發(fā)現(xiàn)被攻擊需要壯士斷腕
在發(fā)現(xiàn)重要數(shù)據(jù)即將丟失,M很果斷的下達(dá)了開(kāi)槍的命令�,但是注水的槍手讓觀眾失望了。這就造成了好的壞的"數(shù)據(jù)"都被污染了�。但是不管怎么說(shuō),這里所采取的手段無(wú)疑是正確的����,在我們發(fā)現(xiàn)自己的敏感服務(wù)器被入侵后��,要及時(shí)的物理隔離該機(jī)器�����,然后認(rèn)真的對(duì)該服務(wù)器進(jìn)行病毒和入侵檢查����。排查問(wèn)題的原因所在����,因?yàn)檫@個(gè)階段往往已經(jīng)發(fā)生了一些損失(如果沒(méi)有損失那么一般我們也不會(huì)去管你住),所以如何讓這種損失不擴(kuò)散就成了重中之重�。
木桶理論
"網(wǎng)絡(luò)安全"就像一個(gè)木桶,安全與否不在于防護(hù)的最強(qiáng)健的部分���,而在于防護(hù)最弱的短板����。短板一旦被入侵���,后果不堪設(shè)想。我們也許花了大價(jià)錢(qián)購(gòu)買(mǎi)了防火墻、防水墻�、也做了數(shù)據(jù)防泄密(DLP),但最終數(shù)據(jù)還是遺失了��,這是為何?也許一封沒(méi)有被過(guò)濾的病毒郵件����、一個(gè)沒(méi)有受控的優(yōu)盤(pán),都是萬(wàn)里長(zhǎng)城毀于一旦的蟻穴�����。從以往來(lái)看�����,真正被入侵的計(jì)算機(jī)用戶���,很少是專業(yè)的安全運(yùn)維人事����,這部分人事都是相對(duì)難啃的骨頭;真正被入侵的用戶往往都是位高權(quán)重且缺少安全意識(shí)的高級(jí)管理人員��。而這部分人的失誤�����,卻需要專業(yè)的安全運(yùn)維人員買(mǎi)單。就像M女士的位于軍情六處的計(jì)算機(jī)被入侵一樣��,位高權(quán)重人士的信息丟失似乎更加難以讓人接受��。
加固環(huán)境�,雙因素認(rèn)證
M的例子無(wú)疑是一個(gè)反面教材,那么我們應(yīng)該如何做�����,以應(yīng)對(duì)這種APT(高級(jí)持續(xù)性威脅)呢?首先要做的就是加強(qiáng)短板防護(hù)��,對(duì)"位高權(quán)重"但是缺少安全意識(shí)的用戶我們應(yīng)該進(jìn)行一個(gè)簡(jiǎn)短卻有力的分享��,把它們賬號(hào)失竊的損失進(jìn)行嚴(yán)峻的剖析�����。
不過(guò)這種言語(yǔ)上的教育有時(shí)候只剩下"教育意義"了�,我們首先要彌補(bǔ)的是"弱點(diǎn)A",移動(dòng)用戶通過(guò)互聯(lián)網(wǎng)接入到私密網(wǎng)絡(luò)時(shí)的身份驗(yàn)證問(wèn)題�����,那么采用"雙因素認(rèn)證"無(wú)疑是一個(gè)不錯(cuò)的解決方案。什么是雙因素認(rèn)證呢?簡(jiǎn)單來(lái)說(shuō)���,雙因素身份認(rèn)證就是通過(guò)你"所知道"再加上你"所能擁有"的這二個(gè)要素組合到一起才能發(fā)揮作用的身份認(rèn)證系統(tǒng)。例如��,在ATM上取款的銀行卡就是一個(gè)雙因素認(rèn)證機(jī)制的例子���,需要知道取款密碼和銀行卡這二個(gè)要素結(jié)合才能使用���。在安全行業(yè),我們一般把這種"所知所持"換成一個(gè)牢記于心的密碼和一個(gè)USB加密狗�,當(dāng)然也有高級(jí)一點(diǎn)的使用動(dòng)態(tài)口令牌,但是技術(shù)原理都是一樣的��。保證一個(gè)"所知"�����,一個(gè)" 所持"���。如果把密碼告破當(dāng)做敵人中了500萬(wàn)����,那么這個(gè)USB加密狗或者動(dòng)態(tài)令牌就相當(dāng)于敵人要連續(xù)中兩次500萬(wàn)才能成功入侵,這樣無(wú)形的提升了入侵的難度����,同時(shí)使用難度也沒(méi)有明顯提升,對(duì)"位高權(quán)重"人士來(lái)說(shuō)��,應(yīng)該很容易接受吧?
加固環(huán)境�,苛刻網(wǎng)絡(luò)限制
對(duì)于信息泄密來(lái)說(shuō),很多時(shí)候用戶被入侵是后知后覺(jué)��,發(fā)現(xiàn)之后往往意味著信息已經(jīng)被大量泄露�����。那么在網(wǎng)絡(luò)層面����,其實(shí)我們也有很多好方法。比如使用簡(jiǎn)單的ACL(訪問(wèn)控制列表)就可以到一定的防護(hù)效果�����。駭客在成功進(jìn)入系統(tǒng)后�����,總是需要將有用的信息發(fā)送到它自己的服務(wù)器上。那么假設(shè)我們的工作環(huán)境不允許訪問(wèn)除了baidu.com/workspace.com這種公信的網(wǎng)站之外的地址����。那么即使駭客能力再大,也無(wú)法跳出這種網(wǎng)絡(luò)層面的限制����。一個(gè)訪問(wèn)條件苛刻的互聯(lián)網(wǎng)環(huán)境盡管有那么點(diǎn)影響用戶最終使用���,但相信我們總能夠找到安全和便捷性的一個(gè)平衡點(diǎn)����,以達(dá)到有效應(yīng)對(duì)網(wǎng)絡(luò)攻擊的效果���。
加固環(huán)境�,"硬"碰"硬"
敵人科技裝備優(yōu)良�����,我們自然也不能示弱����。在"弱點(diǎn)B"���,我們可以對(duì)網(wǎng)絡(luò)設(shè)備盡可能的采用性能和功能強(qiáng)大的設(shè)備。盡管從歷史上來(lái)看���,被惡意和垃圾電子郵件中附帶的惡意鏈接攻擊成功的用戶占多數(shù)�����,但我們依然可以通過(guò)購(gòu)買(mǎi)較為高級(jí)的郵件防火墻來(lái)降低這種可能性�。如果這種惡意垃圾郵件無(wú)法被過(guò)濾���,那我們可以提交這份郵件給廠商�����,以尋求更準(zhǔn)確的垃圾郵件分類和篩選�����。這種方法可以有效保障用戶的訪問(wèn)習(xí)慣�����,在用戶不知不覺(jué)中進(jìn)行過(guò)濾和保護(hù)����。
不同于郵件防火墻,我們也可以考慮WEB過(guò)濾防火墻���,對(duì)惡意的網(wǎng)址進(jìn)行有效的篩選和過(guò)濾���,同樣,作為和郵件系統(tǒng)一樣占據(jù)了大家生活中很大一部分比率的WEB訪問(wèn)�����,如果保護(hù)好了它���,那么多數(shù)情況下我們的數(shù)據(jù)安全也就得到了有效的保障。
加固環(huán)境����,注重人為因素
非常無(wú)奈的是,很多時(shí)候的泄密�,并不是技術(shù)不過(guò)關(guān)造成的,而是在于使用人員的不在乎�、不作為導(dǎo)致重大損失。"弱點(diǎn)C"正是這樣一種情況,由于人的因素�����,我們的需要對(duì)人員管理付出更大的努力���。加強(qiáng)平日里的安全意識(shí)����,對(duì)欺詐郵件����、欺詐電話以及網(wǎng)站的惡意鏈接等等,進(jìn)行普及和持續(xù)性的介紹����。
總結(jié)
我們總結(jié)一下在發(fā)現(xiàn)APT之后的行為:首先找出有問(wèn)題的服務(wù)器,將它"區(qū)別對(duì)待";彌補(bǔ)短板���,反思錯(cuò)誤;加固環(huán)境���,考慮雙因素認(rèn)證、網(wǎng)絡(luò)限制��、反垃圾郵件過(guò)濾、WEB過(guò)濾等高級(jí)限制方式�。
