作者:Matt Walmsley,EmulexEndace業(yè)務部歐洲、中東和非洲高級市場經(jīng)理
高級持久性威脅(APT)的發(fā)起者利用多種讓人出乎預料、有時間期限且多重的攻擊向量來攻擊國家、行業(yè)、特定組織和個人。他們試圖獲得長期訪問并控制您的IT基礎(chǔ)架構(gòu),以達到自己的政治、犯罪和經(jīng)濟目的。這些是復雜并且有針對性的攻擊威脅,不光所利用的技術(shù)和方法如此,而且從長期以來人們?yōu)榱丝刂艫PT所做的巨大努力中也能領(lǐng)會其危險性可見一斑。ATP的初始攻擊向量易于修改而且動態(tài)多變,因此很難檢測到。他們所采用的命令和控制(C&C)方法通常更具有一致性,因為更不易于修改且C&C流量可以是APT的有效識別點。在不影響公司正常運轉(zhuǎn)的情況下抵御所有APT是難度非常大的任務,因此更務實的做法是接受APT風險始終存在這一事實,然后快速追蹤、識別并予以糾正。
在嘗試識別、抵御和防止此類攻擊威脅時,我們的經(jīng)驗、知識和技術(shù)可在幫助您做出有效的安全干預決策時扮演重要角色。如果缺乏對環(huán)境、實際網(wǎng)絡流量及內(nèi)容的全面了解,您只能憑空猜測,因此最終的決策很可能會出錯。出現(xiàn)APT安全問題時,企業(yè)通常會向網(wǎng)絡安全運行專業(yè)人員施加壓力,要求他們快速解釋并解決問題。那么在網(wǎng)絡中出現(xiàn)疑似APT安全威脅時,您做出反應的速度有多快?更重要的是,在采取應對措施時,您是否能夠確保所采取的措施正確、恰當而有效,進而最大限度地提高成功幾率?
首先,讓我們想想安全分析相關(guān)的人力要求。負責應對安全事件的人需要使用現(xiàn)有的工具來精確而快速地解釋收集到的數(shù)據(jù)。他們必須全面了解網(wǎng)絡拓撲,具有豐富的經(jīng)驗并熟知網(wǎng)絡事件的背景,這是采取正確措施應對安全事件的基礎(chǔ)。要全面測試并記錄應用使用網(wǎng)絡的方式,最好在逐個交易的基礎(chǔ)上了解應用如何在生產(chǎn)網(wǎng)絡中運行。對于那些擁有所需資源的人來說,這些條件可通過實時監(jiān)控及調(diào)試參考網(wǎng)絡來達到。在這種方法不實際的情況下,來自生產(chǎn)網(wǎng)絡的實際運行數(shù)據(jù)就是接下來最好的方法,雖然人們認識到生產(chǎn)環(huán)境的運行情況更難預測。掌握了任何網(wǎng)絡連接的真實統(tǒng)計和分析數(shù)據(jù)之后,就可更輕松地識別出實際數(shù)據(jù)與標準值的出入。自動化監(jiān)控工具即可幫助發(fā)現(xiàn)實際數(shù)據(jù)與標準值的差別。最后一個問題是要確保為安全團隊配備有效的工作流程。這正成為在協(xié)作和任務交接過程中減少人為延誤和團隊成員間溝通不暢的重要步驟。
接下來,我們需要收集與可疑網(wǎng)絡事件相關(guān)的證據(jù)。捕獲到的數(shù)據(jù)可為您提供有關(guān)網(wǎng)絡中所發(fā)生事件的不可辯駁的有力證據(jù)。在關(guān)注的事件之前、期間和過后對網(wǎng)絡流量進行深入調(diào)查分析,可幫助您對于所發(fā)生的狀況掌握到更全面的信息,也使您可以進行正確的干預并提高有效解決問題的機率。根據(jù)您網(wǎng)絡的大小和可用的資源,捕獲流量、編制索引、搜索和調(diào)用流量的方法在成本和復雜性方面可能相差很多:從PC上臨時部署的簡單開源軟件到整個網(wǎng)絡中分布的高性能、高保真而且能夠以10萬兆以太網(wǎng)鏈路帶寬持續(xù)運行的專用智能網(wǎng)絡記錄(Intelligent Network Recording)架構(gòu)。
但是,光靠人的能力和可靠的數(shù)據(jù)還不足以提供迅速作出響應所需的全面信息和洞察力。若要正確地解碼數(shù)據(jù)包并獲得可作為行動依據(jù)的信息,您還需要適當?shù)姆治龉ぞ摺D承┓治龊皖A警工具可獨立運行,對于自動運行一些流程非常有用,但只限于以一種方式解釋數(shù)據(jù),通常依賴攻擊特征和分析數(shù)據(jù),因此我們有時候不能理所當然地指望用它們捕獲所有安全威脅。與此同時,它們可能會針對非安全相關(guān)事件和流量發(fā)出誤報。然而,在幫助企業(yè)確保總體安全性方面,他們確實扮演著重要角色,而且可更廣泛地檢測數(shù)量更大、“更易于理解”的安全威脅。然而想想APT,您應該知道它們本身是量身打造的獨一無二的威脅,光靠自動分析不足以有效解決。因此還需事后分析工具,幫助安全分析人員處理并重復分析捕獲的數(shù)據(jù),幫助他們更確信地做出決策。
一開始,安全團隊始終應該從檢查并確認是否配備了適當?shù)墓ぞ哌@項工作開始,這能確保有效地完成工作。在利用收集的數(shù)據(jù)包了解所發(fā)生的情況并做出正確的干預操作之前,可利用以下問題來檢查您當前的能力水平:
? 捕獲與網(wǎng)絡中特定事件相關(guān)的數(shù)據(jù)包需要多長時間?
? 我是否掌握了必要的技能來分析這些數(shù)據(jù)包?
? 我如何對比可能有害的惡意連接和已知的安全連接?
對這些問題的回答將幫助發(fā)現(xiàn)您在任何技能、培訓和技術(shù)能力方面的不足之處。
通過部署專用的在線APT安全設(shè)備進行自動APT檢測、預警和防護,在保護安全方面扮演著重要角色,而且目前市場上提供了很多不錯的選擇。然而,面對如此狡猾且動態(tài)多變的威脅時,沉浸在假想的安全性之中是一件很危險的事情。單純依賴自動分析和響應可能會讓您的網(wǎng)絡不堪一擊。只有APT安全設(shè)備還遠遠不夠。需要掌握了有力的證據(jù)和網(wǎng)絡中發(fā)生的情況、每個數(shù)據(jù)包通過網(wǎng)絡傳輸?shù)奈恢谩r間及其內(nèi)容,您才能全面準確地了解網(wǎng)絡中所發(fā)生的一切。
網(wǎng)絡數(shù)據(jù)包捕獲使您可以利用網(wǎng)絡數(shù)據(jù)包檢查和可視化技術(shù),獲取可作為行動依據(jù)的信息,確保正確洞察網(wǎng)絡中發(fā)生的一切。在應對APT的過程中,有一點是彌足珍貴的,那就是一定要確保正確了解所要面對的挑戰(zhàn)是什么。
關(guān)于Emulex
Emulex是網(wǎng)絡連接、監(jiān)控和管理領(lǐng)域的領(lǐng)導者,可為支持企業(yè)、云、政府和電信業(yè)務的全球網(wǎng)絡提供先進的硬件和軟件解決方案。Emulex的產(chǎn)品可實現(xiàn)無與倫比的端到端應用可視性、優(yōu)化和加速。公司的I/O連接產(chǎn)品,包括超高性能以太網(wǎng)和光纖通道連接產(chǎn)品系列,被廣泛用于全球領(lǐng)先OEM廠商的服務器和存儲解決方案中,包括思科、戴爾、EMC、Fujitsu、Hitachi、惠普、華為、IBM、NetApp和Oracle,而且?guī)缀跛胸敻?000強企業(yè)的數(shù)據(jù)中心內(nèi)都有它們的身影。Emulex的監(jiān)控和管理解決方案,包括其網(wǎng)絡可視性和記錄產(chǎn)品系列,能夠以高達10萬兆以太網(wǎng)的速度為企業(yè)提供全面的網(wǎng)絡性能管理功能。Emulex公司總部設(shè)在美國加州Costa Mesa,在北美、亞洲和歐洲多地設(shè)有辦事處和研發(fā)中心。
責任編輯:gt
-
以太網(wǎng)
+關(guān)注
關(guān)注
40文章
5419瀏覽量
171622 -
監(jiān)控
+關(guān)注
關(guān)注
6文章
2205瀏覽量
55175 -
數(shù)據(jù)包
+關(guān)注
關(guān)注
0文章
260瀏覽量
24385
發(fā)布評論請先 登錄
相關(guān)推薦
評論