進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 防護策略
進階持續性滲透攻擊 (Advanced Persistent Threat, APT) 是最近常見的網路攻擊型態,駭客會針對特定的攻擊對象設計一套專屬的攻擊策略,並利用使用者常用的網路行為(網頁、電子郵件、社交網站及軟體等),透過長時間且持續性的潛伏及監控,趁使用者稍有疏忽時植入惡意程式進而控制使用者電腦或進行資訊竊取。
APT是一種針對性的攻擊,通常是長時間且持續性的,並非是單一事件的攻擊行為,因此,在防範上也需要從各種不同細節討論,
APT攻擊都分為四個階段。接下來將針對不同階段與大家分享如何保護您的企業免遭所有感染媒介的影響。從最初的預防攻擊階段一直到發生惡意活動的最終階段,倍網資訊都可提供相關防護策略以確保您的企業網路安全。
在深入探討攻擊的每個階段所發生的具體情況之前,我們可以先進入預防的階段。
預防階段 防護管理:採取前瞻性的防護措施可縮小攻擊範圍並減少漏洞。
避免讓您的關鍵業務系統遭受攻擊的最佳方法是維護一個前瞻性的安全防護策略,通過持續不斷地運行該策略來縮小潛在的攻擊範圍並減少漏洞。
在我們開始討論攻擊的各個階段之前,您需要在設計攻擊防範策略時考慮以下事項:
• 隨時監控終端的安全運行狀況:監控安全環境的狀況可以讓您迅速應對各種潛在的威脅。
• 確定應對各種風險的優先順序:威脅更新讓您得以根據威脅的相關資訊進行回應,從而在適當的時間實施正確的對策。
若要檢測是否存在隱匿的惡意軟體和攻擊者及其相關行為,則需要具備多種能夠與保護和回應系統相集成,並且可提供廣泛且深入監控的工具。倍網資訊利用 Intel Security 旗下邁克菲所提供的安全架構框架,協助客戶規劃企業安全防護。Intel Security 旗下邁克菲所提供的安全架構框架,可實現多個產品、服務及合作夥伴關係的集成,進而形成集中、高效的風險緩解措施。
若要進一步瞭解終端防護的規劃如何因應現今的威脅,您可以通過下載McAfee Endpoint Protection的技術簡介 Essential Protection for PCs: Match your endpoint protection with today's risk (《提供針對 PC 的必需保護:利用我們的終端保護措施應對當今的各種風險》),瞭解如何讓您的終端保護措施應對當今的各種風險。利用 Trellix (McAfee®) Complete Endpoint Protection 套件,實現不影響工作效率的多層防禦策略變得不再複雜。這是傳統智慧惡意軟體掃描、動態白名單、零日入侵行為防護、統一管理和集成式威脅情報的完美融合。
每個惡意攻擊都分為四個階段。接下來我們將一一與大家分享,無論您的企業面臨攻擊的哪一個階段,您都可以針對您的問題,思考如何保護您的企業免遭所有感染媒介的影響。
首次接觸期間(或者在攻擊的階段 1 中),威脅會通過多種方法(例如可移動介質、惡意網站、電子郵件或不安全的無線網路)獲取您系統的存取權限。
通過可移動介質進行實際訪問: 高級針對性攻擊 (ATA) 可通過類似 USB 驅動器、MP3 播放機、CD 和 DVD 等可移動介質入侵系統。倍網資訊提供Trellix (McAfee®) Device Control 規劃建置,允許您指定並分類可以使用哪些設備或不可以使用哪些設備,與此同時,它還能強制規定可向這些設備傳輸的資料以及禁止向這些設備傳輸的資料。
惡意網站:網站可能會因某人的蓄意行為或受到感染而變成惡意網站,也可能包含惡意軟體、潛在有害程式或網路釣魚網站。倍網資訊提供Trellix (McAfee) SiteAdvisor® Enterprise 規劃建置,可以讓您的員工安全地上網搜索,因為各種威脅已被阻止並且用戶已獲得引導而遠離各類惡意網站。
不請自來的消息:倍網資訊使用邁克菲反惡意軟體和反垃圾郵件解決方案,可在惡意軟體入侵使用者收件箱之前進行攔截、檢測、清理和阻止。
網路訪問:倍網資訊使用 Trellix (McAfee) Host Intrusion Prevention,可以保護您的企業免遭已知的和新出現的漏洞的攻擊,其中包括零日攻擊。
為了規模化抵禦“階段 1——首次接觸”的各種攻擊,請考慮在您的企業中使用Trellix ( McAfee) Complete Endpoint Protection 套件。在不影響性能的前提下,獲取所需的多層保護為您的企業提供安全支持。
階段二 本地執行:惡意程式碼利用各種漏洞來實施攻擊。
在本地執行期間(或者在攻擊的階段 2 中),惡意程式碼將在目的電腦上運行,以利用應用程式或作業系統中的各種漏洞。如果惡意軟體能夠破壞保護措施,則會將其代碼寫入磁碟。
可疑的網路流量:病毒、蠕蟲、間諜軟體、僵屍程式 (Bot)、特洛伊木馬、緩衝區溢位以及混合型攻擊都是惡意程式碼可通過您的網路傳輸的示例。您可以透過Trellix (McAfee®) VirusScan® Enterprise按訪問掃描功能,這項功能在啟用後可即時掃描檔,確保您的系統持續得到保護。
未修補的漏洞:網路犯罪分子利用作業系統未修補的漏洞入侵系統,找到並獲取您最有價值的資產。 Trellix (McAfee) Host Intrusion Prevention 有助於阻止利用漏洞進行攻擊的行為並且可以保護未修補漏洞的安全。
惡意檔執行:高級針對性攻擊 (APT) 嘗試通過執行檔來獲取系統的存取權限和控制,以此來繼續啟動惡意行為。Trellix (McAfee) Application Control 軟體提供有效的方法來阻止伺服器、企業桌面機和固定功能設備上的未經授權的應用程式和代碼。
當駭客入侵您的電腦後,將植入惡意程式並企圖控制電腦,建立據點。建立據點期間(或者在攻擊的階段 3 中),惡意程式碼隱藏在系統中並持續存在,因此在重新開機系統後它仍然存在,始終避開安全措施檢測並對用戶隱藏蹤跡。Intel Security 旗下邁克菲提供的工具可讓您及時掌握資訊並即時應對,進而幫助您在此階段阻止各種威脅的攻擊。
威脅情報和應對措施
若要最大限度地降低高級隱匿攻擊的影響,最佳的方法是實現靈敏的安全意識和應對措施。Trellix (McAfee®) Global Threat Intelligence 可提供最新的信譽智慧情報,為此您可以在發生威脅時採取適當的、基於策略的行動。當來自某個威脅中的資料通過 McAfee Data Exchange Layer 傳播到所有終端時,利用 Trellix (McAfee) Threat Intelligence Exchange,可立即改編威脅分析資訊。
階段四 惡意活動:實現攻擊目的。
惡意活動期間(或者在攻擊的階段 4 中),實現攻擊目的——從竊取身份資訊、智慧財產權到銀行欺詐,無所不為。Intel Security 旗下邁克菲可幫助您防止敏感性資料丟失,並且可以幫助您快速從這個階段的攻擊中恢復。
威脅情報和應對措施:若要最大限度地降低高級隱匿攻擊的影響,最佳的方法是實現靈敏的安全意識和應對措施。Trellix (McAfee®) Global Threat Intelligence 可提供最新的信譽智慧情報,使您可以在發生威脅時採取適當的、基於策略的行動。您可以訪問關鍵產品的詳細資訊,並且可以直接在終端上修復安全問題。
通過存儲在 Trellix (McAfee) Threat Intelligence Exchange 事件回應知識庫中的檔信譽和執行詳細資訊,可以快速調查、識別並應對各種威脅及其傳播途徑,包括首個實例或負載“首例感染源”的唯一實例。
阻止連接已知的惡意網路:在隱匿惡意軟體執行其策略,從您的網路竊取敏感性資料時,為了便於移動資料,它可能會通過連接至惡意僵屍網路來達到這一目的。 Trellix (McAfee) Host Intrusion Prevention 可以阻止連接已知的惡意網路,防止丟失敏感性資料。
利用可提供即時監控及應對措施,並且可最大限度降低身份標識資訊及智慧財產權潛在損失的工具,保護您的企業免遭“階段 4 - 惡意活動”的攻擊。
針對以上攻擊防禦,倍網資訊提供Trellix (McAfee) Complete Endpoint Protection 套件,協助客戶防範並阻擋惡意的攻擊,無論您的企業面臨攻擊的哪一個階段,我們都希望這一系列資訊豐能夠有助於您的企業免遭所有感染媒介的影響。
