Fortinet为企业提出应对APT攻击的一些建议

如同一个APT攻击需要突破多个网络层才可以成功一样，如果企业不希望沦为APT的猎物必须实施能够进行多层网络防御的安全策略。也就是说单一的网络安全功能是不能够防御APT攻击的。

[[156468]]

安全协助：

攻击者不会止步于获取更多的目标来彰显其“荣誉”，所以公司机构的安全策略与防御体系也不是一日之功。公司机构需要可靠的IT雇员了解最新的威胁与潜在的攻击路径，与网络安全组织保持近距离的接触，在必要的时候可获得帮助。

最终用户的引导：

网络攻击者选定的最终用户攻击目标，一定是攻击目标存在可以发动首次攻击的最佳机会。这如同银行劫匪的“座右铭”，“钱在哪我们就在哪”的道理是一样的。 引导并教育最终用户正确地使用社交媒体保护隐私以及机密信息防止被利用是安全防御中重要的一环。同样关键的是，在公司机构具有访问敏感数据的雇员应受到数据处理方面的专门培训。定期对公司雇员进行内部的安全风险防范意识培训可减少被攻击的机率。

网络隔离：

如果一个雇员没有来由地访问了可能包含敏感数据的特别资源，那么基本的网络隔离可以协助防御在内部网络之间的流传。对内部网络资源进行用户访问细分，可潜在的避免攻击者。

Web过滤/IP信誉：

通过使用当前的IP信誉数据与web过滤规则的解决方案，可能会阻挡一些攻击。举例说明，如果会计团队没来由地去访问地球另一端国家的网站或者IP地址，创建web访问过滤规则可以有效防止可能中招被攻击网站的访问。通过使用IP信誉服务，可以避免一些攻击者使用攻击其他公司的伎俩，来故伎重演的攻击下一个目标公司。

白名单：

白名单功能的使用有很多方法可言。例如，网络白名单可设置只允许一些内部流量访问网络资源。这可以避免攻击者侵入内部网络。网络白名单还可以防止用户访问那些没有明确被允许的网站。应用白名单可设置一个只允许在计算机设备运行的应用名单，阻断其他软件在设备的运行。这样可避免攻击方在目标用户的计算机系统运行新的程序。

黑名单：

白名单顾名思义是明确被允许执行或访问资源的名单，黑名单同理是设置阻断对不安全的资源、网络或应用访问的名单。

应用控制：

如今雇员使用网络服务的现象相当普遍，例如Facebook、Twitter以及Skype。许多公司是不对这些应用的访问作控制与管理的，如此自由的访问与应用可会将公司暴露在新一代的基于web的威胁与灰色软件之下。应用控制功能可以识别与控制网络中的应用，无论是基于端口、协议或者IP地址。通过行为分析工具、最终用户关联与应用分类可以识别并阻断潜在的恶意应用与灰色软件。

基于云端的沙盒：

基于云端的技术与资源进化得更为丰富了，“移交”式分析与检测成为检测潜在威胁的一种好工具。基于云端的沙盒可以在可控的系统中执行未知的文件与URL，所述可控的系统可以分析这些文件与URL的行为规则以检测可疑或异常的活动。

终端控制/AV：

旧有的基于客户端的反病毒与反灰色软件防御解决方案仍可提供可靠的病毒与灰色软件防御。但是多数客户端应用不能防御零日攻击，可以阻断的是黑客使用过去的相同或相似的攻击手段。

数据防泄漏(DLP)：

正确的识别敏感数据并有效地实施DLP解决方案是公司机构能够高效的保护敏感的数据避免泄漏的方法。

入侵防御(IPS)/入侵检测(IDS)：

IPS与IDS产品可以作为另一层监控网络流量可疑活动的防御体系。好的IPS与IDS系统同样会对IT人员报警潜在的威胁。

主动打补丁：

计算机设备的安全有赖于所运行的软件的安全，所以及时的打补丁是非常必要的。关键补丁不及时安装的话，公司机构的网络系统就存在着可被攻击的漏洞。对于业务环境要求苛刻、不间断运行的用户，保持测试设备能够运行补丁测试关键应用的环境很重要，这样才能够不影响到主网络环境。

管理权限的限制：

一些公司对雇员提供的是基于本地的管理权限，便于随时管理安全驱动或软件。这样的权限管理是一把双刃剑，一方面是减少了技术支持的经理且赋予了雇员更多的IT自由度，另一方面会导致网络系统轻易的被黑客访问或安装恶意软件，以及在受害人计算机系统安装远程访问工具(也就是RAT：remote access tools)。细化管理权限也有助于攻击的防御。

网络访问控制：

NAC是一种网络资源访问限制的解决方案，也就是说，只有符合某些规则或策略后访问网络资源。举例说明，如果一台计算机设备最近没有打补丁，NAC可以做策略限制将该设备隔离在子网直至其打了补丁后才可以访问网络资源。

双因子验证：

适用于最终用户可选的有很多种双因子认证方式。通过对远程用户或需要访问敏感数据的用户实行双因子认证，也可以有效防御数据的丢失或信用状被窃取，因为攻击者需要提供另一种方式的识别才能够进行网络访问。

通常使用的双因子认证方式包括标准的用户名与密码，加上基于硬件或软件的认证密钥，该密钥是用于提供一次性有效的数字串，在用户名与密码输入后必须输入的密钥数字。

UDB使用限制：

多数的计算机设备是没有任何限制运行USB及其中的自动的应用。在驱动中嵌入恶意代码也是黑客常用的攻击手段之一。严格禁止USB的使用是相对最安全的做法，但是如果USB的使用是必需的，那么可以配置策略阻断自动运行的驱动程序。

基于云端文件共享的访问限制：

例如Dropbox这样的服务是享有广泛的应用的，不管是在家或是在办公室。如同USB驱动访问，限制策略是必要的。基于云端的文件共享与同步应用使攻击者先攻击家用的计算机，并在用户同步文件到公司网络时将恶意软件带到公司网络中有机可趁。

融合性防御

我们能够很明确的是，一些组织是不惜一切代价将感兴趣的数据弄到手，同时也没有一种万能的方法消除APT攻击的风险; 企业或公司机构可以采取风险最小化的多层以及融合性防御战略。

防火墙与入侵防御技术的部署是综合有效安全防御策略的开始;反灰色软件技术，结合数据防泄漏以及基于角色的安全策略配置也应用综合防御应包括的重要部分。同时，反垃圾邮件与网页过滤的解决方案，也是应用控制机制的进一步落实，在攻击的每个阶段步骤都具有有效的防御，才是APT攻击防御的万全之策。