组织如何抵御高级持续威胁

高级持续性威胁（APT）已成为所有组织的合理担忧。APT是破坏网络和基础设施，并在较长时间内秘密潜伏在其中的威胁行为者。

他们通常会进行复杂的黑客攻击，从而窃取或破坏数据和资源。

埃森哲表示，APT一直在将自己组织成小组，让他们能够分享战术和工具来实施大规模攻击。例如，据报道，俄罗斯静默APT集团积极瞄准金融机构，并成功地从全球多家银行窃取了数百万美元。

较小的组织也需要警惕此类威胁。APT集团还使用自动化工具和僵尸网络来访问网络，这些策略不会基于规模、行业或价值进行区分。任何脆弱的基础设施都可能遭到破坏。现在，所有组织都必须了解APT是如何运作的，并实施必要的安全措施，以减轻其威胁。

APT可能潜伏的迹象

APT是秘密运作的，所以组织甚至可能在真正出问题之前都不会意识到它们被破坏了。例如，InfoTrax Systems在服务器存储空间耗尽后，才能够检测到长达数年的漏洞。IT团队必须注意APT可能潜伏在网络中的迹象。

几个明显的迹象包括：

Excessive logins —APT通常依赖受损的访问凭证来获得对网络的常规访问。他们可以使用登录名和密码凭据转储进行暴力尝试，也可以从社交工程和网络钓鱼攻击中窃取合法凭据。过度或可疑的登录活动，尤其是在奇数小时内，通常可归因于APT。

Explosion of malware —APT还使用各种恶意软件进行黑客攻击。因此，如果反病毒工具经常检测并删除恶意软件，则APT可能会持续向网络中植入特洛伊木马和远程访问工具。

Increased usage of computing resources —这些威胁参与者还必须使用网络的计算资源进行黑客攻击。活动恶意软件将使用端点内的计算能力和内存。黑客也可能会将窃取的数据暂时存储在服务器中。过滤大量数据也会显示为过多的传出流量。

加强监测

发现这些迹象并不简单，因此IT团队必须积极搜索这些迹象。幸运的是，现代安全解决方案现在提供的功能使IT团队能够监控潜在的APT存在及其活动。

Log Analysis —日志可以准确地显示设备、系统和应用程序中发生的各种活动、事件和任务。然而，浏览日志（通常是无格式的纯文本格式）可能会很乏味。为了帮助IT团队对信息进行分类，高级日志分析工具现在提供了可以在所有IT基础设施组件中搜索模式的算法。

例如，日志管理和分析解决方案XpoLog可以跨各种基础设施组件整合所有日志。Xpolog可以自动解析和标记这些日志文件中包含的信息。然后，使用人工智能（AI），Xpolog可以识别异常模式并产生见解，包括表明安全问题的见解。

带宽使用、登录会话、网络流量的地理分布等信息都可以用来揭示威胁的存在。所有数据甚至可以可视化，以便于展示和查看。

通过这些发现，平台可以随时提醒IT团队潜在的APT攻击，以便立即采取行动。

Breach and Attack Simulations —入侵和攻击模拟（BAS）平台可以运行模拟实际网络攻击的例行测试，以检查安全措施是否按预期工作。它们是传统渗透测试的替代品，传统渗透测试很难常规进行。

例如，BAS平台Cymate提供了各种各样的测试，涵盖对基础设施的潜在攻击向量。它可以测试web网关和web应用程序防火墙的漏洞。它还可以将虚拟恶意软件部署到端点，以检查反恶意软件或抗病毒软件是否可以检测恶意文件和进程。它还具有网络钓鱼攻击模拟，可以识别哪些用户容易受到社会工程攻击。

Cymate允许运行计划和常规测试，以查看组织实施的安全措施和工具是否按预期工作。APT会关闭抗病毒药物和防火墙等安全解决方案，因此常规测试很容易表明这些解决方案是否被篡改。

防御必须得到改善

监控和早期发现是保持安全防御的关键。组织必须将这些努力作为更广泛的安全战略的一部分进行整合。

Increase vigilance —积极分析日志并执行安全措施的常规测试可以告知IT团队APT的潜在存在，使他们能够立即应对这些威胁。

Adopt enterprise-grade security —组织还必须使用有能力的安全解决方案。APTs使用的恶意软件具有多态性代码，使其能够规避常见的免费或廉价反恶意软件解决方案。

Keep systems and apps updated —APT利用设备和系统的漏洞实施许多战术。开发人员定期发布补丁和修复程序，以确保关键漏洞得到解决。

组织必须确保这些更新在可用时快速应用。

Train people —APT还可以尝试通过社会工程攻击来利用人类的弱点。组织必须对员工进行最佳安全实践培训，包括准确识别钓鱼电子邮件和尝试、使用强密码以及避免密码重复使用。

安全是一种投资

企业必须意识到，在当今的环境中运营时，安全性是一项至关重要的投资。APT可能对公司造成无法弥补的损害。成为攻击的受害者可能会导致停机、业务损失和客户信任的侵蚀。

IBM估计的平均安全漏洞花费了组织392万美元。因此，公司必须采取能够在此类威胁造成任何重大损害之前检测并缓解此类威胁的安全措施。因此，各组织现在必须准备好转移更多资源以增强其安全性。