通常来说,网络攻击的目的是窃取和利用敏感信息,黑客可以利用这些信息直接窃取客户的财务或者滥用个人信息牟利。网络攻击的手段和动机多种多样:比如网络黑客或者网络罪犯可能是不加区分的攻击,然后攻击尽可能的的目标以获取尽可能多的敏感信息,也可能是去持续的攻击某个特定的目标,也有可能是前雇员为了报复前雇主,还有可能是内部员工为了牟利窃取内部机密。不管动机如何,我们需要提前做好准备和应对目标攻击:
在目标攻击之前:
1. 整合和监控Internet出口点:应监控企业环境中与Internet的所有连接,以确定哪些信息正在离开环境。监控的出口点越少,检测潜在恶意活动就越容易。
2. 利用基于主机的检测:随着劳动力变得更加自动化,集中式网络入侵检测系统并非总是来自员工。计算机应利用端点保护来检测所有类型的活动,包括端点可见性,以了解在服务器,台式机,笔记本电脑以及可能在家工作的远程员工之间执行的每个命令。
3. 实施分层管理模型:建议使用至少三个级别的管理来隔离凭据并防止关键凭据的泄露。这些级别是域管理员,服务器管理员和工作站管理员。没有一个帐户可以访问所有系统。根据您的环境,有几种方法可以实现此目的。
4. 最小化或删除本地管理权限:用户不应使用具有本地管理员权限的账号,因为这会为目标攻击者创建多种方式来横向移动并破坏凭据。我们建议禁用本地管理员帐户。在其中,应禁用工作站和服务器上的本地管理员。
5. 实施集中式和时间同步日志记录:DHCP,DNS,服务器事件日志,防火墙日志,IDS和代理日志都应存储在受时间同步且易于搜索的受保护集中式系统中。
6. 建立事件响应服务保留器:在您可能需要其服务之前评估事件响应公司,以便在发生针对性攻击时制定计划。
7. 识别,隔离和记录对关键数据的访问:确定最敏感数据的位置,并实现对其访问的记录和监控。
8. 修补程序,修补操作系统和修补程序:修补操作系统和第三方应用程序是加强网络抵御目标攻击的最佳方法之一。应尽快安装重要的安全补丁。
9. 审核报告要求:确定在发生安全漏洞时您有责任通知哪些组织和客户,并提前准备文档并进行法律审核。
应对目标攻击:
1. 不要断开连接:大多数目标攻击会在被发现之前持续数月到数年。当受损系统匆忙断开连接时,攻击者极有可能会破坏其他系统以建立可能未被发现的其他形式的持久性。如果必须断开计算机,请确保在断开电源之前保留系统的取证图像。
2. 保留所有日志:验证是否正在保留所有基于主机的基于群集的日志和基于网络的日志,以及是否维护关键服务器的备份。
3. 建立带外通信通道:假设您的网络完全受到攻击,攻击者可以阅读电子邮件。
4. 联系事件响应服务公司:这应该是您已在上一个清单中建立了保留者的公司。
5. 事件范围:进行网络取证; 执行主机取证以确定已访问或受损的系统数量以及可能已访问的数据。
6. 修复攻击:隔离关键系统; 阻止对命令和控制基础设施的访问; 删除并替换受感染的主机; 在需要时执行凭据重置; 评估其他措施以加强环境。
7. 报告:根据要求提供所需的报告,并确定是否有必要进行媒体报告。
每个环境都是独一无二的,并且需要额外的项目,具体取决于组织的目标以及可能利用的攻击类型。