編輯：小星

多一份網(wǎng)絡(luò)防護(hù)技能

多一份信息安全保障

互聯(lián)網(wǎng)的發(fā)展速度越快，網(wǎng)上的數(shù)據(jù)量就越大，企業(yè)中不可避免的就會(huì)存在許多的敏感數(shù)據(jù)，這塊肥肉就成為了攻擊者的目標(biāo)了，有針對(duì)性的攻擊的出現(xiàn)則無(wú)可避免。根據(jù)已發(fā)生的案例，有針對(duì)性的攻擊一般可能會(huì)涉及到盜竊源代碼，導(dǎo)致協(xié)商數(shù)據(jù)或者一般業(yè)務(wù)中斷。公司需要做的是做好識(shí)別，響應(yīng)和緩解目標(biāo)攻擊，保證發(fā)生攻擊時(shí)可以以最快速度恢復(fù)業(yè)務(wù)。下列為企業(yè)在應(yīng)對(duì)目標(biāo)攻擊時(shí)可以做的一些事情。

在發(fā)生攻擊之前：

1. Internet出口點(diǎn)管理：需要對(duì)所有連接到企業(yè)環(huán)境的Internet進(jìn)行監(jiān)控，確保對(duì)離開(kāi)環(huán)境的信息有全面的掌控。監(jiān)控的出口點(diǎn)數(shù)量越少，檢測(cè)起潛在的惡意活動(dòng)就越容易。

2.?檢測(cè)：自動(dòng)化的進(jìn)步讓入侵檢測(cè)逐漸脫離了員工的操作，利用端點(diǎn)保護(hù)來(lái)檢測(cè)所有類(lèi)型的活動(dòng)，包括端點(diǎn)可見(jiàn)性，以了解在服務(wù)器，臺(tái)式機(jī)，筆記本電腦以及可能在家工作的遠(yuǎn)程員工之間執(zhí)行的每個(gè)命令。

3.?分層管理模型：分層管理為了隔離憑據(jù)和防止關(guān)鍵的憑據(jù)泄漏，通常建議使用至少三個(gè)級(jí)別。這些級(jí)別是域管理員，服務(wù)器管理員和工作站管理員。沒(méi)有一個(gè)賬戶可以訪問(wèn)所有系統(tǒng)。根據(jù)您的環(huán)境，有幾種方法可以實(shí)現(xiàn)此目的。

4.?管理權(quán)限：攻擊者會(huì)利用具有本地管理員權(quán)限的賬號(hào)來(lái)創(chuàng)建多種方式進(jìn)行橫向移動(dòng)并對(duì)憑據(jù)進(jìn)行破壞，所以用戶最好禁止使用這類(lèi)賬號(hào)，特別是工作站、服務(wù)器上的本地管理員。

5.?日志記錄：為了保證日志時(shí)間的同步，且易于搜索，需要將日志（如DHCP，DNS，服務(wù)器事件日志，防火墻日志，IDS和代理日志等）都存儲(chǔ)在時(shí)間同步并易于搜索的受保護(hù)的集中式系統(tǒng)中。

6.?事件響應(yīng)服務(wù)保留器：若可能需要事件響應(yīng)服務(wù)可先進(jìn)行評(píng)估事件并響應(yīng)公司，以便在發(fā)生針對(duì)性的攻擊時(shí)可以快速制定計(jì)劃。

7.?關(guān)鍵數(shù)據(jù)的訪問(wèn)：找出系統(tǒng)中最敏感數(shù)據(jù)的具體位置，并對(duì)這些關(guān)鍵數(shù)據(jù)的訪問(wèn)進(jìn)行，隔離、監(jiān)控和記錄。

8.?修補(bǔ)程序：重要的安全補(bǔ)丁需要盡快安裝。加強(qiáng)網(wǎng)絡(luò)安全、抵御目標(biāo)攻擊的最佳方案之一就是修補(bǔ)操作系統(tǒng)和第三方應(yīng)用程序。

9.?審核報(bào)告要求：一旦確認(rèn)真的發(fā)生了安全漏洞，您有責(zé)任通知相應(yīng)的企業(yè)和客戶，并且提前準(zhǔn)備好文檔進(jìn)行相應(yīng)的法律審核。

發(fā)生攻擊時(shí)：

1. 不要輕易斷開(kāi)連接：絕大部分的目標(biāo)攻擊會(huì)在持續(xù)了數(shù)月甚至數(shù)年才被發(fā)現(xiàn)，而在系統(tǒng)受損失被匆忙斷開(kāi)后，攻擊者極有可能會(huì)轉(zhuǎn)移目標(biāo)破壞其他的系統(tǒng)，重新建立新的隱藏持久性。如果一定要斷開(kāi)計(jì)算機(jī)，請(qǐng)?jiān)?/span>斷開(kāi)電源之前確保已經(jīng)保留系統(tǒng)的取證圖像。

2. 備份和日志保留：要將關(guān)鍵的服務(wù)器進(jìn)行備份，并查看是否正在保留所有主機(jī)群集的日志和網(wǎng)絡(luò)日志。

3.?聯(lián)系事件響應(yīng)服務(wù)公司：這應(yīng)該是您已在上一個(gè)清單中建立了保留者的公司。

4. 確認(rèn)事件范圍：做好網(wǎng)絡(luò)取證工作，執(zhí)行主機(jī)取證來(lái)確定此次事件中已經(jīng)被訪問(wèn)或受損的系統(tǒng)數(shù)量和可能已經(jīng)被訪問(wèn)過(guò)的數(shù)據(jù)。

5.修復(fù)攻擊：

隔離關(guān)鍵的系統(tǒng);

限制對(duì)命令和控制的基礎(chǔ)設(shè)施的訪問(wèn)權(quán)限;

將受感染的主機(jī)進(jìn)行刪除替換;

如有必要時(shí)可對(duì)憑據(jù)進(jìn)行重置;

評(píng)估其他措施以加強(qiáng)環(huán)境。

6.?報(bào)告：根據(jù)需求提供相應(yīng)的報(bào)告，必要時(shí)可對(duì)進(jìn)行媒體報(bào)告。

以上為個(gè)人觀點(diǎn)，僅供參考。

歡迎關(guān)注小星（ID：DBXSJ01）