编辑:小星
多一份网络防护技能
多一份信息安全保障
互联网的发展速度越快,网上的数据量就越大,企业中不可避免的就会存在许多的敏感数据,这块肥肉就成为了攻击者的目标了,有针对性的攻击的出现则无可避免。根据已发生的案例,有针对性的攻击一般可能会涉及到盗窃源代码,导致协商数据或者一般业务中断。公司需要做的是做好识别,响应和缓解目标攻击,保证发生攻击时可以以最快速度恢复业务。下列为企业在应对目标攻击时可以做的一些事情。
在发生攻击之前:
1. Internet出口点管理:需要对所有连接到企业环境的Internet进行监控,确保对离开环境的信息有全面的掌控。监控的出口点数量越少,检测起潜在的恶意活动就越容易。
2. 检测:自动化的进步让入侵检测逐渐脱离了员工的操作,利用端点保护来检测所有类型的活动,包括端点可见性,以了解在服务器,台式机,笔记本电脑以及可能在家工作的远程员工之间执行的每个命令。
3. 分层管理模型:分层管理为了隔离凭据和防止关键的凭据泄漏,通常建议使用至少三个级别。这些级别是域管理员,服务器管理员和工作站管理员。没有一个账户可以访问所有系统。根据您的环境,有几种方法可以实现此目的。
4. 管理权限:攻击者会利用具有本地管理员权限的账号来创建多种方式进行横向移动并对凭据进行破坏,所以用户最好禁止使用这类账号,特别是工作站、服务器上的本地管理员。
5. 日志记录:为了保证日志时间的同步,且易于搜索,需要将日志(如DHCP,DNS,服务器事件日志,防火墙日志,IDS和代理日志等)都存储在时间同步并易于搜索的受保护的集中式系统中。
6. 事件响应服务保留器:若可能需要事件响应服务可先进行评估事件并响应公司,以便在发生针对性的攻击时可以快速制定计划。
7. 关键数据的访问:找出系统中最敏感数据的具体位置,并对这些关键数据的访问进行,隔离、监控和记录。
8. 修补程序:重要的安全补丁需要尽快安装。加强网络安全、抵御目标攻击的最佳方案之一就是修补操作系统和第三方应用程序。
9. 审核报告要求:一旦确认真的发生了安全漏洞,您有责任通知相应的企业和客户,并且提前准备好文档进行相应的法律审核。
发生攻击时:
1. 不要轻易断开连接:绝大部分的目标攻击会在持续了数月甚至数年才被发现,而在系统受损失被匆忙断开后,攻击者极有可能会转移目标破坏其他的系统,重新建立新的隐藏持久性。如果一定要断开计算机,请在断开电源之前确保已经保留系统的取证图像。
2. 备份和日志保留:要将关键的服务器进行备份,并查看是否正在保留所有主机群集的日志和网络日志。
3. 联系事件响应服务公司:这应该是您已在上一个清单中建立了保留者的公司。
4. 确认事件范围:做好网络取证工作,执行主机取证来确定此次事件中已经被访问或受损的系统数量和可能已经被访问过的数据。
5.修复攻击:
隔离关键的系统;
限制对命令和控制的基础设施的访问权限;
将受感染的主机进行删除替换;
如有必要时可对凭据进行重置;
评估其他措施以加强环境。
6. 报告:根据需求提供相应的报告,必要时可对进行媒体报告。
以上为个人观点,仅供参考。
欢迎关注小星(ID:DBXSJ01)
