Last updated 1 3 月, 2023 by Aleck Brailsford
高级持续性威胁 (APT) – 基础设施的阿哈伯船长
在梅尔维尔的《白鲸》中,阿哈伯船长运用其“伟大自然智慧”,以毁灭性的力量猎杀称为“莫比·迪克”的大白鲸 – 它的破坏力众所周知,令人胆寒。相似的是,APT 是一些最复杂、最具破坏性的网络攻击,由拥有高级技能和恶意意图的人发起。无论是像阿哈伯船长那样被愤怒(阿哈伯的“理性被激情所奴役”,部分原因是“从亚当诞生开始,他的整个种族都普遍感到愤怒和仇恨”。(第 200 页))或经济利益所驱使,APT 的潜在危害可通过自动化细分来缓解 – 通过自动化安全策略管理,这基于默认拒绝的理念。
APT 如何行动
APT 旨在避免检测,以实现有效的侦察,以破坏特定目标和/或提取数据。APT 通常由能够相互协调和支持的团体进行,如黑客团体或国家行为体。在通过初始侵入破坏网络后,攻击者试图升级受攻击主机的特权,并使用更高的权限在网络中横行霸道。避免检测为有效的映射网络、识别所需目标以及构建数据提取计划或协调网络变更以影响流程提供了时间(如,协同破坏网络、在开发环境中嵌入恶意代码)。
定义响应限制了不可避免的网络攻击带来的危害
事实上,每个组织都有可能被攻破,当攻击者将目标锁定在特定的企业时,他们对最终用户的攻击是不可避免的。由于人的易错性,防止初次入侵是很困难的,但识别攻击和定义响应程序可防止特权升级和横向移动。定义响应在今天已经很普遍,终端安全解决方案和 SOAR 剧本的应用证明了这一点,但是它的准确性和随之而来的有效性可通过集成和自动化来提高。
通过分割减少停留时间
虽然警报机制可识别攻击的指标,但要考虑的最重要指标是停留时间。黑客必须弄清楚如何将网络导航到枢轴平面网络,攻击者能够使用这种不分段的网络,因为几乎没有安全控制。分段网络限制了对话双方、如何对话,并阻止攻击者,因为他们必须遵守网络安全控制。想要使网络复杂化的组织,特别是为了让攻击者占用多个枢轴点,应该部署有效的网络分割措施。除停留时间外,网络分割还具有许多其他好处。了解现有的访问方式也有助于直接漏洞优先项目,以确定暴露在环境中的脆弱资产,以便进行补救,减少 ATP 的攻击向量。
自动化的益处
安全策略管理解决方案简化了网络细分模型的部署,并防止跨多供应商、多平台环境的不必要访问。这可以自动化设计变更和风险评估,衡量遵从性,必要时还可跨网络和云端对端协调网络更改。安全策略管理支持使用完整的文档对错误配置进行审计和诊断。安全策略管理可进一步集成漏洞管理供应商,以识别容易暴露可利用的脆弱资产的策略。这通过远程访问漏洞提供有效的响应来减少枢轴功能。改变攻击者的网络环境,同时按网段对已知的可利用漏洞进行优先排序,这对攻击者来说是一项更加艰巨的任务。
除了自动化,作为成功细分策略的一部分,也许最重要的是,默认拒绝和例外允许采用黑白名单流程。在阿哈伯船长狂热的复仇使命中,他的骄傲使他低估了莫比·迪克的力量,从而攻击不可征服的白鲸。安全策略管理自动化是不可征服的。
