如何抵御高級持續(xù)威脅呢?筆者的建議是：做更好的補丁修復(fù)和使用白名單。通過這兩種方法，大多數(shù)可以減少99%的惡意攻擊風(fēng)險。

但是很少有企業(yè)這樣做，大多數(shù)企業(yè)都專注于其他事物上。例如，他們計劃創(chuàng)建一個高度安全的網(wǎng)絡(luò)。

他們是這樣做的：首先整理所有服務(wù)，確定哪些服務(wù)是最重要的，然后盡全力保護(hù)這些資產(chǎn)。這些資產(chǎn)包括關(guān)鍵任務(wù)型應(yīng)用程序或者服務(wù)，支持它們(Active Directory、DNS、用戶賬戶、服務(wù)賬戶、網(wǎng)絡(luò)設(shè)備等)的服務(wù)器和基礎(chǔ)設(shè)施，以及連接到這些應(yīng)用程序或服務(wù)的所有工作站。

這種辦法的關(guān)鍵在于以較高水平保護(hù)關(guān)鍵資產(chǎn)。問題是如何實現(xiàn)這一點，以及我們需要建立多少這樣的網(wǎng)絡(luò)。

對于大多數(shù)APT攻擊，攻擊者會破壞Active Directory域控制器，獲得所有密碼哈希，然后使用傳遞哈希工具來獲得網(wǎng)絡(luò)的完全控制權(quán)。大多數(shù)企業(yè)想要創(chuàng)建一個或多個獨立的額外的網(wǎng)絡(luò)，這樣單個域控制器受到攻擊而不會威脅所有企業(yè)資產(chǎn)。

現(xiàn)在進(jìn)入高度安全區(qū)域

這種獨立的高度安全的網(wǎng)絡(luò)并不是新鮮事物，很多公司至少都有一個這樣的網(wǎng)絡(luò)，每個軍隊都有多個高度安全的網(wǎng)絡(luò)。在過去二十年中，大多數(shù)企業(yè)都在想辦法整合多個網(wǎng)絡(luò)到更少的網(wǎng)絡(luò)，來降低成本和管理開銷。新的APT趨勢(APT已經(jīng)滲透企業(yè)五到十年之久)正在讓企業(yè)高管重新考慮以前的整合趨勢。

這是一個好事情。在域管理員組不設(shè)置任何永久性成員，這是成功的躲過哈希攻擊的先決條件。但如果你不能做到這一點，你可以創(chuàng)建多個安全域來降低風(fēng)險。

如果你的公司正在考慮增加更多網(wǎng)絡(luò)，你必須先確定你需要多少個安全域。很多公司決定建立一個新的單一的高度安全的網(wǎng)絡(luò)，并把所有關(guān)鍵任務(wù)型服務(wù)器放在里面。筆者很喜歡這種模式，因為你能夠得到更多的安全性，同時減少因管理太多網(wǎng)絡(luò)的開銷?？傮w思路是，如果你的所有關(guān)鍵任務(wù)服務(wù)器都是關(guān)鍵任務(wù)型服務(wù)器，它們應(yīng)該部署相同的安全策略，并且在同一安全域中管理。

如果你決定只建立一個新的超安全網(wǎng)絡(luò)，你必須確保攻擊者之前的攻擊方式不能入侵這個網(wǎng)絡(luò)。否則，建立這種網(wǎng)絡(luò)將沒有任何意義。為了獲得最大的安全性，你可以部署物理隔離的網(wǎng)絡(luò)，并且不連接到互聯(lián)網(wǎng)。

大多數(shù)公司可能想要高度安全的獨立的網(wǎng)絡(luò)，但他們負(fù)擔(dān)不起運行單獨電纜或者無線接入點的成本和精力。一個很好的辦法是使用獨立的VLAN，雖然VLAN隔離可能被攻擊，但在現(xiàn)實世界中這很少發(fā)生。#p#

你想要怎樣的獨立程度?

如果你想要創(chuàng)建一個或者多個新的獨立的網(wǎng)絡(luò)，另一個大問題是你將如何配置和取消配置用戶、設(shè)備和其他資源。

對于單個網(wǎng)絡(luò)，配置通常被標(biāo)記為人力資源系統(tǒng)。當(dāng)一名員工被聘請時，這會涉及添加這名新員工的用戶帳號到域的手動或自動過程。如果這個過程是自動化的，信任根系統(tǒng)應(yīng)該位于哪里?

例如，如果你把你的信任根系統(tǒng)放在原來網(wǎng)絡(luò)(可能已經(jīng)受到感染)，它能否配置服務(wù)到新的高度安全的網(wǎng)絡(luò)?這安全嗎?答案是否定的。你可以信任從較高完整性和保障的系統(tǒng)提供數(shù)據(jù)到低完整性的系統(tǒng)，但反過來就不行了。

在現(xiàn)實中，大多數(shù)企業(yè)沒有選擇。不過，他們有兩個次優(yōu)的選擇：他們要么允許不受信任的根系統(tǒng)來配置新網(wǎng)絡(luò)—這可能受到攻擊，要么他們?yōu)槊總€新的網(wǎng)絡(luò)部署新的根系統(tǒng)，這非常昂貴并且難以維持。

事實上，每個額外的網(wǎng)絡(luò)都需要做出這樣的決定。新網(wǎng)絡(luò)是使用來自現(xiàn)有網(wǎng)絡(luò)的一個還是多個服務(wù)，還是只能完全依賴于新的服務(wù)?運行任何網(wǎng)絡(luò)必須的服務(wù)包括配置、服務(wù)臺、安全、事件相應(yīng)、審計、PKI、電子郵件、打印等。

在確定了哪些來自現(xiàn)有網(wǎng)絡(luò)的服務(wù)需要用于新網(wǎng)絡(luò)后，大多數(shù)企業(yè)可能會考慮增加新的組，但隨后他們會意識到創(chuàng)建真正獨立的網(wǎng)絡(luò)比想像中更困難。#p#

現(xiàn)實世界攻擊

一般來說，企業(yè)最終會創(chuàng)建一種模式，其中共享服務(wù)要么保留在現(xiàn)有安全域名中，要么位于這個獨立的新網(wǎng)絡(luò)中，與所有其他網(wǎng)絡(luò)共享。他們還可能創(chuàng)建一個混合的網(wǎng)絡(luò)：一些網(wǎng)絡(luò)具有共享服務(wù)，而另一些網(wǎng)絡(luò)則沒有。

筆者只看到了少數(shù)公司決定在每個新網(wǎng)絡(luò)復(fù)制服務(wù)?？偠灾@種決定并不容易，這是IT部門需要做出的最艱難的決定之一。

是否部署一個或者多個新網(wǎng)絡(luò)域名，這取決于每個公司，及其文化和風(fēng)險承受能力。這個問題并沒有標(biāo)準(zhǔn)答案。從你自己的企業(yè)的需求來考慮這個問題，仔細(xì)權(quán)衡利與弊。你也可以選擇事后再更改設(shè)計。事實上，從最初的嘗試中你可以得出經(jīng)驗教訓(xùn)來做出適當(dāng)?shù)男薷摹?/p>

如果你問筆者，你不想花所有時間來創(chuàng)建超級安全的網(wǎng)絡(luò)，而是專注于企業(yè)可能受到攻擊的薄弱環(huán)節(jié)，并且加強防御來抵御攻擊。這樣，你將真正保護(hù)你的企業(yè)。

畢竟，創(chuàng)造一個安全的網(wǎng)絡(luò)需要大量的時間和精力，你需要大量的重復(fù)勞動。為什么不將這些時間和精力用來加強現(xiàn)有網(wǎng)絡(luò)的防御呢?(鄒錚編譯)