如何应对APT攻击
APT攻击主要以窃取信息为目标,对于企业来说,在实际工作中如何防范这类风险?
1、安装补丁。在实际工作中,尤其是终端规模大的环境下,补丁是要经过一步步测试的,不然可能会导致一系列问题,但很多APT攻击是以零日漏洞为手段的,这个矛盾该如何处理?
2、目前市场上各类行为检测、沙箱检测、协议检测产品,这些产品真的有用吗?目前除了很多年前比较引人注目的证券幽灵外,最近各类产品一直在宣传,但没有听说有实质性APT防护案例,可否分析一下目前APT防护手段是否存在缺陷?
3、对一家企业来说,如果能做到内外网隔离的话,是不是只要加强内网与互联网接入区的防护就可以防止APT信息泄露呢?
2同行回答
APT是一种非常难以防御的攻击手段,是不法黑客团队经常采用的手段,经过长期的经营与策划,利用社会工程学,安全漏洞等有计划、有组织的持续窥探目标网络弱点入侵的手段,但是原理通常都是需要攻破内部系统的某一个系统,然后以这个系统作为跳板,从而渗透到其他相关的服务器,最后达到攻击目的,可以说防不胜防,市场上目前是有这种产品的,只是在国内能够派的上用场的地方并不多,下面我就依次回答你的三个问题!
1、光靠补丁是无法避免的APT(如果对方真想攻击你的话),哪怕你补丁是实时的,所以你应该多考虑日常的安全防御,日志分析,入侵检测等环节的把控。
2、市场上是有各类安全产品(比如FireEye和趋势科技),但是并非万能的,APT他可以潜伏在你工作环节的任何一个环节,包括你的手机端。
3、内外网隔离只是防御APT的一种手段,但也并非安全,总的来说APT的防御是一个持续性的对抗过程,一般来说,都必须做到入网检测,日志分析,内外网隔离,日志审计,甚至虚拟化隔离都可以对抗和防御APT的手段。
浏览1451