【持續監察】四招防止APT攻擊

    APT(Advanced Persistent Threat, 進階持續性威脅)相信係最令企業頭痛嘅問題,事關呢類攻擊會運用多種精密手法嚟入侵企業嘅網絡,然後再長期靜雞雞收集有用嘅情報,真係中咗招都未必發現到,而等到發現問題,可能已過咗幾個月甚至幾年。咁作為企業嘅網絡安全把關員,應該點先去搵出內部網絡有無被入侵?又有乜嘢手法可以減少被攻擊嘅風險?

    根據 Accenture 嘅調查顯示,APT 攻擊通常會由小組發動,而且呢啲小組亦會相互之間作技術交流,提升成功率,而且由於唔同嘅 APT 小組針對性盜取嘅機密類型都唔一樣,所以可以話任何企業或機構都有可能成為攻擊目標。如果企業網絡已被入侵,應該會有三個特徵出現。

    入侵徵兆

    首先就係異常帳戶登入活動,好多時黑客都會透過奪取登入權限進入內部網絡,所以如果發現有員工嘅登入習慣變得異常,或有帳戶試圖提升權限或讀取自己原本攞唔到嘅檔案,就有可能係黑客所為。其次就係突然發現大量惡意軟件,一旦 APT 小組攞到漏洞,就會嘗試安裝惡意程式方便未來持續偷嘢,如發現防毒軟件突然偵測到惡意軟件入侵,而且清除完後轉頭又有其他發現,咁就有可能正遭受黑客入侵。最後就係留意系統資源,因為黑客會利用企業嘅網絡資源嚟進行攻擊行為或暫存即將上載去 C&C 伺服器嘅檔案,所以如發現系統嘅電量、記憶體用量突然飆升,亦可以話係 APT 攻擊嘅徵兆。既然明白咗 APT 攻擊嘅特徵,咁防禦方法就要針對呢幾方面嚟進行。

    四招阻入侵

    睇 log:APT 攻擊會靜雞雞蒐集機密資訊,而且亦會不定期咁外傳,每次傳送嘅量亦唔會多,如果單靠肉眼去睇 log,真係好難發現,所以最重要係使用一啲具備人工智能嘅分析 log 工具,咁就可以捉到啲好細微嘅異常活動,包括有邊個員工帳戶做出權限以外嘅要求,登入位置會唔會一時係香港轉頭就飛咗去澳洲,又或者登入習慣會唔會完全改變咗?外傳嘅數據又係啲乜嚟呢?有無機密資料喺入面?外傳嘅位址又係咪 C&C 伺服器嚟?你話無咗分析 log 工具,真係好難靠網絡安全員工去搵出嚟。

    自動化模擬攻擊:Breach and  Attack  Simulation 而家已經以 as a Service 形式為企業服務,透過定期嘅自動化模擬攻擊,就可以確保企業本身嘅網絡防禦足唔足夠,亦可以向員工發出釣魚電郵,睇吓大家嘅安全意識水平。

    更新系統檔:呢招經常都有教,因為 APT 小組會利用一啲已知嘅漏洞嚟入侵網絡,所以企業就要經常留意採用嘅電腦軟件或硬件有無推出更新檔,咁就可以盡快堵塞漏洞啦。

    員工培訓:講到尾,黑客經常會利用社交工程攻擊去騙取企業帳戶嘅登入資料,所以絕對有需要加強所有員工嘅安全意識,令佢哋唔會咁易受到釣魚電郵攻擊,亦會採用強密碼同減少密碼共用嘅做法。

    做完以上呢四招,就可以大大減少被APT 小組入侵嘅風險喇。

    資料來源:https://bit.ly/2MvVkkD

    相關文章:【落地應用】Splunk年度伙伴聚會 手遊玩出數據可用性

    #Accenture #APT #BAS #LogAnalysis #Patching #stafftraining

    相關文章