2019年04月08日
在具有敏感數據的組織中,有針對性的攻擊是不可避免的。根據具體情況,有針對性的攻擊可能涉及盜竊源代碼,協商數據或一般業務中斷。公司需要做好準備,以實施災難恢復計劃所需的相同努力來識別,響應和緩解目標攻擊。憑借數十年的經驗,以下清單,以幫助組織準備和應對目標攻擊。
在目標攻擊之前:
1. 整合和監控Internet出口點:應監控企業環境中與Internet的所有連接,以確定哪些信息正在離開環境。監控的出口點越少,檢測潛在惡意活動就越容易。
2. 利用基于主機的檢測:隨著勞動力變得更加自動化,集中式網絡入侵檢測系統并非總是來自員工。計算機應利用端點保護來檢測所有類型的活動,包括端點可見性,以了解在服務器,臺式機,筆記本電腦以及可能在家工作的遠程員工之間執行的每個命令。
3. 實施分層管理模型:建議使用至少三個級別的管理來隔離憑據并防止關鍵憑據的泄露。這些級別是域管理員,服務器管理員和工作站管理員。沒有一個帳戶可以訪問所有系統。根據您的環境,有幾種方法可以實現此目的。
4. 最小化或刪除本地管理權限:用戶不應使用具有本地管理員權限的賬號,因為這會為目標攻擊者創建多種方式來橫向移動并破壞憑據。我們建議禁用本地管理員帳戶。在其中,應禁用工作站和服務器上的本地管理員。
5. 實施集中式和時間同步日志記錄:DHCP,DNS,服務器事件日志,防火墻日志,IDS和代理日志都應存儲在受時間同步且易于搜索的受保護集中式系統中。
6. 建立事件響應服務保留器:在您可能需要其服務之前評估事件響應公司,以便在發生針對性攻擊時制定計劃。
7. 識別,隔離和記錄對關鍵數據的訪問:確定最敏感數據的位置,并實現對其訪問的記錄和監控。
8. 修補程序,修補程序和修補程序:修補操作系統和第三方應用程序是加強網絡抵御目標攻擊的最佳方法之一。應盡快安裝重要的安全補丁。
9. 審核報告要求:確定在發生安全漏洞時您有責任通知哪些組織和客戶,并提前準備文檔并進行法律審核。
應對目標攻擊:
1. 不要斷開連接:大多數目標攻擊會在被發現之前持續數月到數年。當受損系統匆忙斷開連接時,攻擊者極有可能會破壞其他系統以建立可能未被發現的其他形式的持久性。如果必須斷開計算機,請確保在斷開電源之前保留系統的取證圖像。
2. 保留所有日志:驗證是否正在保留所有基于主機的基于群集的日志和基于網絡的日志,以及是否維護關鍵服務器的備份。
3. 建立帶外通信通道:假設您的網絡完全受到攻擊,攻擊者可以閱讀電子郵件。
4. 聯系事件響應服務公司:這應該是您已在上一個清單中建立了保留者的公司。
5. 事件范圍:進行網絡取證; 執行主機取證以確定已訪問或受損的系統數量以及可能已訪問的數據。
6. 修復攻擊:隔離關鍵系統; 阻止對命令和控制基礎設施的訪問; 刪除并替換受感染的主機; 在需要時執行憑據重置; 評估其他措施以加強環境。
7. 報告:根據要求提供所需的報告,并確定是否有必要進行媒體報告。
每個環境都是獨一無二的,并且需要額外的項目,具體取決于組織的目標以及可能利用的攻擊類型。
江蘇國駿信息科技有限公司在信息網絡安全、運維平臺建設、動漫設計、軟件研發、數據中心領域具備十多年的行業沉淀。公司遵循信息安全整體性的IATF模型,從“人員素養”、“制度流程”、“技術產品”三個視角提供全面、可信的方案,業務涵蓋咨詢、評估、規劃、管控、建設、培訓等。
江蘇國駿信息科技有限公司——全面可信的信息安全服務商。