編輯:小星
多一份網(wǎng)絡(luò)防護(hù)技能
多一份信息安全保障
互聯(lián)網(wǎng)的發(fā)展速度越快,網(wǎng)上的數(shù)據(jù)量就越大秘血,企業(yè)中不可避免的就會(huì)存在許多的敏感數(shù)據(jù)局雄,這塊肥肉就成為了攻擊者的目標(biāo)了,有針對性的攻擊的出現(xiàn)則無可避免一疯。根據(jù)已發(fā)生的案例撼玄,有針對性的攻擊一般可能會(huì)涉及到盜竊源代碼,導(dǎo)致協(xié)商數(shù)據(jù)或者一般業(yè)務(wù)中斷墩邀。公司需要做的是做好識(shí)別掌猛,響應(yīng)和緩解目標(biāo)攻擊,保證發(fā)生攻擊時(shí)可以以最快速度恢復(fù)業(yè)務(wù)眉睹。下列為企業(yè)在應(yīng)對目標(biāo)攻擊時(shí)可以做的一些事情荔茬。
在發(fā)生攻擊之前:
1. Internet出口點(diǎn)管理:需要對所有連接到企業(yè)環(huán)境的Internet進(jìn)行監(jiān)控,確保對離開環(huán)境的信息有全面的掌控竹海。監(jiān)控的出口點(diǎn)數(shù)量越少慕蔚,檢測起潛在的惡意活動(dòng)就越容易。
2.?檢測:自動(dòng)化的進(jìn)步讓入侵檢測逐漸脫離了員工的操作站削,利用端點(diǎn)保護(hù)來檢測所有類型的活動(dòng)坊萝,包括端點(diǎn)可見性,以了解在服務(wù)器许起,臺(tái)式機(jī)十偶,筆記本電腦以及可能在家工作的遠(yuǎn)程員工之間執(zhí)行的每個(gè)命令。
3.?分層管理模型:分層管理為了隔離憑據(jù)和防止關(guān)鍵的憑據(jù)泄漏园细,通常建議使用至少三個(gè)級(jí)別惦积。這些級(jí)別是域管理員,服務(wù)器管理員和工作站管理員猛频。沒有一個(gè)賬戶可以訪問所有系統(tǒng)狮崩。根據(jù)您的環(huán)境蛛勉,有幾種方法可以實(shí)現(xiàn)此目的。
4.?管理權(quán)限:攻擊者會(huì)利用具有本地管理員權(quán)限的賬號(hào)來創(chuàng)建多種方式進(jìn)行橫向移動(dòng)并對憑據(jù)進(jìn)行破壞睦柴,所以用戶最好禁止使用這類賬號(hào)诽凌,特別是工作站、服務(wù)器上的本地管理員坦敌。
5.?日志記錄:為了保證日志時(shí)間的同步侣诵,且易于搜索,需要將日志(如DHCP狱窘,DNS杜顺,服務(wù)器事件日志,防火墻日志蘸炸,IDS和代理日志等)都存儲(chǔ)在時(shí)間同步并易于搜索的受保護(hù)的集中式系統(tǒng)中躬络。
6.?事件響應(yīng)服務(wù)保留器:若可能需要事件響應(yīng)服務(wù)可先進(jìn)行評(píng)估事件并響應(yīng)公司,以便在發(fā)生針對性的攻擊時(shí)可以快速制定計(jì)劃搭儒。
7.?關(guān)鍵數(shù)據(jù)的訪問:找出系統(tǒng)中最敏感數(shù)據(jù)的具體位置穷当,并對這些關(guān)鍵數(shù)據(jù)的訪問進(jìn)行,隔離仗嗦、監(jiān)控和記錄膘滨。
8.?修補(bǔ)程序:重要的安全補(bǔ)丁需要盡快安裝。加強(qiáng)網(wǎng)絡(luò)安全稀拐、抵御目標(biāo)攻擊的最佳方案之一就是修補(bǔ)操作系統(tǒng)和第三方應(yīng)用程序火邓。
9.?審核報(bào)告要求:一旦確認(rèn)真的發(fā)生了安全漏洞,您有責(zé)任通知相應(yīng)的企業(yè)和客戶德撬,并且提前準(zhǔn)備好文檔進(jìn)行相應(yīng)的法律審核铲咨。
發(fā)生攻擊時(shí):
1. 不要輕易斷開連接:絕大部分的目標(biāo)攻擊會(huì)在持續(xù)了數(shù)月甚至數(shù)年才被發(fā)現(xiàn),而在系統(tǒng)受損失被匆忙斷開后蜓洪,攻擊者極有可能會(huì)轉(zhuǎn)移目標(biāo)破壞其他的系統(tǒng)纤勒,重新建立新的隱藏持久性。如果一定要斷開計(jì)算機(jī)隆檀,請?jiān)?/span>斷開電源之前確保已經(jīng)保留系統(tǒng)的取證圖像摇天。
2. 備份和日志保留:要將關(guān)鍵的服務(wù)器進(jìn)行備份,并查看是否正在保留所有主機(jī)群集的日志和網(wǎng)絡(luò)日志恐仑。
3.?聯(lián)系事件響應(yīng)服務(wù)公司:這應(yīng)該是您已在上一個(gè)清單中建立了保留者的公司泉坐。
4. 確認(rèn)事件范圍:做好網(wǎng)絡(luò)取證工作,執(zhí)行主機(jī)取證來確定此次事件中已經(jīng)被訪問或受損的系統(tǒng)數(shù)量和可能已經(jīng)被訪問過的數(shù)據(jù)裳仆。
5.修復(fù)攻擊:
隔離關(guān)鍵的系統(tǒng);
限制對命令和控制的基礎(chǔ)設(shè)施的訪問權(quán)限;
將受感染的主機(jī)進(jìn)行刪除替換;
如有必要時(shí)可對憑據(jù)進(jìn)行重置;
評(píng)估其他措施以加強(qiáng)環(huán)境腕让。
6.?報(bào)告:根據(jù)需求提供相應(yīng)的報(bào)告,必要時(shí)可對進(jìn)行媒體報(bào)告歧斟。
以上為個(gè)人觀點(diǎn)纯丸,僅供參考偏形。
歡迎關(guān)注小星(ID:DBXSJ01)