如同一个APT攻击需要突破多个网络层才可以成功一样,如果企业不希望沦为APT的猎物,必须实施能够进行多层网络防御的安全策略。也就是说单一的网络安全功能是不能够防御APT攻击的。
攻击者不会止步于获取更多的目标来彰显其“荣誉”,所以公司机构的安全策略与防御体系也不是一日之功。公司机构需要可靠的IT雇员了解最新的威胁与潜在的攻击路径,与网络安全组织保持近距离的接触,在必要的时候可获得帮助。
网络攻击者选定的最终用户攻击目标,一定是攻击目标存在可以发动首次攻击的最佳机会。这如同银行劫匪的“座右铭”,“钱在哪我们就在哪”的道理是一样的。引导并教育最终用户正确地使用社交媒体保护隐私以及机密信息防止被利用是安全防御中重要的一环。同样关键的是,在公司机构具有访问敏感数据的雇员应受到数据处理方面的专门培训。定期对公司雇员进行内部的安全风险防范意识培训可减少被攻击的机率。
如果一个雇员没有来由地访问了可能包含敏感数据的特别资源,那么基本的网络隔离可以协助防御在内部网络之间的流传。对内部网络资源进行用户访问细分,可潜在的避免攻击者。
通过使用当前的IP信誉数据与web过滤规则的解决方案,可能会阻挡一些攻击。举例说明,如果会计团队没来由地去访问地球另一端国家的网站或者IP地址,创建web访问过滤规则可以有效防止可能中招被攻击网站的访问。通过使用IP信誉服务,可以避免一些攻击者使用攻击其他公司的伎俩,来故伎重演的攻击下一个目标公司。
白名单功能的使用有很多方法可言。例如,网络白名单可设置只允许一些内部流量访问网络资源。这可以避免攻击者侵入内部网络。网络白名单还可以防止用户访问那些没有明确被允许的网站。应用白名单可设置一个只允许在计算机设备运行的应用名单,阻断其他软件在设备的运行。这样可避免攻击方在目标用户的计算机系统运行新的程序。
白名单顾名思义是明确被允许执行或访问资源的名单,黑名单同理是设置阻断对不安全的资源、网络或应用访问的名单。