高級(jí)持續(xù)性威脅(APT)是由擁有復(fù)雜的專業(yè)知識(shí)和大量資源的對(duì)手引入的���,這使得他們能夠通過使用多種攻擊載體(如網(wǎng)絡(luò)攻擊�����、物理攻擊����、欺騙)來實(shí)現(xiàn)其目標(biāo)�����。對(duì)手可能是針對(duì)組織和個(gè)人進(jìn)行或意圖進(jìn)行有害活動(dòng)的個(gè)人����、團(tuán)體、組織或政府�。威脅是全球性的�,但影響是具體的——任何行業(yè)的任何企業(yè)��,都應(yīng)該研究防范戰(zhàn)略��,以減輕這種威脅帶來的業(yè)務(wù)風(fēng)險(xiǎn)�。
“信任,但驗(yàn)證”這句古老的口頭禪已經(jīng)讓位于零信任安全模型���,該模型假設(shè)對(duì)手已經(jīng)突破了企業(yè)的邊界防御�����。有必要研究一些降低高級(jí)持續(xù)性威脅(APT)風(fēng)險(xiǎn)的方法�����。
增強(qiáng)網(wǎng)絡(luò)防御的核心組件美國國家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)特別出版物(SP)800-172強(qiáng)調(diào)����,縱深防御(DID)戰(zhàn)略的增強(qiáng)安全要求包括3個(gè)核心組成部分:
防滲透架構(gòu)(PRA)
限損操作
網(wǎng)絡(luò)彈性生存能力
“盡管企業(yè)盡了最大努力實(shí)施保護(hù)措施�,但APT仍可能會(huì)找到破壞或突破邊界防御的方法,并在防御者的系統(tǒng)中部署惡意代碼�����。”
該網(wǎng)絡(luò)戰(zhàn)略意識(shí)到�����,盡管企業(yè)盡了最大努力來實(shí)施保護(hù)措施�����,但APT仍可能找到破壞或突破邊界防御的方法�,并在防御者的系統(tǒng)內(nèi)部署惡意代碼�����。當(dāng)這種情況發(fā)生時(shí)����,企業(yè)必須能夠使用保障措施和對(duì)策來檢測(cè)、智取��、迷惑�����、欺騙����、誤導(dǎo)和阻礙對(duì)手——即消除對(duì)手的戰(zhàn)術(shù)優(yōu)勢(shì)并保護(hù)企業(yè)的關(guān)鍵計(jì)劃和高價(jià)值資產(chǎn)(HVAS)����。
網(wǎng)絡(luò)攻擊��、物理攻擊或欺騙等攻擊對(duì)業(yè)務(wù)運(yùn)營構(gòu)成威脅�����,需要企業(yè)重新考慮其網(wǎng)絡(luò)防御方案�����。有兩個(gè)高價(jià)值的信息標(biāo)準(zhǔn)可以影響可信網(wǎng)絡(luò)防御的建立�,包括美國國防部(DoD)建立的網(wǎng)絡(luò)安全成熟度模型(CMMC)標(biāo)準(zhǔn)和NIST SP800-172。更高的CMMC成熟度級(jí)別是專門針對(duì)APT而設(shè)計(jì)的�。未來的網(wǎng)絡(luò)防御戰(zhàn)略應(yīng)該受到CMMC和NIST SP 800-172的影響。
企業(yè)應(yīng)將重點(diǎn)放在加強(qiáng)其安全能力上���,以降低APT風(fēng)險(xiǎn)����。NIST已經(jīng)為加強(qiáng)安全要求建立了極好的參考標(biāo)準(zhǔn),NIST SP 800-172����。加強(qiáng)的安全要求代表保護(hù)敏感信息的方法,包括個(gè)人身份信息(PII)�����、個(gè)人數(shù)據(jù)(PD)����、受控非機(jī)密信息(CUI)或企業(yè)認(rèn)為具有高價(jià)值的任何其他信息。
企業(yè)需要將強(qiáng)化的安全要求整合到其網(wǎng)絡(luò)防御戰(zhàn)略中�����,例如:
將以威脅為中心的方法應(yīng)用于安全需求規(guī)范
采用支持邏輯和物理隔離的系統(tǒng)和安全架構(gòu)���,使用系統(tǒng)和網(wǎng)絡(luò)隔離技術(shù)、虛擬機(jī)和容器
對(duì)最關(guān)鍵或最敏感的操作實(shí)施雙因素認(rèn)證
將持久存儲(chǔ)限制在隔離的飛地或域
為系統(tǒng)和網(wǎng)絡(luò)實(shí)施合規(guī)的連接方法
通過建立解決系統(tǒng)和系統(tǒng)組件更改的權(quán)威來源來擴(kuò)展配置管理需求
定期將企業(yè)系統(tǒng)和系統(tǒng)組件更新或升級(jí)到已知狀態(tài)���,或開發(fā)新系統(tǒng)或組件
采用具有高級(jí)分析功能的安全運(yùn)營中心(SOC)來支撐企業(yè)系統(tǒng)的可持續(xù)監(jiān)控和保護(hù)
使用欺騙手段�����,在敵人用于決策和試圖滲透時(shí)的信息的價(jià)值和真實(shí)性��,他們所處的環(huán)境方面迷惑和誤導(dǎo)敵人
CMMC通過減輕APT對(duì)敏感和機(jī)密信息和資產(chǎn)構(gòu)成的風(fēng)險(xiǎn)���,確立了對(duì)網(wǎng)絡(luò)彈性的要求���。該模型使用5個(gè)級(jí)別來衡量網(wǎng)絡(luò)安全成熟度,并將一組流程和實(shí)踐與要保護(hù)的信息的類型和敏感性以及相關(guān)的威脅范圍保持一致��。CMMC成熟度級(jí)別的第4級(jí)和第5級(jí)是專門設(shè)計(jì)的�����,APT是必須滿足的安全需求重點(diǎn)��。CMMC認(rèn)證是國防部國防工業(yè)基地(DIB)的一項(xiàng)要求��,該基地由30多萬家國防部供應(yīng)商組成�。那些面臨APT風(fēng)險(xiǎn)的特定供應(yīng)商將被要求滿足CMMC成熟度級(jí)別的第4級(jí)和第5級(jí)。
CMMC模型是每一位高級(jí)網(wǎng)絡(luò)安全專業(yè)人員學(xué)習(xí)和理解其對(duì)降低網(wǎng)絡(luò)風(fēng)險(xiǎn)適用性的極佳參考��。企業(yè)應(yīng)考慮開展CMMC認(rèn)證����,以建立可信的����、基于證據(jù)的辯護(hù)���。
有遠(yuǎn)見的企業(yè)要把重點(diǎn)放在以下描述的三個(gè)部分���。
第一個(gè)部分是使用技術(shù)和程序來限制對(duì)手破壞組織系統(tǒng),并在系統(tǒng)中實(shí)現(xiàn)持續(xù)存在的體系結(jié)構(gòu)����。
第二個(gè)關(guān)鍵部分是設(shè)計(jì)系統(tǒng)、任務(wù)和業(yè)務(wù)功能�,以提供準(zhǔn)備、抵御�、恢復(fù)和適應(yīng)網(wǎng)絡(luò)資源受損的能力,從而最大限度地提高任務(wù)或業(yè)務(wù)操作的效率��。
最后��,第三個(gè)部分是對(duì)使用或啟用網(wǎng)絡(luò)資源的系統(tǒng)的不利條件����、壓力�����、攻擊或危害進(jìn)行預(yù)測(cè)、承受����、恢復(fù)和適應(yīng)的能力。
設(shè)想對(duì)手已經(jīng)進(jìn)入您的內(nèi)網(wǎng)�。每個(gè)組織都必須重新設(shè)想網(wǎng)絡(luò)防御,以降低業(yè)務(wù)風(fēng)險(xiǎn)�。
(來源:ISACA 作者:Uday Ali Pabrai ,CISSP���,CMMC PA�,CMMC RP����,HITRUST CCSFP, MSEE����,Security+,是500強(qiáng)企業(yè)ecfirst的首席執(zhí)行官��。)
