通常來說�,網(wǎng)絡(luò)攻擊的目的是竊取和利用敏感信息,黑客可以利用這些信息直接竊取客戶的財(cái)務(wù)或者濫用個(gè)人信息牟利�����。網(wǎng)絡(luò)攻擊的手段和動機(jī)多種多樣:比如網(wǎng)絡(luò)黑客或者網(wǎng)絡(luò)罪犯可能是不加區(qū)分的攻擊�,然后攻擊盡可能的的目標(biāo)以獲取盡可能多的敏感信息,也可能是去持續(xù)的攻擊某個(gè)特定的目標(biāo)�,也有可能是前雇員為了報(bào)復(fù)前雇主,還有可能是內(nèi)部員工為了牟利竊取內(nèi)部機(jī)密��。不管動機(jī)如何��,我們需要提前做好準(zhǔn)備和應(yīng)對目標(biāo)攻擊:
在目標(biāo)攻擊之前:
1. 整合和監(jiān)控Internet出口點(diǎn):應(yīng)監(jiān)控企業(yè)環(huán)境中與Internet的所有連接,以確定哪些信息正在離開環(huán)境���。監(jiān)控的出口點(diǎn)越少����,檢測潛在惡意活動就越容易����。
2. 利用基于主機(jī)的檢測:隨著勞動力變得更加自動化,集中式網(wǎng)絡(luò)入侵檢測系統(tǒng)并非總是來自員工��。計(jì)算機(jī)應(yīng)利用端點(diǎn)保護(hù)來檢測所有類型的活動���,包括端點(diǎn)可見性����,以了解在服務(wù)器����,臺式機(jī),筆記本電腦以及可能在家工作的遠(yuǎn)程員工之間執(zhí)行的每個(gè)命令���。
3. 實(shí)施分層管理模型:建議使用至少三個(gè)級別的管理來隔離憑據(jù)并防止關(guān)鍵憑據(jù)的泄露���。這些級別是域管理員���,服務(wù)器管理員和工作站管理員。沒有一個(gè)帳戶可以訪問所有系統(tǒng)��。根據(jù)您的環(huán)境����,有幾種方法可以實(shí)現(xiàn)此目的�����。
4. 最小化或刪除本地管理權(quán)限:用戶不應(yīng)使用具有本地管理員權(quán)限的賬號�,因?yàn)檫@會為目標(biāo)攻擊者創(chuàng)建多種方式來橫向移動并破壞憑據(jù)。我們建議禁用本地管理員帳戶�。在其中,應(yīng)禁用工作站和服務(wù)器上的本地管理員���。
5. 實(shí)施集中式和時(shí)間同步日志記錄:DHCP���,DNS,服務(wù)器事件日志��,防火墻日志,IDS和代理日志都應(yīng)存儲在受時(shí)間同步且易于搜索的受保護(hù)集中式系統(tǒng)中�。
6. 建立事件響應(yīng)服務(wù)保留器:在您可能需要其服務(wù)之前評估事件響應(yīng)公司,以便在發(fā)生針對性攻擊時(shí)制定計(jì)劃�。
7. 識別,隔離和記錄對關(guān)鍵數(shù)據(jù)的訪問:確定最敏感數(shù)據(jù)的位置��,并實(shí)現(xiàn)對其訪問的記錄和監(jiān)控�。
8. 修補(bǔ)程序,修補(bǔ)操作系統(tǒng)和修補(bǔ)程序:修補(bǔ)操作系統(tǒng)和第三方應(yīng)用程序是加強(qiáng)網(wǎng)絡(luò)抵御目標(biāo)攻擊的最佳方法之一����。應(yīng)盡快安裝重要的安全補(bǔ)丁。
9. 審核報(bào)告要求:確定在發(fā)生安全漏洞時(shí)您有責(zé)任通知哪些組織和客戶�����,并提前準(zhǔn)備文檔并進(jìn)行法律審核���。
應(yīng)對目標(biāo)攻擊:
1. 不要斷開連接:大多數(shù)目標(biāo)攻擊會在被發(fā)現(xiàn)之前持續(xù)數(shù)月到數(shù)年���。當(dāng)受損系統(tǒng)匆忙斷開連接時(shí),攻擊者極有可能會破壞其他系統(tǒng)以建立可能未被發(fā)現(xiàn)的其他形式的持久性���。如果必須斷開計(jì)算機(jī)���,請確保在斷開電源之前保留系統(tǒng)的取證圖像���。
2. 保留所有日志:驗(yàn)證是否正在保留所有基于主機(jī)的基于群集的日志和基于網(wǎng)絡(luò)的日志,以及是否維護(hù)關(guān)鍵服務(wù)器的備份�。
3. 建立帶外通信通道:假設(shè)您的網(wǎng)絡(luò)完全受到攻擊,攻擊者可以閱讀電子郵件�。
4. 聯(lián)系事件響應(yīng)服務(wù)公司:這應(yīng)該是您已在上一個(gè)清單中建立了保留者的公司。
5. 事件范圍:進(jìn)行網(wǎng)絡(luò)取證; 執(zhí)行主機(jī)取證以確定已訪問或受損的系統(tǒng)數(shù)量以及可能已訪問的數(shù)據(jù)��。
6. 修復(fù)攻擊:隔離關(guān)鍵系統(tǒng); 阻止對命令和控制基礎(chǔ)設(shè)施的訪問; 刪除并替換受感染的主機(jī); 在需要時(shí)執(zhí)行憑據(jù)重置; 評估其他措施以加強(qiáng)環(huán)境���。
7. 報(bào)告:根據(jù)要求提供所需的報(bào)告�,并確定是否有必要進(jìn)行媒體報(bào)告���。
每個(gè)環(huán)境都是獨(dú)一無二的,并且需要額外的項(xiàng)目�,具體取決于組織的目標(biāo)以及可能利用的攻擊類型。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
