实实在的信息安全综合解决方案拒绝忽悠

实实在的信息安全综合解决方案拒绝忽悠 – 安全意识博客Skip to content

APT，Advanced persistent threat，高级可持续性威胁，是目前信息安全领域比较热门的一个词汇，不过不要被它那华丽的字眼和恐怖的描述所吓倒，当然，在遭遇黑客攻击之后也不要立即宣称受到APT攻击，企图受到谅解或蒙混过关。

让我们先看看它的定义，它通常指一个群体，例如外国政府，有能力和意图长期而有效地针对特定的目标（发动渗透攻击），这样说来单个黑客甚至小型的黑客团队即使再厉害，也算不上APT，因为他们力量微薄，攻击的方式方法有限，也不具有持续性。

除了在国家政治军事层面，目前比较公认的震网（Stuxnet）病毒属于APT，在商业领域，APT也经常会被用称呼基于互联网的商业间谍攻击，具体的方式包括：病毒感染、供应链渗透、社会工程等。

想主动利用病毒感染这种传统的方式入侵目标系统并不容易，多数商业组织都有安全网关，它往往使用特定的安全操作系统，只要更新及时并做好基本的安全加固，并不容易受到病毒的感染，而在网关的保护下，内网的计算系统往往不会被互联网直接访问到，直接进行病毒攻击也很难得逞，所以在国外流行扔U盘或其它终端计算设备，利用它们来感染拾到者的电脑，当然我们相信正常的防病毒系统会查出已知的病毒程序，而且新型防病毒系统也有些未知病毒的识别功能，不过要彻底防范，还需更多安全控制措施，更需要教育用户的安全防范意识。

通过供应链渗透则更是费事，多数组织在供应链及合作伙伴的安全管理上并非无所作为，通常会设置防火墙访问控制策略，并且在应用系统中设置帐户和数据的访问权限，所以想借助供应链从网络和应用系统层面入侵的成功性很小，但是不排除利用组织内部员工，比如假借供应链关系，通过收买或贿赂等手段在组织内部安放潜伏人员，这些招数也只能通过安全意识教育、安全行为监控、安全人员管理比如员工背景审查、签定保密协议等手段来约束。

社会工程防范基本上不能信赖技术控管措施，对组织并不熟悉的网络钓鱼、诈骗电话等等伎俩实际上很容易被内部员工识别出来，但前提是他们要有相关的安全防范意识，敢怀疑和挑战可疑的信息索取请求。

接连几年，知名信息安全公司Verizon持续进行着数据安全泄漏情况的调查，结果显示每年的数据泄露原因都无差别，大部分的受害者并没有受到未知的不明的或不可阻止的攻击，而是员工不小心插了受到感染的拇指硬盘、在电话里向坏家伙们提供了敏感信息、向“朋友”分享了进入系统的密码、点击了邮件中的钓鱼链接、或者放“合同工”或“同事”进入了组织的设施内部。

诚然，我们可以通过技术手段来控管这些ATP所借助的攻击渠道，比如禁用USB接口、过滤和实时监听电话交谈内容、使用多因素认证系统、监控邮件外发和接收、实施防尾随及防带人安保措施等等，然而这样做的代价太大，成本太高，而且仍然防不胜防，比较经济实用的防范方式是加强员工在安全防范方面的意识认知，提高其警惕性和对可疑人物及行为的识别能力。

亭长朗然科技有限公司的安全研究员James Dong称：“尽管企业很难成为APT的攻击目标，但是仍然可以从APT攻击手法中吸取适当的教训用于防范各类安全攻击，最重要的是要员工认识到安全不是其他人的问题或职责，而是自己的职责，只有每位员工都保护好了自己，并且积极帮助他人，组织才能获得全面的安全。”

别再拿APT忽悠一般商业客户了，他们根本不会成为APT攻击的目标，而且信息安全防范并不需要什么故弄玄虚的高招，脚踏实地遵循业界最佳操作实践，真心诚意为客户解决安全问题的方案，即使您的产品和服务并不能全面帮助客户，也应该让客户了解事实真相，这才是获得客户长久信赖的上策。

相似的文章 Similar Posts: