▓顓炩攽閳藉棗浜濈紒璇茬墕椤曪絾绻濆顓炰簻缂佺偓濯芥ご鎼佸疾閿濆鍋℃繝濠傚暟鏁堥梺璇″枟閿曘垽骞婇悩娲绘晢闁稿本绮g槐鏌ユ⒑閸濆嫷妲搁柣妤€瀚板畷婵囨償閿濆洣绗夐梺缁樺姉閸庛倝鎮″☉銏″€堕柣鎰硾琚氶梺鍝ュУ閿曘垽寮婚埄鍐╁闁荤喐婢橀~鎺楁倵鐟欏嫭绀堥柛鐘崇墵閵嗕礁顫滈埀顒勫箖閳哄懏鎯炴い鎰╁€濋幏濠氭⒒閸屾艾鈧嘲霉閸パ呮殾闁割煈鍋呴崣蹇涙煙閹澘袚闁抽攱姊婚埀顒€绠嶉崕閬嵥囬鐐插瀭闁稿瞼鍋為悡銏′繆椤栨粌鐨戠紒杈ㄥ哺閺屻劌鈹戦崱鈺傂︾紓浣插亾閻庯綆鍋佹禍婊堟煛瀹ュ啫濡块柍钘夘槹缁绘盯宕奸悢铏圭厜濠殿喖锕ㄥ▍锝呪槈閻㈢ǹ宸濇い鏂惧嫎閳ь剚鍔曢—鍐Χ鎼粹€茬凹濠电偠灏欓崰鏍х暦濞差亜鐒垫い鎺嶉檷娴滄粓鏌熼崫鍕棞濞存粓绠栧娲箰鎼淬垻鈹涙繝纰樷偓铏悙閸楅亶鏌熼悧鍫熺凡缂侇偄绉归弻娑㈩敃閿濆洨鐣煎銈嗘尰濡炶棄顫忛搹鍦<婵☆垰鎼~宀勬倵濞堝灝娅橀柛鎾寸懆閻忓啴姊洪崨濠佺繁闁哥姵宀稿畷銏ゅ箹娴e厜鎷洪梺鍛婃尰瑜板啯绂嶆禒瀣厱閻庯綆浜滈顓㈡煙椤旀枻鑰块柡浣稿暣瀹曟帒鈽夊顒€绠為梻浣筋嚙閸戠晫绱為崱娑樼;闁糕剝蓱濞呯姵銇勯幒鎴濃偓鑽ゅ婵傚憡鐓曢悘鐐插⒔閳藉绱掑锕€娲﹂悡娆撴煟閻斿憡绶叉い蹇e弮閺岀喖鎮℃惔銏g闂佺懓寮堕幐鍐茬暦閻斿吋顥堟繛鎴炵懄閻濓繝姊婚崒姘偓鎼佸磹妞嬪海鐭嗗〒姘e亾妤犵偞鐗犻、鏇㈠Χ閸屾矮澹曞┑顔矫畷顒勫储鐎电硶鍋撶憴鍕缂傚秴锕濠氬幢濡ゅ﹤鎮戦梺鍛婁緱閸ㄧ晫妲愰柆宥嗙厽閹艰揪绱曢悾顓㈡煕鎼淬劋鎲鹃挊婵喢归崗鍏肩稇缁炬崘娉曢埀顒€绠嶉崕閬嵥囨导瀛樺亗闁哄洢鍨洪悡娑㈡煕閵夛絽鍔氬┑锛勫帶椤儻顧侀柛銊ゅ嵆濠€渚€姊虹紒妯撳湱绮旈鈧、鏃堝醇閻旇櫣鏆㈤梻鍌氬€烽悞锔锯偓绗涘懏宕查柛灞绢嚤濞戞鏃堝川椤撶姴骞掗梻浣告惈濞层垽宕瑰ú顏呭亗闁告劦浜濋崰鎰節婵犲倻澧曠紒鈧崼鐔稿弿婵☆垱瀵х涵楣冩煢閸愵亜鏋涢柡灞炬礃缁绘稖顦查悗姘卞厴瀹曟垿濡搁埡鍌楁嫼缂傚倷鐒﹂敋濠殿喖娲﹂妵鍕即閵娿儱绫嶉梺绯曟杺閸ㄨ棄顕i幘顔碱潊闁炽儲鏋奸崑鎾绘偨閸涘﹦鍙嗗┑鐘绘涧濡鍩€椤掑倹鍤€闁宠绉瑰畷鍫曞Ω閿濆嫮鐩庨梻濠庡亜濞诧妇绮欓幇鏉跨疅濡わ絽鍟悡娑㈡倶閻愰潧浜剧紒鈧€n兘鍋撶憴鍕濞存粌鐖奸妴浣割潨閳ь剟骞冮姀锛勯檮濠㈣泛顦辨径锟�
京公网安备 11010802021500号