如果網路威脅僅僅對公司內部的部門構成威脅,依靠預防性措施和常識就可實現可靠的保護。但現實情況是,眾所周知的數位化轉型已經徹底改變了公司的業務流程,幾乎無處不在運用資訊技術。結果是越來越多的系統連接到資訊網路;使用的人越來越多;不斷引入新的服務、技術和數位工具。所有這些都要求有新的方法來確保資訊安全。
單純的防禦性解決方案已經不夠看了。當然,這並不是說防禦性機制毫無用處;這類機制仍然能夠完美地應對絕大多數的大規模威脅。但是,隨著你的業務擴張,對入侵者的吸引力越大,他們會利用資源來準備複雜的有針對性的高級攻擊。對於這樣的攻擊,一般的標準技術就不一定奏效了。

針對性攻擊複雜在哪裡?
針對性攻擊和大規模攻擊之間的主要區別在於攻擊方法的周密性。在採取行動之前,攻擊者可能會投入大量的工作來收集相關資訊,分析你的基礎架構。他們非常有耐心。光是準備嘗試在你的網路中植入某個程式就可能花好幾個月的時間 – 這種程式不一定會被唯一識別為威脅;它不一定是惡意軟體。有可能是一種使用通用協定的隱藏通信模組,在這種情況下,監視系統沒法把它與合法的使用者應用程式區分開來。
在威脅發動方需要訪問網路,進行惡意交易或破壞進程的時候,這種模組在最後關頭會變為活動,供犯罪分子長驅直入。如果你有可靠的防禦性解決方案,那麼它很可能會對異常做出反應並阻止該事件發生。但即便在這種情況下,你看到的也只是冰山一角。入侵者的主要動作藏在你看不見的地方(尤其是如果他們事先已經想好怎樣清除痕跡)。這才是根本上的問題。
為什麼需要知道犯罪分子是如何行事的
有人可能會問,知道入侵者是怎樣滲透基礎架構實際有什麼用呢 – 尤其是若是事件已經被阻止的情況。這至少有一個用處,而且每一個事件都必須進行徹底調查。
首先,瞭解問題的根源能讓你避免掉入同一陷阱。如果你不改變現狀,仍然只是單單依賴防禦性措施,那麼駭客必定會反復執行攻擊場景,而且這很可能會使駭客的攻擊方法大大改進。
其次,瞭解攻擊者的攻擊方式後,你才能做出周全的回應,最重要的是能迅速做出回應。入侵的發生可能並不是因為軟體或硬體漏洞。攻擊者可以通過知情或不知情的員工來訪問公司基礎架構。或者威脅可能是經由分包商或服務提供者的網路入侵,因為出於業務原因,這些網路有訪問你系統的許可權。
更不用說攻擊者可能在你的網路中植入其他程式,發生事件可能只是他們計畫中的一部分,也可能是調虎離山之計。
可以做些什麼呢?
為了保護您的基礎架構免受有針對性的高級攻擊,必須通過一個系統來加強安全機制,支持你查看過去的事件。攻擊者會盡可能多地刪除資訊,掩蓋自己的蹤跡,但是如果您有端點檢測和回應(EDR)系統,則調查人員就可以輕鬆追查到事件的根源。而且他們這樣做的時候不會進一步中斷業務流程的連續性。
我們提供的解決方案 – 威脅管理和防禦平臺 – 是一個組合版本,由我們經時間考驗的”卡巴斯基反針對性攻擊”和全新的”卡巴斯基安全網路”解決方案組成,提供有多種專家服務。它支援實施網路威脅管理戰略方法。
“卡巴斯基反針對性攻擊”運用了基於機器學習的成熟、高效的技術,支援查找網路流量中的異常情況,隔離可疑進程,尋找事件之間的相關性。”卡巴斯基安全網路”用於匯總和顯示收集到的資料,這些資料對事件調查至關重要。借助這些服務,您可以在發生特別嚴重的事件時隨時獲得支援,還可為監控中心員工提供培訓,或者提高公司員工的整體意識。
要更詳細地瞭解我們的威脅管理和防禦平臺,請訪問平臺專頁。
資料來源:https://www.kaspersky.com/blog/threat-management-and-defense/21067/