美國國家安全局的十大緩解戰(zhàn)略反擊了APT攻擊者可能使用的各種技術(shù)手段。美國國家安全局的緩解措施為企業(yè)組織確定了優(yōu)先事項，以盡量減少業(yè)務(wù)影響。緩解措施建立在NIST網(wǎng)絡(luò)安全框架職能的基礎(chǔ)上，以管理網(wǎng)絡(luò)安全風(fēng)險并促進縱深防御。緩解策略按照已知APT策略的有效性進行排名。需要采取其他戰(zhàn)略和最佳做法來減輕新戰(zhàn)術(shù)的發(fā)生。

網(wǎng)絡(luò)安全防護關(guān)鍵詞：識別(Identify)、保護(Protect)、檢測(Detect)、響應(yīng)(Respond)、恢復(fù)(Recover)。

[[226586]]

1. 立即更新和升級軟件

關(guān)鍵詞：識別(Identify),保護(Protect)

應(yīng)用所有可用的軟件更新，盡可能使流程自動化，并使用從供應(yīng)商直接提供的更新服務(wù)。自動化是必要的，因為攻擊者研究補丁、漏洞利用方法通常在補丁發(fā)布后不久。這些“N天”的漏洞利用可能會像零日漏洞一樣具有破壞性。供應(yīng)商更新也必須是真實的;更新應(yīng)確保內(nèi)容的完整性。如果沒有快速和徹底為應(yīng)用程序打補丁，攻擊者可以在防御者的補丁周期內(nèi)實施入侵。

2. 保護特權(quán)和帳戶安全

關(guān)鍵詞：識別(Identify),保護(Protect)

根據(jù)風(fēng)險暴露面分配特權(quán)，并按照要求進行維護操作。使用特權(quán)訪問管理(PAM)解決方案來自動化憑證管理和細粒度訪問控制。另一種管理特權(quán)的方法是通過分層管理訪問，其中每個高級層提供額外的訪問權(quán)限，但僅限于更少的人員。創(chuàng)建程序以安全地重置憑證(例如，密碼、令牌、標(biāo)簽)。必須對特權(quán)帳戶和服務(wù)進行控制，防止攻擊者以管理員身份訪問高價值資產(chǎn)，并通過網(wǎng)絡(luò)進行橫向移動。

3. 強制軟件執(zhí)行策略

關(guān)鍵詞：保護(Protect),檢測(Detect)

使用新版本的操作系統(tǒng)，并為腳本、可執(zhí)行文件、設(shè)備驅(qū)動程序和系統(tǒng)固件強制簽署軟件執(zhí)行策略。維護一個可信證書列表，以防止和檢測非法可執(zhí)行文件的使用和注入。執(zhí)行策略與安全啟動功能結(jié)合使用時，可以確保系統(tǒng)完整性。應(yīng)用程序白名單應(yīng)與簽名的軟件執(zhí)行策略一起使用，以提供更好的控制。 允許未簽名的軟件將使攻擊者通過嵌入式惡意代碼獲得立足點并建立持久性。

4. 執(zhí)行系統(tǒng)恢復(fù)計劃

關(guān)鍵詞：識別(Identify),響應(yīng)(Respond),恢復(fù)(Recover)

創(chuàng)建，審查和實施系統(tǒng)恢復(fù)計劃，以確保將數(shù)據(jù)恢復(fù)為全面災(zāi)難恢復(fù)策略的一部分。該計劃必須保護關(guān)鍵數(shù)據(jù)、配置和日志以確保由于意外事件而導(dǎo)致的操作連續(xù)性。為了獲得額外的保護，應(yīng)盡可能加密備份，異地存儲，脫機，并支持系統(tǒng)和設(shè)備的完整恢復(fù)和重構(gòu)。執(zhí)行定期測試并評估備份計劃。根據(jù)需要更新計劃以適應(yīng)不斷變化的網(wǎng)絡(luò)環(huán)境?；謴?fù)計劃是自然災(zāi)害以及包括勒索軟件在內(nèi)的惡意威脅的必要緩解措施。

5. 積極的系統(tǒng)和配置管理

關(guān)鍵詞：識別(Identify),保護(Protect)

盤點網(wǎng)絡(luò)設(shè)備和軟件資產(chǎn)。從網(wǎng)絡(luò)中刪除不需要的，不必要的或不應(yīng)該存在的硬件和軟件。從已知基線開始減少攻擊面并建立操作環(huán)境的控制。此后，積極管理設(shè)備、應(yīng)用程序、操作系統(tǒng)和安全配置。積極的企業(yè)管理確保系統(tǒng)能夠適應(yīng)動態(tài)威脅環(huán)境，同時擴展和精簡管理操作。

6. 持續(xù)獵取網(wǎng)絡(luò)入侵

關(guān)鍵詞：檢測(Detect),響應(yīng)(Respond),恢復(fù)(Recover)

采取主動措施檢測，遏制并移除網(wǎng)絡(luò)中的任何惡意存在。企業(yè)組織應(yīng)該假設(shè)被入侵，并且使用專門的團隊不斷尋找、遏制并移除網(wǎng)絡(luò)中的威脅。諸如日志，安全信息和事件管理(SIEM)產(chǎn)品，端點檢測和響應(yīng)(EDR)解決方案以及其他數(shù)據(jù)分析功能的被動檢測機制是發(fā)現(xiàn)惡意或異常行為的寶貴工具。積極的動作還應(yīng)該包括追蹤和滲透測試，使用詳細記錄的事件響應(yīng)程序來處理任何發(fā)現(xiàn)的安全漏洞。建立積極主動的步驟將使組織過渡到基本檢測方法之外，使用持續(xù)監(jiān)控和緩解策略實現(xiàn)實時威脅檢測和修復(fù)。

7. 利用現(xiàn)代硬件安全特性

關(guān)鍵詞：識別(Identify),保護(Protect)

使用硬件安全功能，如統(tǒng)一可擴展固件接口(UEFI)安全啟動，可信平臺模塊(TPM)，和硬件虛擬化。對硬件進行固件升級?，F(xiàn)代硬件特性增加了啟動過程的完整性，為高風(fēng)險應(yīng)用程序提供了系統(tǒng)認證和支持功能。使用過時的硬件上的現(xiàn)代操作系統(tǒng)會降低保護系統(tǒng)、關(guān)鍵數(shù)據(jù)和對攻擊者的認證能力。

8. 使用基于應(yīng)用感知防御技術(shù)隔離網(wǎng)絡(luò)

關(guān)鍵詞：保護(Protect),檢測(Detect)

隔離關(guān)鍵網(wǎng)絡(luò)和服務(wù)。根據(jù)政策和法律授權(quán)，部署基于應(yīng)用感知的網(wǎng)絡(luò)防御措施可以阻止不當(dāng)形成的流量并限制內(nèi)容?；谝阎?不良簽名的傳統(tǒng)入侵檢測由于加密和混淆技術(shù)而迅速降低了效率。威脅行為者隱藏惡意行為并通過通用協(xié)議刪除數(shù)據(jù)，因此需要復(fù)雜的應(yīng)用感知防御機制，這對現(xiàn)代網(wǎng)絡(luò)防御至關(guān)重要。

9. 整合威脅信譽服務(wù)

關(guān)鍵詞：保護(Protect),檢測(Detect)

利用多來源的威脅信譽服務(wù)來處理文件、DNS、url、IPs和電子郵件地址。信譽服務(wù)協(xié)助檢測和防止惡意事件,并允許對威脅進行快速的全球響應(yīng),減少已知威脅的暴露,并提供更大的威脅分析和引爆能力,而不是組織可以自行提供。新出現(xiàn)的威脅,無論是針對目標(biāo)的還是全球性的, 都比大多數(shù)組織所能處理的要快,從而導(dǎo)致對新增威脅的報道不足。多源信譽和信息共享服務(wù)可以為針對動態(tài)威脅行為者提供更及時有效的安全姿態(tài)。

10. 轉(zhuǎn)換到多因素認證

關(guān)鍵詞：識別(Identify),保護(Protect)

優(yōu)先保護具有提升特權(quán)、遠程訪問、用于高價值資產(chǎn)的帳戶。應(yīng)使用基于物理令牌的認證系統(tǒng)來補充基于知識的驗證，如密碼和PIN。組織應(yīng)從單因素身份驗證(如基于密碼的系統(tǒng))遷移出去，這些系統(tǒng)的用戶選擇較差，易受到多個系統(tǒng)中的憑證失竊，偽造和重復(fù)使用的影響。