企业安全之APT攻击防护

现在针对企业APT[1]攻击越来越多了，企业安全也受到了严重的威胁，由于APT攻击比较隐匿的特性[2]，攻击并不能被检测到，所以往往可以在企业内部网络潜伏很长时间。

APT的攻击方式多种多样，导致企业有时候防不胜防，所以综合提高企业人员安全意识和网络防御成为了企业网络安全的重中之重。

有些新锐企业随着规模的不断，大量扩招外部人员的同时，也随着带来了一些安全风险，企业没有安全培训，新人没有网络安全意识，增加了被入侵的风险，外部恶意人员也正是利用了这一点，恶意分子一旦得手，企业内部敏感信息也容易被窃取，或利用企业内部平台做一些侵害企业利益的事情。

有的企业主刚开始的时候可能并不关注网络安全或对网络安全认识浅薄，直到企业内部数据被窃取并造成严重损失时才意识到网络安全的重要性，有时候企业网络安全甚至可以决定一个企业的成败与否。

从APT攻击的现状来讲，越来越多的攻击倾向于零日漏洞攻击和漏洞组合攻击，有时候企业采购了安全防护设备也是猝不及防，后知后觉，原因在于防护设备没有漏洞特征、对底层攻击方法检测较弱等导致网络在被入侵过程中，无法及时发现阻断、预警管理员，直到过了一段时间后才发现异常，要知道在这段时间内，黑客的攻击有可能早已完成，你连溯源的可能性都丧失掉了。

一个企业要很好的防范[3]APT攻击，需要投入的人力、物力、财力是很大的，一般的企业由于资金问题、人才问题往往在这方面很被动，一般的处理方式也就是在网内安装一些杀毒软件、防火墙软件，很少会有计划、有条理的去预防网络攻击。即便想搞也会遇到各种各样的问题，小企业在这方面任重道远，我提供了一些网络安全防范方案，企业主和网络管理者们可以看一下，看里面哪些可以自己实现，稍微弥补安全不足，也总比不做的强。

从APT攻击数据统计来看我国是APT受害比较严重的国家，政府、教育、科研、医院、银行、金融、基础设施、大型企业成为了攻击的主要目标，未来我国网络安全还面临着诸多安全挑战。

关于APT防御的厂商，国内有的厂商还是做的不错的，比如：

360天眼

绿盟NGTP威胁分析系统

东巽科技

[1]APT定义

攻击者为实现一种或多种目的，有组织、有计划的利用先进的计算机网络攻击方法实现的高隐匿入侵行为。

[2]APT特性

高度目的性

攻击者为实现一种或多种目的进行的攻击。

高度先进性

攻击者采用新技术、新方法、新漏洞进行的攻击。

高度隐蔽性

攻击者入侵过程高度隐蔽，往往不易被察觉。

高度持续性

攻击者权限维持的方法多样，可进行多次持续攻击。

高度自动化

攻击者工具自动化，自动执行特定目的，自动化利用、自动回传信息等。

高度扩散性

攻击者可迅速感染企业内部主机系统，扩散性极强。

高度规模性

攻击者有可能采用规模性的攻击，攻击破坏企业网络、窃取企业内部数据等。这种行为的出现，也就暴露了攻击者此次的攻击，但不排除声东击西。

高度危害性

攻击者一旦发动入侵，将严重威胁企业数据安全，破坏企业内部网络，造成企业办公停摆等严重威胁。

[3]APT防范

网络设备和服务

合理配置边防设备，例如防火墙。具备基本的出入过滤功能，条件允许的实况
下使用屏蔽子网结构。防火墙策略按照默认拒绝。如果愿意安装入侵检测系统更好。
使用有相关安全技术的路由器，例如很多新的路由器有一定的抗ARP攻击的能力。
善于使用代理服务器（例如反向代理）、web网关（例如一些检测xss的软件）
内部的办公工作，设置只有内网用户可以进行。有子公司的情况下，使用VPN技术。
邮件系统要具有防假冒邮件、防垃圾邮件的基本能力。
全网内的终端机器，至少使用可靠可更新的安全反病毒软件。
不必要的情况下，企业内部不要配置公共Wifi。如果需要，限制公共Wifi的权限，使用有效密码，至少使用WPA2的安全设置，条件允许可以隐藏SSID。
企业内部的通讯使用加密，对抗监听和中间人。
配置防火墙隔离对外不必要的端口，建立出站网络端口限制。
建立主机、设备网络行为日志审计系统，专人查看审计日志行为。
安全管理

企业建立安全策略，分配职责，雇佣背景清晰的安全工作人员。
企业制度允许的情况下，合理运用强制休假、岗位轮换的方法。
企业有一定权限的管理人员（例如人事部门），要合理分权，最小权限，不能。
集中某一些人都有最高的权限，特别领导同志要主动放弃最高权限。
入职和离职的时候要仔细检查，例如离职时要有人监督他收拾东西离开，避免最后一刻留下后门，还要及时清除他的账户。使用证书的企业，还要停止他的证书。
要建立日志审核的制度，有专门的人员审核边防设备记录的重要信息。
企业架设合理的打卡、门禁制度，作为确定用户的上下班时间，在其不在职时间的奇怪访问，很可能是攻击。
员工定期清理自己的桌面（不是电脑桌面），目的是确保秘密的文件没有被随意放置。
员工系统使用强密码，使用要求密码的电脑屏保。
员工使用的电子设备有基本的防盗能力，至少有锁屏图案，最好有远程数据抹除，如果有全设备加密更好。
及时更新公司的操作系统到稳定的安全版本，这样可以有效对抗新攻击。特别是web服务器。
设立一定的监督记录，例如员工不要使用电驴这些可能泄漏敏感信息的内容。
雇佣有资质的单位，对员工进行安全培训，使员工明白基本的安全知识。
定期整理网络威胁情报进行邮件通报。
物理安全

建筑要有一定的防盗设计，例如人造天花板的设计、重要的门有B型以上的锁。
高度机密的环境下，可以使用电磁屏蔽的技术，一般用于机房。
雇佣必要的保安人员，设置摄像头。
web安全

企业的WEB服务器很可能受到攻击，应该配置基本的安全防护软件，尽量使用
适当硬化的系统（有条件的情况下配置LINUX而不是WINDOWS，并删除不必要的功能和服务）。
企业的WEB应用，如果自身没有安全开发的能力，应该外包给有资质，特别是经济情况正常的企业完成。要避免为了节省费用，使用小家的企业去做。
内网如果有WEB服务（如内部办公，应该和外网适当分离。
隐藏一些可能泄漏服务器软件类型和版本的信息。
长期的安全维护

雇佣有能力的、安全底细清楚的安全人员，或者咨询外面的公司。
定期使用缺陷扫描仪、端口扫描仪等进行检查。
有条件的企业，应该配置蜜罐或者蜜网。
建立安全基准，有助于识别未知的安全攻击。