信息來源：51cto

先進(jìn)的持續(xù)性威脅(APT)已經(jīng)成為所有組織的合理關(guān)注點。APT是威脅行為者，會破壞網(wǎng)絡(luò)和基礎(chǔ)架構(gòu)，并在很長一段時間內(nèi)潛伏在其中。他們通常執(zhí)行復(fù)雜的駭客攻擊，使他們能夠竊取或破壞數(shù)據(jù)和資源。

據(jù)埃森哲公司稱，APT一直在組織自己，以使他們能夠共享戰(zhàn)術(shù)和工具以進(jìn)行大規(guī)模攻擊。例如，據(jù)報道，俄羅斯的Silence APT集團(tuán)正在積極瞄準(zhǔn)金融機構(gòu)，并成功地從全球各家銀行盜竊了數(shù)百萬美元。

較小的組織也需要警惕此類威脅。APT小組還使用自動化工具和僵尸網(wǎng)絡(luò)來訪問網(wǎng)絡(luò)，并且這些策略不會根據(jù)規(guī)模，行業(yè)或價值進(jìn)行區(qū)分。

任何易受攻擊的基礎(chǔ)架構(gòu)都可能被破壞?，F(xiàn)在，對于所有組織來說，了解APT的運行方式和實施必要的安全措施以減輕威脅的程度至關(guān)重要。

APT可能潛伏的跡象

APT的運行是秘密的，因此組織可能甚至在真正出問題之前都沒有意識到它們已被破壞。例如，InfoTrax Systems在其服務(wù)器的存儲空間已用完之后，只能檢測到長達(dá)數(shù)年的漏洞。

IT團(tuán)隊必須注意APT可能潛伏在網(wǎng)絡(luò)中的跡象。

一些明顯的跡象：

（1）過多的登錄 -APT通常依賴于受到破壞的訪問憑據(jù)來獲得對網(wǎng)絡(luò)的常規(guī)訪問。他們可以使用登錄名和密碼憑據(jù)轉(zhuǎn)儲進(jìn)行暴力破解嘗試，也可以使用從社會工程學(xué)和網(wǎng)絡(luò)釣魚攻擊中竊取的合法憑據(jù)進(jìn)行暴力破解。過多或可疑的登錄活動(尤其是在奇數(shù)小時)通常歸因于APT。

（2）惡意軟件爆炸 -APT還使用各種惡意軟件來執(zhí)行其黑客攻擊。因此，如果防病毒工具經(jīng)常檢測并刪除惡意軟件，則APT可能會將木馬和遠(yuǎn)程訪問工具不斷植入網(wǎng)絡(luò)。

（3）計算資源的使用增加-威脅者還必須使用網(wǎng)絡(luò)的計算資源來進(jìn)行攻擊?；顒拥膼阂廛浖⑹褂枚它c內(nèi)的計算能力和內(nèi)存。黑客還可能將其竊取的數(shù)據(jù)臨時存儲在服務(wù)器中。泄露大量數(shù)據(jù)也將顯示為過多的傳出流量。

加強監(jiān)控

發(fā)現(xiàn)這些跡象并非易事，因此IT團(tuán)隊必須積極尋找這些跡象。幸運的是，現(xiàn)代安全解決方案現(xiàn)在提供了使IT團(tuán)隊能夠監(jiān)視APT潛在存在及其活動的功能。

日志分析-日志可以準(zhǔn)確顯示設(shè)備，系統(tǒng)和應(yīng)用程序中發(fā)生的各種活動，事件和任務(wù)。瀏覽日志通常是無格式的純文本格式。

為了幫助IT團(tuán)隊對信息進(jìn)行分類，高級日志分析工具現(xiàn)在提供了可以在所有IT基礎(chǔ)架構(gòu)組件中搜索模式的算法。

例如，日志管理和分析解決方案XpoLog，可以合并跨各種基礎(chǔ)架構(gòu)組件的所有日志。Xpolog可以自動分析和標(biāo)記這些日志文件中包含的信息。

然后，使用人工智能(AI)，Xpolog可以識別異常模式并生成見解，包括那些表明安全問題的見解。

諸如帶寬使用，登錄會話，網(wǎng)絡(luò)流量的地理分布之類的信息都可以用來揭示威脅的存在。所有數(shù)據(jù)甚至都可以可視化，以便于演示和查看。

必須改進(jìn)防御

監(jiān)視和及早發(fā)現(xiàn)是保持安全防御圈的關(guān)鍵。組織必須將這些努力整合為更廣泛的安全策略的一部分。

提高警惕性-主動分析日志并執(zhí)行安全措施的常規(guī)測試可以使IT團(tuán)隊了解APT的潛在存在，從而使他們能夠立即應(yīng)對這些威脅。

采用企業(yè)級安全性-組織還必須使用功能強大的安全性解決方案。APT使用的惡意軟件可以具有一個多態(tài)代碼，從而使它們能夠逃避常見的免費或廉價的反惡意軟件解決方案。

保持系統(tǒng)和應(yīng)用程序更新—APT針對其許多策略利用設(shè)備和系統(tǒng)的漏洞。開發(fā)人員會定期發(fā)布補丁和修復(fù)程序，以確保解決了關(guān)鍵漏洞。組織必須確保這些更新在可用時迅速應(yīng)用。

培訓(xùn)人員 -APT也可以嘗試通過社會工程攻擊來利用人的弱點。組織必須對員工進(jìn)行最佳安全實踐培訓(xùn)，包括準(zhǔn)確識別網(wǎng)絡(luò)釣魚電子郵件和嘗試，使用強密碼短語以及避免密碼重用。

安全是一項投資

組織必須意識到，在當(dāng)今環(huán)境中進(jìn)行操作時，安全性是一項至關(guān)重要的投資。APT可能會對公司造成無法彌補的損害。遭受攻擊的受害者可能會導(dǎo)致停機，業(yè)務(wù)損失和客戶信任度下降。

估計平均安全漏洞造成的組織損失392萬美元。因此，對于公司而言，至關(guān)重要的是要采取能夠在造成嚴(yán)重?fù)p害之前檢測并減輕此類威脅的安全措施。因此，組織現(xiàn)在必須準(zhǔn)備好轉(zhuǎn)移更多的資源來增強其安全性。