在具有敏感数据的组织中,有针对性的攻击是不可避免的。根据具体情况,有针对性的攻击可能涉及盗窃源代码,协商数据或一般业务中断。公司需要做好准备,以实施灾难恢复计划所需的相同努力来识别,响应和缓解目标攻击。凭借数十年的经验,以下清单,以帮助组织准备和应对目标攻击。
在目标攻击之前:
1. 整合和监控Internet出口点:应监控企业环境中与Internet的所有连接,以确定哪些信息正在离开环境。监控的出口点越少,检测潜在恶意活动就越容易。
2. 利用基于主机的检测:随着劳动力变得更加自动化,集中式网络入侵检测系统并非总是来自员工。计算机应利用端点保护来检测所有类型的活动,包括端点可见性,以了解在服务器,台式机,笔记本电脑以及可能在家工作的远程员工之间执行的每个命令。
3. 实施分层管理模型:建议使用至少三个级别的管理来隔离凭据并防止关键凭据的泄露。这些级别是域管理员,服务器管理员和工作站管理员。没有一个帐户可以访问所有系统。根据您的环境,有几种方法可以实现此目的。
4. 最小化或删除本地管理权限:用户不应使用具有本地管理员权限的账号,因为这会为目标攻击者创建多种方式来横向移动并破坏凭据。我们建议禁用本地管理员帐户。在其中,应禁用工作站和服务器上的本地管理员。
5. 实施集中式和时间同步日志记录:DHCP,DNS,服务器事件日志,防火墙日志,IDS和代理日志都应存储在受时间同步且易于搜索的受保护集中式系统中。
6. 建立事件响应服务保留器:在您可能需要其服务之前评估事件响应公司,以便在发生针对性攻击时制定计划。
7. 识别,隔离和记录对关键数据的访问:确定最敏感数据的位置,并实现对其访问的记录和监控。
8. 修补程序,修补程序和修补程序:修补操作系统和第三方应用程序是加强网络抵御目标攻击的最佳方法之一。应尽快安装重要的安全补丁。
9. 审核报告要求:确定在发生安全漏洞时您有责任通知哪些组织和客户,并提前准备文档并进行法律审核。
应对目标攻击:
1. 不要断开连接:大多数目标攻击会在被发现之前持续数月到数年。当受损系统匆忙断开连接时,攻击者极有可能会破坏其他系统以建立可能未被发现的其他形式的持久性。如果必须断开计算机,请确保在断开电源之前保留系统的取证图像。
2. 保留所有日志:验证是否正在保留所有基于主机的基于群集的日志和基于网络的日志,以及是否维护关键服务器的备份。
3. 建立带外通信通道:假设您的网络完全受到攻击,攻击者可以阅读电子邮件。
4. 联系事件响应服务公司:这应该是您已在上一个清单中建立了保留者的公司。
5. 事件范围:进行网络取证; 执行主机取证以确定已访问或受损的系统数量以及可能已访问的数据。
6. 修复攻击:隔离关键系统; 阻止对命令和控制基础设施的访问; 删除并替换受感染的主机; 在需要时执行凭据重置; 评估其他措施以加强环境。
7. 报告:根据要求提供所需的报告,并确定是否有必要进行媒体报告。
每个环境都是独一无二的,并且需要额外的项目,具体取决于组织的目标以及可能利用的攻击类型。 |
