IT安全威脅越來(lái)越大，迫使許多企業(yè)只好拼命追趕，以應(yīng)對(duì)最新的安全威脅，這早已不是什么秘密。沒(méi)有什么比高級(jí)持續(xù)性威脅(APT)更讓人憂心忡忡的了，這種比較新的攻擊手段其目的是竊取有價(jià)值的信息。

　　APT的工作原理是，查找網(wǎng)絡(luò)安全漏洞，找到漏洞后鉆空子，然后利用該漏洞作為跳板，進(jìn)而侵入到網(wǎng)絡(luò)里面。簡(jiǎn)而言之，APT利用多種似乎不相關(guān)聯(lián)的方法，獲得立足點(diǎn)，進(jìn)而闖入管理員誤以為很安全的系統(tǒng)。

　　APT的真正危險(xiǎn)來(lái)自這個(gè)事實(shí)：得逞的攻擊常常無(wú)人注意，直到信息丟失或其他破壞已造成過(guò)去很久后才恍然大悟;這樣一來(lái)，查明實(shí)際發(fā)生的真相和破壞程度變得極其困難。

　　防范APT與其說(shuō)是個(gè)技術(shù)問(wèn)題，還不如說(shuō)是個(gè)戰(zhàn)術(shù)問(wèn)題：事實(shí)證明，采用層次防御這種戰(zhàn)術(shù)是可取的策略，可以阻止APT滲透，并通過(guò)企業(yè)網(wǎng)絡(luò)擴(kuò)散開(kāi) 來(lái)。簡(jiǎn)單地說(shuō)，APT可能只需要一個(gè)安全漏洞就能滲入到企業(yè)，不過(guò)如果能檢測(cè)到并阻止攻擊活動(dòng)，就能規(guī)避滲透后造成的大部分危害。

　　然而，這可能是個(gè)艱難的過(guò)程，因?yàn)樵S多基于APT的攻擊旨在模仿合法用戶的行為，并通過(guò)隱蔽手段收集信息。不過(guò)，安全工作重在預(yù)防，而不是補(bǔ)救;如 果結(jié)合一些最佳實(shí)踐，只要做好某些基本安全工作，就算不能防止所有基于APT的攻擊，至少也能防止大多數(shù)此類(lèi)攻擊造成任何破壞：

　　•部署反病毒軟件：保護(hù)端點(diǎn)設(shè)備遠(yuǎn)離惡意軟件是防止攻擊的一個(gè)關(guān)鍵要素。然而，由于攻擊手段越來(lái)越多樣，病毒特 征急劇增多，加上自我變異的病毒不斷演變，傳統(tǒng)的反病毒軟件包可能滿足不了保護(hù)的需求。這就是為什么有必要采用多層次、基于威脅的保護(hù)體系，這種體系包括 傳統(tǒng)的完全和部分特征匹配，以及識(shí)別、阻止和刪除已知惡意軟件和變種的功能。此外，反病毒系統(tǒng)應(yīng)包括先進(jìn)的行為分析、漏洞檢測(cè)和沙盒機(jī)制。這有助于識(shí)別、 阻止和刪除隱藏的和未知的惡意軟件。此外，解決方案需要按需深層掃描功能，應(yīng)該提供具有集中可視性的自動(dòng)更新。消費(fèi)級(jí)產(chǎn)品往往在這些功能的某個(gè)或多個(gè)方面 不盡如人意，網(wǎng)絡(luò)管理人員應(yīng)該尋求企業(yè)級(jí)解決方案，以實(shí)現(xiàn)最大程度的保護(hù)。

　　•充分利用配置和補(bǔ)丁管理：軟件漏洞繼續(xù)層出不窮，每天都在發(fā)現(xiàn)新的漏洞，因而連最積極主動(dòng)的網(wǎng)絡(luò)管理人員也很 難將安全補(bǔ)丁工作做得井井有條。這里，自動(dòng)化變得必不可少，尤其是由于系統(tǒng)越來(lái)越復(fù)雜，變得更加分散。隨時(shí)了解已知漏洞需要經(jīng)常打補(bǔ)丁，而且要謹(jǐn)慎。漏洞 識(shí)別出來(lái)與修復(fù)漏洞的補(bǔ)丁發(fā)布存在一個(gè)時(shí)間差，攻擊者在打這個(gè)時(shí)間差。報(bào)告表明，90%以上的網(wǎng)絡(luò)攻擊鉆了已有相應(yīng)補(bǔ)丁的已知安全漏洞的空子。配置和補(bǔ)丁 管理系統(tǒng)對(duì)任何企業(yè)來(lái)說(shuō)已成為必不可少的工具，不過(guò)一些系統(tǒng)缺少成功保護(hù)所需要的全部功能。解決方案應(yīng)該提供集中式管理，監(jiān)控和管理跨平臺(tái)系統(tǒng)的功能，以 及為監(jiān)控的所有系統(tǒng)(包括端點(diǎn)設(shè)備、服務(wù)器和移動(dòng)設(shè)備)提供基于策略的安全配置。除了所使用的操作系統(tǒng)外，解決方案還應(yīng)該為第三方應(yīng)用程序提供全面日志記 錄、報(bào)告和支持功能。此外，自動(dòng)化是任何安全解決方案取得成功的真正關(guān)鍵，如果更多的任務(wù)能夠自動(dòng)完成，就能縮短修復(fù)漏洞的時(shí)間。

　　•設(shè)備管理：企業(yè)中使用的幾乎任何設(shè)備都會(huì)成為APT得逞的根源。這些設(shè)備種類(lèi)繁多，既有可移動(dòng)介質(zhì)，又有智能 手機(jī)，還有便攜計(jì)算產(chǎn)品。簡(jiǎn)而言之，如果設(shè)備能連接到企業(yè)，它就有可能成為竊取數(shù)據(jù)或感染系統(tǒng)的媒介。為了應(yīng)對(duì)與設(shè)備有關(guān)的威脅，必須建立控制機(jī)制，這通 常表現(xiàn)為數(shù)據(jù)泄漏防護(hù)系統(tǒng)。有了該系統(tǒng)，訪問(wèn)得到控制，所有信息統(tǒng)統(tǒng)加密。解決方案還應(yīng)該有辦法來(lái)監(jiān)控和限制數(shù)據(jù)傳輸，以及防止惡意軟件藏在可移動(dòng)存儲(chǔ)設(shè) 備里面混入企業(yè)。

　　•應(yīng)用程序控制：由于基于Web的應(yīng)用程序、云服務(wù)和社交網(wǎng)絡(luò)大行其道，用戶啟動(dòng)外部應(yīng)用程序、下載信息、啟動(dòng) 腳本或安裝應(yīng)用程序變得非常容易――任何這些內(nèi)容都有可能含有惡意軟件，讓APT越過(guò)企業(yè)防火墻。安裝支持應(yīng)用程序白名單(黑名單)功能的Web過(guò)濾系 統(tǒng)，可大大有助于防止用戶訪問(wèn)上面的應(yīng)用程序或腳本可能傳播惡意軟件或發(fā)動(dòng)攻擊的網(wǎng)站。應(yīng)用程序白名單最有希望，因?yàn)橹辉试S用戶訪問(wèn)那些已經(jīng)獲得公司信任 的內(nèi)容。

　　•部署內(nèi)存/數(shù)據(jù)注入預(yù)防技術(shù)：其中一種最常見(jiàn)的端點(diǎn)漏洞就是緩沖區(qū)溢出，即有效載荷“被注入”到系統(tǒng)內(nèi)存中。 另一種注入手法表現(xiàn)為代碼被注入到數(shù)據(jù)庫(kù)輸入表單(通常被稱為SQL注入)，這迫使數(shù)據(jù)庫(kù)服務(wù)器返回應(yīng)加以保護(hù)的信息。這兩種攻擊都依賴外部人員能夠借助 復(fù)雜手段將代碼注入到系統(tǒng)中。防止這些攻擊通常需要配置安全平臺(tái)，以便能夠檢測(cè)并防止SQL注入、DLL注入、Skape/JT注入和RMI攻擊。其中一 些功能內(nèi)置于現(xiàn)有的解決方案中，比如Windows Server和桌面操作系統(tǒng)提供了本地內(nèi)存安全控制機(jī)制，比如DEP(數(shù)據(jù)執(zhí)行防護(hù))和ASLR(地址空間布局隨機(jī)化)。理想情況下，應(yīng)部署集中式解決方 案，以便跟蹤那些安全問(wèn)題，并提供自動(dòng)響應(yīng)機(jī)制，以修復(fù)和保護(hù)系統(tǒng)。

　　對(duì)大大小小的企業(yè)來(lái)說(shuō)，APT已成為一種嚴(yán)重的威脅。不過(guò)，合適的策略、最佳實(shí)踐和適當(dāng)?shù)陌踩�產(chǎn)品應(yīng)該對(duì)保護(hù)企業(yè)系統(tǒng)遠(yuǎn)離威脅大有幫助。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標(biāo)題：防止高級(jí)持續(xù)性威脅的有效策略

本文網(wǎng)址：http://www.ezxoed.cn/html/support/11121817526.html