(樂購網(wǎng)專欄 作者:李志偉)進(jìn)階持續(xù)性威脅(Advanced Persistent Threat, APT)「進(jìn)階」是指使用了讓人難以置信、復(fù)雜的新惡意軟體,但實(shí)際上并非如此。通常「進(jìn)階」是指研究上的難度,還有社交工程陷阱 ( Social Engineering)的設(shè)計(jì),讓受駭目標(biāo)去做出不該做的行為,并讓他們點(diǎn)下攻擊者所選的連結(jié)。
一旦攻擊者掌控了一臺(tái)位在企業(yè)內(nèi)部的電腦,就可以當(dāng)做跳板來針對(duì)那些沒有直接連上網(wǎng)路的電腦找出漏洞。這是一個(gè)常見的??手法,當(dāng)修補(bǔ)程式出了一段時(shí)間之后,攻擊者還是可以攻擊成功,因?yàn)樵S多公司都不認(rèn)為位在內(nèi)部「安全」網(wǎng)路上的機(jī)器具備風(fēng)險(xiǎn)。而這個(gè)攻擊者直接控制受感染的電腦,有著足夠的時(shí)間(持續(xù)性)來悄悄地探測(cè),直到發(fā)現(xiàn)他們可以利用的漏洞。
所以,你該如何抵御這種目標(biāo)攻擊?底下是幾件我們認(rèn)為最該做的事:
減少噪音
保持現(xiàn)有的外部防御來盡可能地抵御所有的壞東西。這給你更多的機(jī)會(huì)去發(fā)現(xiàn)在內(nèi)部網(wǎng)絡(luò)上發(fā)生的事情。
建立碎型外部防御
碎型是種數(shù)學(xué)形狀,它跟原本的形狀一樣,只是比較小。所以,當(dāng)你放大之后就會(huì)回到原本的形狀。可以利用一樣的概念來加強(qiáng)你的防御,多加一或兩層的防御在重要資料的外圍。我會(huì)強(qiáng)烈建議部署虛擬修補(bǔ)程式到所有的伺服器上,可以在真正上修補(bǔ)程式前就提供保護(hù),這在有人試圖攻擊漏洞時(shí)很重要。
利用專門軟體來監(jiān)控內(nèi)部網(wǎng)絡(luò)流量
不要只是看對(duì)外的連線或是看流量是否超出設(shè)定值。還需要利用專門的威脅偵測(cè)解決方案來監(jiān)控內(nèi)部網(wǎng)絡(luò),以確保在攻擊發(fā)生時(shí)會(huì)收到警訊。
追蹤和清理
當(dāng)外面的電腦被攻擊之后,除了加以封鎖之外通常就不能做什么了。但是如果是一個(gè)內(nèi)部伺服器被攻擊,而且攻擊是來自另一個(gè)內(nèi)部的機(jī)器。那封鎖攻擊就變得很重要,不只是因?yàn)槟阕柚惯@次攻擊,更重要的是你現(xiàn)在知道內(nèi)部有機(jī)器正在做些不該做的事,而你可以在它試圖做出更復(fù)雜而不被偵測(cè)的攻擊(或是攻擊者連上來控制)之前就修復(fù)它。
保護(hù)你的資料
如果一切防護(hù)都失敗了,攻擊者已經(jīng)突破了你的防御,直達(dá)你的重要資料,其實(shí)還不算結(jié)束http://www.ming4.com。你需要由內(nèi)而外的第二道防御,也就是資料加密,再利用資料防護(hù)來追蹤被帶走了什么資料,并了解有哪些內(nèi)容被盜走了。
假設(shè)已經(jīng)被入侵成功了
應(yīng)該預(yù)先設(shè)定的狀況是假設(shè)你旁邊的電腦已經(jīng)被入侵了,并且據(jù)此來設(shè)定對(duì)應(yīng)的防御。
最后的重點(diǎn)就是前面六點(diǎn)的總結(jié),同時(shí)也提供了跟云端安全之間的連結(jié)。在一個(gè)多租戶的環(huán)境(IaaS)底下,你應(yīng)該假設(shè)你附近的機(jī)器有可能會(huì)攻擊你,并據(jù)此來設(shè)定防御措施。你的供應(yīng)商會(huì)提供許多安全功能:外圍防火墻、IPS等,還有在客戶間所做的內(nèi)部網(wǎng)路分割,這些設(shè)計(jì)都是為了你的安全,但是通常在租約里面沒有提供SLA。利用這些功能來消除噪音是不錯(cuò)的作法,但是要假設(shè)還是有人在覬覦著你的伺服器或資料。為你的伺服器建立自己的外圍防護(hù)以保護(hù)好你的供應(yīng)商所遺漏的部份。加密你的云端資料,所以就算你的供應(yīng)商將之放錯(cuò)地方,你也還是受到保護(hù)的。這在商業(yè)上還有另外一個(gè)好處,就是當(dāng)你想要更換供應(yīng)商時(shí),不論是因?yàn)閮r(jià)格更低或是功能更好,也都不必?fù)?dān)心你會(huì)遺留下敏感資料。
對(duì)于內(nèi)部(私有)云來說也同樣適用。因?yàn)槌杀竞瓦\(yùn)作效率,會(huì)將服務(wù)都放在一起,這樣做也減少了它們之間的分離性。所以還是要假設(shè)已經(jīng)被入侵了,在環(huán)境里實(shí)施虛擬分割,而跟實(shí)體環(huán)境相比,利用外圍防護(hù)和加密可以保持同樣甚至更提高安全性,同時(shí)利用無代理方案也會(huì)盡可能地保持相同的效能。
所以云端安全和APT防御可能不是同一件事情,但他們可以有一樣的作法!
推薦閱讀
速途網(wǎng)訊 最近,新浪微博的私信開始支持發(fā)附件了,很多網(wǎng)友躍躍欲試,給好友傳大文件又多了一種方法。但是,無論是微博還是論壇,上傳的附件大小都有限制,要將文件按規(guī)定大小打包才行……自己打包控制大小太麻煩?其>>>詳細(xì)閱讀
本文標(biāo)題:云端安全和APT防御是同一件事嗎
地址:http://www.brh9h.cn/a/11/20120525/62949.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示