针对谷歌的网络攻击30家其他科技公司这凸显了越来越多的美国商业实体所面临的所谓“高级持续威胁”(APT)。
一段时间以来,这个词一直被用于政府和军事领域,用来描述由国家支持的组织严密、拥有深厚技术技能和计算资源的组织实施的有针对性的网络攻击。
这类攻击通常具有高度的针对性、潜行性、自定义性和持续性。它们还常常涉及严密的监控和先进的社会工程。在许多情况下,攻击的目标是组织中位高权重的个人,这些人被诱骗访问恶意网站或将恶意软件下载到他们的系统中。大多数此类攻击的目的是窃取商业机密,而不是个人或财务数据。
政府网络,尤其是国防部的网络,多年来一直是这种先进的持续威胁的目标。但作为攻击谷歌还有一些例子表明,这些威胁已经蔓延到了商业领域。
安全厂商McAfee的首席技术官乔治·库尔茨(George Kurtz)周四在一篇博客文章中指出,APTs已经开始改变威胁格局。
库尔茨说:“这些攻击表明,各行各业的公司都是非常有利可图的目标。”他指出,apt已经成为“战场上的现代无人机的代名词”。他们以精确的精确度提供了致命的有效载荷,一旦被发现,就太晚了。”
面对威胁并不总是需要新技术的实施。但库尔茨和其他人表示,这确实需要重新考虑公司可能采用的一些保护数据的策略。的步骤:
1.你的对手并不公正有组织犯罪任何更多的
鉴于过去几年有组织的网络犯罪的巨大增长,大多数公司都采取了防范措施,以保护个人和财务数据不被窃取。总部位于华盛顿的安全咨询公司InGuardians的联合创始人艾德·斯考迪斯(Ed Skoudis)表示,尽管这很重要,但企业考虑保护自己的知识产权数据也至关重要。
“威胁已经转移,”斯考迪斯说。“如果你回到10年前,我们面临的主要威胁来自业余爱好者。然后情况发生了变化,我们必须应对的主要威胁是有组织的犯罪。现在情况又发生了变化。”
许多网络攻击者更感兴趣的是企业间谍活动和窃取知识产权,而不是追查信用卡号码或病人的健康数据。
斯考迪斯说:“人们仍然担心2700万张卡被盗。但他说,如果不能充分保护知识产权和企业机密不被类似的窃取,可能会造成更长期的损害。“你必须意识到你的威胁是什么,以及如何寻找它,”他说。
2.将网络监控添加到任务列表
高级持久威胁的定义是为了绕过防火墙、杀毒软件、入侵检测系统和其他公司可能设置的阻止非法访问数据的控制。Skoudis说,因此公司需要有工具来监控网络上的异常行为,并检测不寻常的长期持久网络连接和其他“异常行为”。
库尔茨周五在接受Computerworld采访时表示,企业可能还想考虑使用更多的“白名单”方法,以屏蔽其系统和网络上除非常狭窄和具体的一组“已知好的”活动外的所有活动。
他说:“使用白名单可以消除很多感染和零日威胁,因为只有可信的代码才能在系统上运行。”
Skoudis说,公司密切监控日志也是至关重要的。他说,查看防火墙日志、基于网络的IDS警报和Web代理服务器日志可以帮助公司识别其网络上的可疑活动。
他说,公司需要为其网络上的正常行为建立一个基线,然后定期将日志数据与这个基线进行比较,以检测恶意活动。
APT试图成为大海捞针。你需要浏览你已经收集到的信息来找到它。”“你必须寻找那些异常值,”他说。
3.大多数Web攻击仍然需要人工干预才能成功
库尔茨说,有针对性的攻击依赖于人们点击某个东西或浏览恶意网站。McAfee对谷歌和其他公司攻击的分析表明,入侵者通过向一个或几个目标个人发送量身定制的攻击来进入一个组织。
这些攻击很可能被设计成来自可信来源,导致目标点击链接或文件。
他说,“现在有更多的前期侦察正在进行,”入侵者潜伏在社交网站和其他地方,收集目标的信息。库尔茨说,强大的用户认证和访问控制措施可以帮助缓解这个问题。
他说,还有一些工具可以帮助企业验证用户可能点击的链接的真实性,以防止他们浏览恶意网站或下载恶意软件。
最后,他说,公司需要继续强调用户教育和培训。“很多袭击都涉及到人的因素。对此,没有补丁”。
Jaikumar Vijayan为Computerworld报道数据安全和隐私问题、金融服务安全和电子投票。在推特上关注贾库马尔Twitter@jaivijayan,请发送电子邮件至jvijayan@computerworld.com或订阅Jaikumar'sRSS提要Vijayan RSS。
这个故事,“谷歌袭击给企业的三个教训”最初是由《计算机世界》 .